Menggunakan pemicu dan tindakan dalam playbook Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dokumen ini menjelaskan jenis pemicu dan tindakan di Konektor Microsoft Azure Sentinel Logic Apps, yang dapat digunakan buku pedoman untuk berinteraksi dengan Microsoft Azure Sentinel dan informasi di tabel ruang kerja Anda. Ini lebih lanjut menunjukkan kepada Anda cara mendapatkan jenis informasi Microsoft Azure Sentinel tertentu yang mungkin Anda butuhkan.

Dokumen ini, bersama dengan panduan kami untuk Mengotentikasi playbook ke Microsoft Azure Sentinel, adalah pendamping dokumentasi playbook kami yang lain - Tutorial: Menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel. Tiga dokumen ini akan saling merujuk satu sama lain.

Sebagai pengantar playbook, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel.

Untuk spesifikasi lengkap konektor Microsoft Azure Sentinel, lihat Dokumentasi konektor Logic Apps.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Izin yang diperlukan

Peran \ Komponen konektor Pemicu Tindakan "Dapatkan" Perbarui insiden,
tambahkan komentar
Pembaca Microsoft Azure Sentinel
Microsoft Azure Sentinel Penanggap/Kontributor

Pelajari izin di Microsoft Azure Sentinel lebih lanjut.

Ringkasan pemicu Microsoft Azure Sentinel

Meskipun konektor Microsoft Azure Sentinel dapat digunakan dengan berbagai cara, komponen konektor dapat dibagi menjadi tiga alur, masing-masing dipicu oleh kemunculan Microsoft Sentinel yang berbeda:

Pemicu (nama lengkap di Logic Apps Designer) Kapan harus menggunakannya Pembatasan yang diketahui
Insiden Microsoft Azure Sentinel (Pratinjau) Direkomendasikan untuk sebagian besar skenario automasi insiden.

Playbook menerima objek insiden, termasuk entitas dan pemberitahuan. Menggunakan pemicu ini memungkinkan playbook dilampirkan ke Aturan otomatisasi, sehingga dapat dipicu saat insiden dibuat (dan sekarang, diperbarui juga) di Microsoft Sentinel, dan semua keuntungan aturan otomatisasi dapat diterapkan pada insiden tersebut.		 Playbook dengan pemicu ini tidak mendukung pengelompokan pemberitahuan, yang berarti mereka hanya akan menerima pemberitahuan pertama yang dikirim dengan setiap insiden.

PEMBARUAN: Mulai Februari 2023, pengelompokan pemberitahuan didukung untuk pemicu ini.
Pemberitahuan Microsoft Azure Sentinel (Pratinjau) Disarankan untuk playbook yang perlu dijalankan pada pemberitahuan secara manual dari portal Microsoft Azure Sentinel, atau untuk aturan analitik terjadwal yang tidak menghasilkan insiden untuk pemberitahuan mereka. Pemicu ini tidak dapat digunakan untuk mengotomatiskan respons untuk pemberitahuan yang dihasilkan oleh aturan analitik Keamanan Microsoft.

Playbook yang menggunakan pemicu ini tidak dapat disebut dengan aturan automasi.
Entitas Microsoft Azure Sentinel (Pratinjau) Untuk digunakan untuk playbook yang perlu dijalankan secara manual pada entitas tertentu dari konteks penyelidikan atau perburuan ancaman. Playbook yang menggunakan pemicu ini tidak dapat disebut dengan aturan automasi.

Skema yang digunakan oleh alur ini tidak identik. Praktik yang disarankan adalah menggunakan aliran pemicu insiden Microsoft Azure Sentinel, yang berlaku untuk sebagian besar skenario.

Bidang dinamis insiden

Objek Insiden yang diterima dari insiden Microsoft Sentinel mencakup bidang dinamis berikut:

  • Properti insiden (Ditampilkan sebagai "Insiden: nama bidang")

  • Pemberitahuan (array)

    • Properti pemberitahuan (Ditampilkan sebagai "Pemberitahuan: nama bidang")

      Ketika memilih properti pemberitahuan seperti Pemberitahuan: <nama properti>, perulangan untuk masing-masing dihasilkan secara otomatis, karena insiden dapat mencakup beberapa pemberitahuan.

  • Entitas (array dari semua entitas pemberitahuan)

  • Bidang info ruang kerja (berlaku untuk ruang kerja Sentinel tempat insiden dibuat)

    • ID Langganan
    • Nama ruang kerja
    • ID Ruang Kerja
    • Nama grup sumber daya

Ringkasan tindakan Microsoft Azure Sentinel

Komponen Kapan harus menggunakannya
Pemberitahuan - Dapatkan Insiden Dalam playbook yang dimulai dengan pemicu Pemberitahuan. Berguna untuk mendapatkan properti insiden, atau mengambil ARM ID Insiden untuk digunakan dengan Perbarui insiden atau tindakan Tambahkan komentar ke insiden.
Dapatkan Insiden Ketika memicu playbook dari sumber eksternal atau dengan pemicu non-Sentinel. Identifikasi dengan ARM ID Insiden. Ambil properti insiden dan komentar.
Perbarui Insiden Untuk mengubah Status insiden (contohnya, saat menutup insiden), tetapkan Pemilik, tambahkan atau hapus tag, atau ubah Tingkat Keparahan, Judul, atau Deskripsi.
Menambahkan komentar ke insiden Untuk memperkaya insiden dengan informasi yang dikumpulkan dari sumber eksternal; untuk mengaudit tindakan yang diambil oleh playbook pada entitas; untuk memberikan informasi tambahan yang berharga bagi penyelidikan insiden.
Entitas - Dapatkan <jenis entitas> Dalam playbook yang mengerjakan jenis entitas tertentu (IP, Akun, Host, URL or FileHash) yang dikenal saat waktu pembuatan playbook, dan Anda perlu mengurainya dan mengerjakan bidang uniknya.

Bekerja dengan insiden - contoh penggunaan

Tip

Tindakan Perbarui Insiden dan Menambahkan Komentar ke Insiden membutuhkan ARM ID Insiden.

Gunakan tindakan Pemberitahuan - Dapatkan Insiden sebelum mendapatkan ARM ID Insiden.

Perbarui insiden

  • Playbook dipicu oleh insiden Microsoft Sentinel

    Insiden memicu contoh alur Pembaruan sederhana

  • Playbook dipicu oleh peringatan Microsoft Sentinel

    Pemberitahuan memicu contoh alur Pembaruan Insiden sederhana

Gunakan Informasi Insiden

Playbook dasar untuk mengirim detail insiden melalui pos elektronik:

  • Playbook dipicu oleh insiden Microsoft Sentinel

    Insiden memicu contoh alur Dapatkan sederhana

  • Playbook dipicu oleh peringatan Microsoft Sentinel

    Pemberitahuan memicu contoh alur Dapatkan Insiden sederhana

Menambahkan komentar pada insiden

  • Playbook dipicu oleh insiden Microsoft Sentinel

    Insiden memicu contoh menambahkan komentar sederhana

  • Playbook dipicu oleh peringatan Microsoft Sentinel

Menonaktifkan pengguna

  • Playbook dipicu oleh Entitas Microsoft Sentinel

    Cuplikan layar memperlihatkan tindakan yang harus diambil dalam playbook pemicu entitas untuk menonaktifkan pengguna.

Playbook entitas tanpa ID insiden

Playbook yang dibuat dengan pemicu Entitas sering menggunakan bidang ID ARM Insiden (misalnya, untuk memperbarui insiden setelah mengambil tindakan pada entitas).

Jika playbook seperti itu dipicu dalam konteks yang tidak terhubung ke insiden (misalnya, ketika perburuan ancaman), maka tidak ada insiden yang ID-nya dapat mengisi bidang ini. Dalam hal ini, bidang akan diisi dengan nilai null.

Akibatnya, playbook mungkin gagal berjalan hingga selesai. Untuk mencegah kegagalan ini, disarankan untuk membuat kondisi yang akan memeriksa nilai di bidang ID insiden sebelum mengambil tindakan apa pun di atasnya, dan meresepkan serangkaian tindakan yang berbeda jika bidang memiliki nilai null - yaitu, jika playbook tidak dijalankan dari insiden.

  1. Sebelum tindakan pertama yang merujuk ke bidang ID ARM Insiden, tambahkan langkah jenis Kondisi.

  2. Pilih bidang Pilih nilai dan masukkan dialog Tambahkan konten dinamis.

  3. Pilih tab Ekspresi dan fungsi panjang(koleksi).

  4. Pilih tab Konten dinamis dan bidang ID ARM Insiden.

  5. Verifikasi ekspresi yang dihasilkan adalah length(triggerBody()?['IncidentArmID']) dan pilih OK.

    Cuplikan layar dialog konten dinamis untuk memilih bidang untuk kondisi playbook.

  6. Atur operator dan nilai dalam kondisi ke "lebih besar dari" dan "0".

    Cuplikan layar definisi akhir kondisi yang dijelaskan dalam cuplikan layar sebelumnya.

  7. Di bingkai True, tambahkan tindakan yang akan diambil jika playbook dijalankan dari konteks insiden.

    Dalam bingkai False, tambahkan tindakan yang akan diambil jika playbook dijalankan dari konteks non-insiden.

Bekerja dengan jenis Entitas tertentu

Bidang dinamis Entitas adalah sebuah array dari objek JSON, masing-masing mewakili sebuah entitas. Setiap jenis entitas memiliki skema tersendiri, bergantung pada sifat uniknya.

Tindakan "Entitas - Dapatkan <jenis entitas>" memungkinkan Anda melakukan hal berikut:

  • Memfilter entitas array berdasarkan jenis permintaan.
  • Mengurai bidang spesifik dari jenis ini, sehingga mereka dapat digunakan sebagai bidang dinamis dalam tindakan lebih lanjut.

Input-nya adalah bidang dinamis Entitas.

Responsnya adalah entitas array, di mana sifat khususnya diurai dan dapat digunakan langsung dalam perulangan Untuk masing-masing.

Jenis entitas yang didukung saat ini adalah:

Untuk jenis entitas lain, fungsi serupa dapat dicapai dengan menggunakan tindakan bawaan dari Logic Apps:

  • Filter entitas array berdasarkan jenis permintaan dengan menggunakan Filter Array.

  • Urai bidang spesifik dari jenis ini, sehingga mereka dapat digunakan sebagai bidang dinamis dalam tindakan lebih lanjut dengan menggunakan Menguraikan JSON.

Bekerja dengan detail kustom

Bidang dinamis Pemberitahuan detail kustom, yang tersedia dalam pemicu insiden, adalah objek JSON array, yang masing-masing mewakili detail kustom pemberitahuan. Detail kustom, Anda akan mengenalinya, merupakan pasangan kunci-nilai yang memungkinkan Anda untuk memunculkan informasi peristiwa pada pemberitahuan sehingga mereka dapat diwakili, dilacak, dan dianalisis sebagai bagian dari insiden.

Karena bidang dalam peringatan ini dapat disesuaikan, skemanya bergantung pada jenis peristiwa yang muncul. Anda harus menyediakan data dari instans peristiwa ini untuk menghasilkan skema yang akan menentukan bagaimana bidang detail kustom akan diurai.

Lihat contoh berikut:

Detail kustom didefinisikan dalam aturan analitik.

Dalam pasangan nilai kunci ini, kunci (kolom kiri) mewakili bidang kustom yang Anda buat, dan nilai (kolom kanan) mewakili bidang dari data peristiwa yang mengisi bidang kustom.

Anda dapat melengkapi kode JSON berikut untuk membuat skema. Kode menunjukkan nama kunci sebagai array, dan nilai (ditampilkan sebagai nilai aktual, bukan kolom yang berisi nilai) sebagai item dalam array.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

  1. Menambahkan langkah baru menggunakan tindakan bawaan dari Mengurai JSON. Anda dapat memasukkan 'parse json' di bidang Pencarian untuk menemukannya.

  2. Temukan dan pilih Detail Kustom Pemberitahuan dalam daftar Konten dinamis, di pemicu insiden.

    Pilih

    Ini akan membuat perulangan Untuk masing-masing, karena insiden berisi tentang pemberitahuan array.

  3. Pilih tautan Gunakan payload sampel untuk menghasilkan skema .

    Pilih tautan ‘menggunakan sampel payload untuk membuat skema’

  4. Menyediakan sampel payload. Anda dapat menemukan contoh payload dengan melihat di Analitik Log untuk instans lain dari pemberitahuan ini, dan menyalin objek detail kustom (di bawah Properti yang Diperluas). Akses data Analitik Log baik di halaman Log di portal Azure atau halaman Perburuan tingkat lanjut di portal Defender. Pada cuplikan layar di bawah ini, kami menggunakan kode JSON yang ditunjukkan di atas.

    Masukkan sampel payload JSON.

  5. Bidang kustom siap digunakan oleh bidang dinamis jenis Array. Anda dapat melihat di sini array dan item-nya, baik dalam skema maupun dalam daftar yang muncul di Konten dinamis, yang kami jelaskan di atas.

    Bidang dari skema siap digunakan.

Langkah berikutnya

Pada artikel ini, Anda mempelajari lebih lanjut tentang menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel untuk menanggapi ancaman.