Reagálás a veszélyforrás-szereplőkre a Microsoft Sentinelben történő vizsgálat vagy fenyegetéskeresés során
Ez a cikk bemutatja, hogyan hajthat végre reagálási műveleteket a veszélyforrás-szereplőkkel szemben a helyszínen, incidensvizsgálat vagy fenyegetéskeresés során anélkül, hogy a nyomozásból vagy a vadászatból ki kell váltania a kimutatást vagy a kontextust. Ezt forgatókönyvek segítségével hajthatja végre az új entitás-eseményindító alapján.
Az entitás-eseményindító jelenleg a következő entitástípusokat támogatja:
Fontos
Az entitás-eseményindító jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Forgatókönyvek futtatása az entitás-eseményindítóval
Amikor egy incidenst vizsgál, és megállapítja, hogy egy adott entitás – egy felhasználói fiók, egy gazdagép, egy IP-cím, egy fájl stb. – fenyegetést jelent, azonnal elháríthatja a fenyegetést egy forgatókönyv igény szerinti futtatásával. Hasonlóképpen megteheti, ha gyanús entitásokkal találkozik, miközben proaktív módon keres fenyegetéseket az incidensek környezetén kívül.
Válassza ki azt az entitást, amelyikben találkozik, és válassza ki a forgatókönyv futtatásához szükséges eszközöket az alábbiak szerint:
Egy incidens Áttekintés lapján az Entitások widgetben az új incidens részletei lapon (most előzetes verzióban) vagy annak Entitások lapján válasszon ki egy entitást a listából, válassza ki az entitás melletti három elemet, majd az előugró menüBen válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget.
Az incidens Entitások lapján válassza ki az entitást a listából, és válassza a Forgatókönyv futtatása (előzetes verzió) hivatkozást a lista sorának végén.
A Vizsgálat gráfban válasszon ki egy entitást, és válassza a Forgatókönyv futtatása (előzetes verzió) gombot az entitásoldali panelen.
Az Entitás viselkedése lapon válasszon ki egy entitást. Az eredményként kapott entitásoldalon válassza a forgatókönyv futtatása (előzetes verzió) gombot a bal oldali panelen.
Ezek mindegyike megnyitja a Forgatókönyv futtatása entitástípus> panelen.<
A panelek bármelyikében két lap jelenik meg: forgatókönyvek és futtatások.
A Forgatókönyvek lapon megjelenik azoknak a forgatókönyveknek a listája, amelyekhez hozzáféréssel rendelkezik, és amelyekhez a Microsoft Sentinel Entity eseményindítót használja az adott entitástípushoz (ebben az esetben a felhasználói fiókokhoz). Válassza ki annak a forgatókönyvnek a Futtatás gombját, amelyet azonnal futtatni szeretne.
Megjegyzés:
Ha nem látja a listában futtatni kívánt forgatókönyvet, az azt jelenti, hogy a Microsoft Sentinelnek nincs engedélye a forgatókönyvek futtatására az adott erőforráscsoportban (további információ). Az engedélyek megadásához válassza a főmenü Gépház elemét, válassza a Gépház lapot, bontsa ki a Forgatókönyv engedélyei bővítőt, és válassza az Engedélyek konfigurálása lehetőséget. A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget.
Az entitás-trigger forgatókönyveinek tevékenységeit a Futtatások lapon naplózhatja. Megjelenik egy lista, amely felsorolja, hogy a forgatókönyvek minden alkalommal futnak-e a kiválasztott entitáson. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen ebben a listában. Egy adott futtatás kiválasztásával megnyílik a teljes futtatási napló az Azure Logic Appsben.
Következő lépések
Ebben a cikkben megtanulhatta, hogyan futtathat forgatókönyveket manuálisan az entitások fenyegetéseinek elhárítása érdekében, miközben egy incidens kivizsgálása vagy fenyegetéskeresés közben.
- További információ a Microsoft Sentinel incidenseinek kivizsgálásáról.
- Megtudhatja, hogyan kereshet proaktívan fenyegetéseket a Microsoft Sentinel használatával.
- További információ a Microsoft Sentinel entitásairól.
- További információ a forgatókönyvekről a Microsoft Sentinelben.