Tutorial: Menanggapi ancaman dengan menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tutorial ini menunjukkan kepada Anda cara menggunakan playbook bersama dengan aturan otomatisasi untuk mengotomatiskan respons insiden dan memulihkan ancaman keamanan yang terdeteksi oleh Microsoft Azure Sentinel. Setelah menyelesaikan tutorial ini, Anda akan dapat:

• Membuat aturan otomatisasi
• Buat buku pedoman
• Menambahkan tindakan ke playbook
• Melampirkan playbook ke aturan otomatisasi atau aturan analitik untuk mengotomatiskan respons terhadap ancaman

Catatan

Tutorial ini memberikan panduan dasar untuk tugas pelanggan teratas: membuat automasi untuk insiden triase. Untuk informasi selengkapnya, lihat bagian Petunjuk kami, seperti Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel dan Menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Apa itu aturan otomatisasi dan playbook?

Aturan otomatisasi membantu Anda melakukan triase insiden di Microsoft Sentinel. Anda dapat menggunakannya untuk otomatis menetapkan insiden ke personel yang tepat, menutup insiden berisik atau positif palsu yang diketahui, mengubah tingkat keparahannya, dan menambahkan tag. Ini juga merupakan mekanisme di mana Anda dapat menjalankan playbook sebagai respons terhadap insiden atau pemberitahuan.

Playbook adalah kumpulan prosedur yang dapat dijalankan dari Microsoft Azure Sentinel sebagai respons terhadap seluruh insiden, ke pemberitahuan individual, atau ke entitas tertentu. Playbook dapat membantu mengotomatiskan dan mengatur respons Anda, dan dapat diatur untuk berjalan secara otomatis saat pemberitahuan tertentu dihasilkan atau ketika insiden dibuat atau diperbarui, dengan dilampirkan ke aturan otomatisasi. Ini juga dapat dijalankan secara manual sesuai permintaan pada insiden, pemberitahuan, atau entitas tertentu.

Playbook di Microsoft Azure Sentinel didasarkan pada alur kerja yang dibuat di Azure Logic Apps, yang berarti Anda mendapatkan semua kekuatan, penyesuaian, dan templat bawaan Logic Apps. Setiap playbook dibuat untuk langganan tertentu yang menjadi miliknya, tetapi tampilan Playbook menunjukkan kepada Anda semua playbook yang tersedia di semua langganan yang dipilih.

Catatan

Karena playbook menggunakan Azure Logic Apps, biaya tambahan mungkin berlaku. Buka halaman harga Azure Logic Apps untuk mengetahui detail selengkapnya.

Misalnya, jika ingin menghentikan pengguna yang berpotensi disusupi agar tidak berpindah di sekitar jaringan dan mencuri informasi, Anda dapat membuat respons otomatis dan beragam terhadap insiden yang dibuat oleh aturan yang mendeteksi pengguna yang disusupi. Anda mulai dengan membuat playbook yang melakukan tindakan berikut:

1. Saat playbook dipanggil oleh aturan otomatisasi yang melewatinya insiden, playbook membuka tiket di ServiceNow atau sistem tiket IT lainnya.

2. Ini mengirim pesan ke saluran operasi keamanan Anda di Microsoft Teams atau Slack untuk memastikan analis keamanan mengetahui insiden tersebut.

3. Ini juga mengirimkan semua informasi dalam insiden di pesan email ke admin jaringan senior dan admin keamanan Anda. Pesan email akan menyertakan tombol opsi pengguna Blokir dan Abaikan.

4. Playbook menunggu sampai respons diterima dari admin, lalu melanjutkan dengan langkah-langkah berikutnya.

5. Jika admin memilih Blokir, admin akan mengirim perintah ke ID Microsoft Entra untuk menonaktifkan pengguna, dan satu ke firewall untuk memblokir alamat IP.

6. Jika admin memilih Abaikan, playbook menutup insiden di Microsoft Azure Sentinel, dan tiket di ServiceNow.

Untuk memicu playbook, Anda akan membuat aturan otomatisasi yang berjalan saat insiden ini dibuat. Aturan itu akan melakukan langkah-langkah ini:

1. Aturan mengubah status insiden menjadi Aktif.

2. Aturan menetapkan insiden kepada analis yang bertugas mengelola jenis insiden ini.

3. Aturan menambahkan tag "pengguna yang disusupi".

4. Terakhir, aturan memanggil playbook yang baru saja Anda buat. (Izin khusus diperlukan untuk langkah ini.)

Playbook dapat dijalankan secara otomatis sebagai respons terhadap insiden, dengan membuat aturan otomatisasi yang memanggil playbook sebagai tindakan, seperti pada contoh di atas. Playbook juga dapat dijalankan secara otomatis sebagai respons terhadap pemberitahuan, dengan memberi tahu aturan analitik untuk otomatis menjalankan satu atau beberapa playbook saat peringatan dibuat.

Anda juga dapat memilih untuk menjalankan playbook secara manual sesuai permintaan, sebagai respons terhadap pemberitahuan yang dipilih.

Dapatkan pengenalan yang lebih lengkap dan mendetail untuk mengotomatiskan respons terhadap ancaman menggunakan aturan otomatisasi dan playbook di Microsoft Azure Sentinel.

Buat buku pedoman

Ikuti langkah-langkah ini untuk membuat playbook baru di Microsoft Azure Sentinel:

Portal Azure

Portal pertahanan

1. Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Otomatisasi Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Otomatisasi Konfigurasi>Microsoft Sentinel.>

2. Dari menu teratas, pilih Buat.

3. Menu drop-down yang muncul di bawah Buat memberi Anda empat pilihan untuk membuat playbook:

   1. Jika Anda membuat playbook Standar (jenis baru - lihat Jenis aplikasi logika), pilih Playbook kosong lalu ikuti langkah-langkah di tab Logic Apps Standard di bawah ini.

   2. Jika Anda membuat playbook Konsumsi (jenis asli, klasik), maka, tergantung pada pemicu mana yang ingin Anda gunakan, pilih Playbook dengan pemicu insiden, Playbook dengan pemicu pemberitahuan, atau Playbook dengan pemicu entitas. Kemudian, lanjutkan dengan mengikuti langkah-langkah di tab Konsumsi Logic Apps di bawah ini.

      Untuk informasi selengkapnya tentang pemicu mana yang akan digunakan, lihat Menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel.

Konsumsi Logic Apps

Menyiapkan playbook dan Logic App

Terlepas dari pemicu mana yang Anda pilih untuk membuat playbook di langkah sebelumnya, wizard Buat playbook akan muncul.

1. Di tab Dasar:

   1. Pilih Langganan, Grup sumber daya, dan Wilayah yang Anda pilih dari daftar drop-down masing-masing. Wilayah yang dipilih adalah tempat informasi Aplikasi Logika Anda akan disimpan.

   2. Masukkan nama untuk playbook Anda di bagian Nama playbook.

   3. Jika Anda ingin memantau aktivitas playbook ini untuk tujuan diagnostik, tandai kotak centang Aktifkan log diagnostik di Log Analytics, dan pilih ruang kerja Log Analytics Anda dari daftar drop-down.

   4. Jika playbook Anda memerlukan akses ke sumber daya yang dilindungi yang berada di dalam atau terhubung ke jaringan virtual Azure, Anda mungkin perlu menggunakan lingkungan layanan integrasi (ISE). Jika demikian, tandai kotak centang Kaitkan dengan lingkungan layanan integrasi, dan pilih ISE yang diinginkan dari daftar drop-down.

   5. Pilih Berikutnya : Koneksi >.

2. Klik tab Koneksi:

   Idealnya Anda harus meninggalkan bagian ini apa adanya, mengonfigurasi Logic Apps untuk tersambung ke Microsoft Sentinel dengan identitas terkelola. Pelajari tentang ini dan alternatif autentikasi lainnya.

   Pilih Berikutnya : Tinjau dan buat >.

3. Di tab Tinjau dan buat:

   Tinjau pilihan konfigurasi yang telah Anda buat, dan pilih Buat dan lanjutkan ke perancang.

4. Playbook Anda akan memerlukan waktu beberapa menit untuk dibuat dan disebarkan, setelah itu Anda akan melihat pesan "Penyebaran Anda selesai" dan Anda akan dibawa ke Perancang Aplikasi Logika playbook baru Anda. Pemicu yang Anda pilih di awal akan secara otomatis ditambahkan sebagai langkah pertama, dan Anda dapat terus merancang alur kerja dari sana.

   

   Jika Anda memilih pemicu entitas Microsoft Azure Sentinel (Pratinjau), pilih jenis entitas yang Anda inginkan untuk diterima playbook ini sebagai input.

   

Logic Apps Standard

Menyiapkan Aplikasi Logika dan alur kerja

Ada tiga langkah untuk mulai membuat playbook Logic Apps Standard:

1. Buat Aplikasi Logika.
2. Buat alur kerja (ini adalah playbook aktual).
3. Pilih pemicu.

Membuat Logic App

Karena Anda memilih Playbook kosong, tab browser baru akan terbuka dan membawa Anda ke wizard Buat Aplikasi Logika.

1. Di tab Dasar:

   1. Pilih Langganan dan Grup Sumber Daya yang Anda pilih dari daftar drop-down masing-masing.

   2. Masukkan nama untuk Aplikasi Logika Anda. Untuk Terbitkan, pilih Alur Kerja. Pilih Wilayah tempat Anda ingin menyebarkan aplikasi logika.

   3. Untuk Jenis paket, pilih Standar.

   4. Pilih Berikutnya: Hosting>.

2. Di tab Hosting:

   1. Untuk jenis Storage, pilih Azure Storage, dan pilih atau buat akun Storage.

   2. Pilih Paket Windows.

3. Pilih Berikutnya: Pemantauan>.

4. Di tab Pemantauan:

   1. Jika Anda ingin mengaktifkan pemantauan performa di Azure Monitor untuk aplikasi ini, biarkan tombol di Ya. Jika tidak, alihkan ke Tidak.

      Catatan

      Pemantauan ini tidak diwajibkan untuk Microsoft Sentinel dan akan dikenakan biaya tambahan.

   2. Jika Anda ingin, Anda dapat memilih Berikutnya : Tag > untuk menerapkan tag ke Aplikasi Logika ini untuk tujuan kategorisasi dan penagihan sumber daya. Jika tidak, pilih Tinjau + buat.

5. Pada tab Tinjau + buat:

   Tinjau pilihan konfigurasi yang telah Anda buat, dan pilih Buat.

6. Playbook Anda akan memerlukan waktu beberapa menit untuk dibuat dan disebarkan, di mana Anda akan melihat beberapa pesan penyebaran. Pada akhir proses, Anda akan dibawa ke layar penyebaran akhir tempat Anda akan melihat pesan "Penyebaran Anda selesai".

   Pilih Buka sumber daya. Anda akan dibawa ke halaman utama Aplikasi Logika baru Anda.

   Tidak seperti playbook Konsumsi klasik, Anda belum selesai. Sekarang Anda harus membuat alur kerja.

Membuat alur kerja (playbook)

1. Pilih Alur Kerja dari menu navigasi halaman Aplikasi Logika Anda.

2. Pilih + Tambahkan dari bilah tombol di bagian atas (mungkin perlu beberapa detik agar tombol aktif).

3. Panel Alur kerja baru akan muncul. Masukkan nama untuk alur kerja Anda.

4. Di bagian Jenis status, pilih Stateful.

   Catatan

   Microsoft Sentinel saat ini tidak mendukung penggunaan alur kerja Stateless sebagai playbook.

5. Pilih Buat. Alur kerja Anda akan disimpan dan akan muncul dalam daftar alur kerja di Aplikasi Logika Anda. Pilih alur kerja untuk melanjutkan.

6. Anda akan memasukkan halaman alur kerja Anda. Di sini Anda dapat melihat semua informasi tentang alur kerja Anda, termasuk catatan sepanjang waktu yang akan dijalankannya. Dari menu navigasi, pilih Perancang.

7. Layar Perancang akan terbuka dan Anda akan segera diminta untuk menambahkan pemicu dan terus merancang alur kerja.

   

Memilih pemicu

1. Pilih tab Azure dan masukkan "Sentinel" di baris Pencarian.

2. Di tab Pemicu di bawah ini, Anda akan melihat tiga pemicu yang ditawarkan oleh Microsoft Sentinel:

   • Pemberitahuan Microsoft Sentinel (pratinjau)
   • Entitas Microsoft Azure Sentinel (pratinjau)
   • Insiden Microsoft Sentinel (pratinjau)

   Pilih pemicu yang cocok dengan jenis playbook yang Anda buat.

   

   Jika Anda memilih pemicu entitas Microsoft Azure Sentinel (Pratinjau), pilih jenis entitas yang Anda inginkan untuk diterima playbook ini sebagai input.

   

Catatan

Ketika Anda memilih pemicu, atau tindakan berikutnya, Anda akan diminta untuk mengautentikasi ke penyedia sumber daya mana pun yang berinteraksi dengan Anda. Dalam hal ini, penyedianya adalah Microsoft Azure Sentinel. Ada beberapa pendekatan berbeda yang dapat Anda lakukan untuk autentikasi. Untuk detail dan instruksi, lihat Mengautentikasi playbook ke Microsoft Azure Sentinel.

Untuk informasi selengkapnya tentang pemicu mana yang akan digunakan, lihat Menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel

Menambahkan tindakan

Sekarang, Anda dapat menentukan apa yang terjadi saat memanggil playbook. Anda dapat menambahkan tindakan, kondisi logika, loop, atau kondisi kasus switch, semuanya dengan memilih Langkah baru. Pilihan ini membuka bingkai baru di perancang, tempat Anda dapat memilih sistem atau aplikasi untuk berinteraksi dengan atau kondisi yang akan ditetapkan. Masukkan nama sistem atau aplikasi di bilah pencarian di bagian atas bingkai, lalu pilih dari hasil yang tersedia.

Di setiap langkah ini, mengklik bidang apa pun menampilkan panel dengan dua menu: Konten dinamis dan Ekspresi. Dari menu Konten dinamis, Anda dapat menambahkan referensi ke atribut pemberitahuan atau insiden yang diteruskan ke playbook, termasuk nilai dan atribut dari semua entitas terpetakan dan detail kustom yang tercantum dalam pemberitahuan atau insiden. Dari menu Ekspresi, Anda dapat memilih dari pustaka fungsi yang besar untuk menambahkan logika tambahan ke langkah.

Cuplikan layar ini menunjukkan tindakan dan kondisi yang akan Anda tambahkan dalam membuat playbook yang dijelaskan dalam contoh di awal dokumen ini. Pelajari selengkapnya tentang menambahkan tindakan ke playbook Anda.

Lihat Menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel untuk detail tentang tindakan yang dapat Anda tambahkan ke playbook untuk tujuan yang berbeda.

Secara khusus, perhatikan informasi penting ini tentang playbook berdasarkan pemicu entitas dalam konteks non-insiden.

Mengotomatiskan respons terhadap ancaman

Anda telah membuat playbook dan menentukan pemicu, mengatur kondisi, dan menetapkan tindakan yang akan dilakukan dan output yang akan dihasilkannya. Sekarang, Anda perlu menentukan kriteria tempat playblook akan berjalan dan menyiapkan mekanisme otomatisasi yang akan menjalankannya saat kriteria tersebut terpenuhi.

Menanggapi insiden dan peringatan

Untuk menggunakan playbook untuk merespons secara otomatis seluruh insiden atau pemberitahuan individual, buat aturan otomatisasi yang akan berjalan saat insiden dibuat atau diperbarui, atau saat pemberitahuan dibuat. Aturan otomatisasi ini akan menyertakan langkah yang memanggil playbook yang ingin Anda gunakan.

Untuk membuat aturan otomatisasi:

1. Dari halaman Automation di menu navigasi Microsoft Azure Sentinel, pilih Buat dari menu atas lalu Aturan automasi.

   

2. Panel Buat aturan otomatisasi baru terbuka. Masukkan nama untuk aturan Anda.

   Opsi Anda berbeda tergantung pada apakah ruang kerja Anda di-onboarding ke platform operasi keamanan terpadu. Contohnya:

   Ruang kerja onboarding

   

   Ruang kerja yang tidak di-onboarding

   

3. Pemicu: Pilih pemicu yang sesuai dengan keadaan saat Anda membuat aturan otomatisasi—Saat insiden dibuat, Saat insiden diperbarui, atau Saat pemberitahuan dibuat.

4. Kondisi:

   1. Jika ruang kerja Anda belum di-onboard ke platform operasi keamanan terpadu, insiden dapat memiliki dua sumber yang mungkin:

      • Insiden dapat dibuat di dalam Microsoft Azure Sentinel
      • Insiden dapat diimpor dari—dan disinkronkan dengan—Microsoft Defender XDR.

      Jika Anda memilih salah satu pemicu insiden dan Anda ingin aturan otomatisasi hanya berlaku pada insiden yang bersumber di Microsoft Azure Sentinel, atau di Pertahanan Microsoft XDR, tentukan sumber dalam kondisi penyedia If Incident sama .

      Kondisi ini akan ditampilkan hanya jika pemicu insiden dipilih dan ruang kerja Anda tidak di-onboard ke platform operasi keamanan terpadu.

   2. Untuk semua jenis pemicu, jika Anda ingin aturan otomatisasi hanya berlaku pada aturan analitik tertentu, tentukan yang mana dengan memodifikasi nama aturan If Analytics yang berisi kondisi.

   3. Tambahkan kondisi lain yang ingin Anda tentukan apakah aturan otomatisasi ini akan berjalan. Pilih + Tambahkan dan pilih kondisi atau grup kondisi dari daftar drop-down. Daftar kondisi diisi oleh detail pemberitahuan dan bidang pengidentifikasi entitas.

5. Tindakan:

   1. Karena Anda menggunakan aturan otomatisasi ini untuk menjalankan playbook, pilih tindakan Jalankan playbook dari daftar drop-down. Anda kemudian akan diminta untuk memilih dari daftar drop-down kedua yang menampilkan playbook yang tersedia. Aturan otomatisasi hanya dapat menjalankan playbook yang dimulai dengan pemicu yang sama (insiden atau pemberitahuan) seperti pemicu yang ditentukan dalam aturan, sehingga hanya playbook tersebut yang akan muncul dalam daftar.

      Penting

      Microsoft Azure Sentinel harus diberikan izin eksplisit untuk menjalankan playbook, baik secara manual maupun dari aturan otomatisasi. Jika playbook muncul "abu-abu" di daftar drop-down, artinya Sentinel tidak memiliki izin ke grup sumber daya playbook tersebut. Klik tautan Kelola izin playbook untuk menetapkan izin.

      Di panel Kelola izin yang terbuka, tandai kotak centang grup sumber daya yang berisi playbook yang ingin dijalankan, lalu klik Terapkan.

      

      • Anda sendiri harus memiliki izin pemilik di grup sumber daya mana pun yang ingin diberi izin Microsoft Azure Sentinel, dan Anda harus memiliki peran Kontributor Logic Apps di grup sumber daya apa pun yang berisi playbook yang ingin dijalankan.

      • Dalam penyebaran multi-penyewa, jika playbook yang ingin dijalankan berada di penyewa yang berbeda, Anda harus memberikan izin Microsoft Azure Sentinel untuk menjalankan playbook di penyewa playbook.

        1. Dari menu navigasi Microsoft Azure Sentinel, di penyewa playbook, pilih Pengaturan.
        2. Di bilah Pengaturan, pilih tab Pengaturan, lalu perluasan izin Playbook.
        3. Klik tombol Konfigurasi izin untuk membuka panel Kelola izin yang disebutkan di atas, dan lanjutkan seperti yang dijelaskan di sana.

      • Jika, dalam skenario MSSP, Anda ingin menjalankan playbook di penyewa pelanggan dari aturan automasi yang dibuat saat masuk ke penyewa penyedia layanan, Anda harus memberi izin Microsoft Azure Sentinel untuk menjalankan playbook di kedua penyewa. Di penyewa pelanggan, ikuti petunjuk untuk penyebaran multipenyewa di poin-poin sebelumnya. Di penyewa penyedia layanan, Anda harus menambahkan aplikasi Azure Security Insights di templat onboarding Azure Lighthouse Anda:

        1. Dari Portal Microsoft Azure, buka ID Microsoft Entra.
        2. Klik Aplikasi Perusahaan.
        3. Pilih Jenis Aplikasi dan filter pada Aplikasi Microsoft.
        4. Dalam kotak pencarian, ketik Azure Security Insights.
        5. Salin bidang ID Objek. Anda perlu menambahkan otorisasi tambahan ini ke delegasi Azure Lighthouse yang ada.

        Peran Kontributor Otomatisasi Microsoft Azure Sentinel memiliki GUID tetap, yaitu f4c81013-99ee-4d62-a7ee-b3f1f648599a. Sampel otorisasi Azure Lighthouse akan terlihat seperti ini di templat parameter Anda:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Tambahkan tindakan lain yang Anda inginkan untuk aturan ini. Anda dapat mengubah urutan eksekusi tindakan dengan memilih panah atas atau bawah di sebelah kanan tindakan apa pun.

6. Atur tanggal kedaluwarsa untuk aturan automasi jika Anda ingin aturan tersebut memilikinya.

7. Masukkan angka di bawah Urutan untuk menentukan tempat dalam urutan aturan otomatisasi aturan ini akan berjalan.

8. Pilih Terapkan. Anda selesai!

Cari cara lain untuk membuat aturan otomatisasi.

Merespons pemberitahuan—metode warisan

Cara lain untuk menjalankan playbook secara otomatis sebagai respons terhadap pemberitahuan adalah dengan memanggilnya dari aturan analitik. Saat aturan menghasilkan pemberitahuan, playbook berjalan.

Metode ini akan ditolak per Maret 2026.

Mulai Juni 2023, Anda tidak dapat lagi menambahkan playbook ke aturan analitik dengan cara ini. Namun, Anda masih dapat melihat playbook yang ada yang disebut dari aturan analitik, dan playbook ini masih akan berjalan hingga Maret 2026. Anda sangat dianjurkan untuk membuat aturan otomatisasi untuk memanggil playbook ini sebagai gantinya sebelum itu.

Jalankan playbook sesuai permintaan

Anda juga dapat menjalankan playbook sesuai permintaan secara manual, baik sebagai respons terhadap pemberitahuan, insiden (dalam Pratinjau), atau entitas (juga dalam Pratinjau). Ini dapat berguna dalam situasi ketika Anda menginginkan lebih banyak masukan manusia dan kontrol atas proses orkestrasi dan respons.

Menjalankan playbook secara manual pada pemberitahuan

Prosedur ini tidak didukung di platform operasi keamanan terpadu.

Di portal Azure, pilih salah satu tab berikut sesuai kebutuhan untuk lingkungan Anda:

Halaman detail Insiden BARU

1. Di halaman Insiden, pilih insiden.

   Di portal Azure, pilih Tampilkan detail lengkap di bagian bawah panel detail insiden untuk membuka halaman detail insiden.

2. Di halaman detail insiden, di widget Garis waktu insiden, pilih pemberitahuan tempat Anda ingin menjalankan playbook. Pilih tiga titik di akhir baris pemberitahuan dan pilih Jalankan playbook dari menu pop-up.

   

3. Panel playbook Pemberitahuan akan terbuka. Anda akan melihat daftar semua playbook yang dikonfigurasi dengan pemicu Microsoft Sentinel Alert Logic Apps yang dapat Anda akses.

4. Klik Jalankan pada baris playbook tertentu untuk memicunya.

Grafik investigasi

1. Di halaman Insiden, pilih insiden.

   Di portal Azure, pilih Tampilkan detail lengkap di bagian bawah panel detail insiden untuk membuka halaman detail insiden.

2. Di halaman detail insiden, pilih tab Pemberitahuan, pilih pemberitahuan yang ingin Anda jalankan playbook, dan pilih tautan Lihat playbook di akhir baris pemberitahuan tersebut.

3. Panel playbook Pemberitahuan akan terbuka. Anda akan melihat daftar semua playbook yang dikonfigurasi dengan pemicu Microsoft Sentinel Alert Logic Apps yang dapat Anda akses.

4. Klik Jalankan pada baris playbook tertentu untuk memicunya.

Anda dapat melihat riwayat eksekusi alur untuk playbook pada pemberitahuan dengan memilih tab Runs di panel Alert playbooks. Mungkin perlu waktu beberapa detik agar proses yang baru saja selesai muncul dalam daftar ini. Memilih eksekusi tertentu akan membuka log jalankan penuh di Azure Logic Apps.

Menjalankan playbook secara manual pada insiden (Pratinjau)

Prosedur ini berbeda, tergantung pada apakah Anda bekerja di Microsoft Azure Sentinel atau di platform operasi keamanan terpadu. Pilih tab yang relevan untuk lingkungan Anda:

Portal Azure

1. Di halaman Insiden, pilih insiden.

2. Dari panel detail insiden yang muncul di sebelah kanan, pilih Tindakan > Jalankan playbook (Pratinjau).
   (Memilih tiga titik di akhir garis insiden di grid atau mengklik kanan insiden akan menampilkan daftar yang sama dengan tombol Tindakan.)

3. Jalankan playbook pada panel insiden terbuka di sebelah kanan. Anda akan melihat daftar semua playbook yang dikonfigurasi dengan pemicu Microsoft Sentinel Alert Logic Apps yang dapat Anda akses.

   Jika Anda tidak melihat playbook yang ingin Anda jalankan dalam daftar, itu berarti Microsoft Sentinel tidak memiliki izin untuk menjalankan playbook di grup sumber daya tersebut (lihat catatan di atas).

   Untuk memberikan izin tersebut, pilih izin Pengaturan> Pengaturan> Pelajari>Mengonfigurasi izin. Di panel Kelola izin yang terbuka, tandai kotak centang grup sumber daya yang berisi playbook yang ingin Anda jalankan, dan pilih Terapkan.

4. Klik Jalankan pada baris playbook tertentu untuk memicunya.

   Anda harus memiliki peran operator playbook Microsoft Sentinel pada grup sumber daya apa pun yang berisi playbook yang ingin Anda jalankan. Jika Anda tidak dapat menjalankan playbook karena izin yang hilang, kami sarankan Anda menghubungi admin untuk memberi Anda izin yang relevan. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk bekerja dengan playbook.

Portal Pertahanan Microsoft

1. Di halaman Insiden, pilih insiden.

2. Dari panel detail insiden yang muncul di sebelah kanan, pilih Jalankan Playbook.

3. Panel Jalankan playbook pada insiden terbuka di sebelah kanan, dengan semua playbook terkait untuk insiden yang dipilih. Di kolom Tindakan, pilih Jalankan playbook untuk playbook yang ingin Anda jalankan segera.

Kolom Tindakan mungkin juga memperlihatkan salah satu status berikut:

Keadaan	Deskripsi dan tindakan diperlukan
Izin hilang	Anda harus memiliki peran operator playbook Microsoft Sentinel pada grup sumber daya apa pun yang berisi playbook yang ingin Anda jalankan. Jika Anda kehilangan izin, kami sarankan Anda menghubungi admin untuk memberi Anda izin yang relevan. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk bekerja dengan playbook.
Memberikan izin	Microsoft Sentinel kehilangan peran Kontributor Otomatisasi Microsoft Sentinel, yang diperlukan untuk menjalankan playbook pada insiden. Dalam kasus seperti itu, pilih Berikan izin untuk membuka panel Kelola izin . Panel Kelola izin difilter secara default ke grup sumber daya playbook yang dipilih. Pilih grup sumber daya lalu pilih Terapkan untuk memberikan izin yang diperlukan. Anda harus menjadi Pemilik atau administrator akses Pengguna pada grup sumber daya yang ingin Anda berikan izin Microsoft Azure Sentinel. Jika Anda kehilangan izin, grup sumber daya berwarna abu-abu dan Anda tidak akan dapat memilihnya. Dalam kasus seperti itu, kami sarankan Anda menghubungi admin untuk memberi Anda izin yang relevan. Untuk informasi selengkapnya, lihat catatan di atas.

Lihat riwayat eksekusi untuk playbook pada insiden dengan memilih tab Jalankan pada panel Jalankan playbook pada insiden . Mungkin perlu waktu beberapa detik agar proses yang baru saja selesai muncul dalam daftar ini. Memilih eksekusi tertentu akan membuka log jalankan penuh di Azure Logic Apps.

Menjalankan playbook secara manual pada entitas (Pratinjau)

Prosedur ini tidak didukung di platform operasi keamanan terpadu.

1. Pilih entitas dengan salah satu cara berikut, tergantung pada konteks asal Anda:

   Jika Anda berada di halaman detail insiden (versi baru):

   1. Di widget Entitas di tab Gambaran Umum, temukan entitas dari daftar (jangan pilih).
   2. Pilih tiga titik di sebelah kanan entitas.
   3. Pilih Jalankan playbook (Pratinjau) dari menu pop-up dan lanjutkan dengan langkah 2 di bawah ini.
      Jika Anda memilih entitas dan memasukkan tab Entitas dari halaman detail insiden, lanjutkan dengan baris berikutnya di bawah ini.
   4. Temukan entitas dari daftar (jangan pilih).
   5. Pilih tiga titik di sebelah kanan entitas.
   6. Pilih Jalankan playbook (Pratinjau) dari menu pop-up.
      Jika Anda memilih entitas dan memasukkan halaman entitasnya, pilih tombol Jalankan playbook (Pratinjau) di panel sebelah kiri.

   Jika Anda berada di halaman detail insiden (versi warisan):

   1. Pilih tab Entitas insiden.
   2. Temukan entitas dari daftar (jangan pilih).
   3. Pilih tautan Jalankan playbook (Pratinjau) di akhir barisnya dalam daftar.
      Jika Anda memilih entitas dan memasukkan halaman entitasnya, pilih tombol Jalankan playbook (Pratinjau) di panel sebelah kiri.

   Jika Anda berada di grafik Investigasi:

   1. Pilih entitas dalam grafik.
   2. Pilih tombol Jalankan playbook (Pratinjau) di panel sisi entitas.
      Untuk beberapa jenis entitas, Anda mungkin harus memilih tombol Tindakan entitas dan dari menu yang dihasilkan pilih Jalankan playbook (Pratinjau).

   Jika Anda secara proaktif berburu ancaman:

   1. Dari layar Perilaku entitas, pilih entitas dari daftar di halaman, atau cari dan pilih entitas lain.
   2. Di halaman entitas, pilih tombol Jalankan playbook (Pratinjau) di panel sebelah kiri.

2. Terlepas dari konteks asal Anda, instruksi di atas semuanya akan membuka panel Jalankan playbook pada <jenis> entitas. Anda akan melihat daftar semua playbook yang dapat Anda akses yang dikonfigurasi dengan pemicu Microsoft Azure Sentinel Entity Logic Apps untuk jenis entitas yang dipilih.

3. Klik Jalankan pada baris playbook tertentu untuk memicunya.

Anda dapat melihat riwayat eksekusi untuk playbook pada entitas tertentu dengan memilih tab Jalankan pada panel Jalankan playbook pada <jenis> entitas. Mungkin perlu waktu beberapa detik agar proses yang baru saja selesai muncul dalam daftar ini. Memilih eksekusi tertentu akan membuka log jalankan penuh di Azure Logic Apps.

Langkah berikutnya

Dalam tutorial ini, Anda mempelajari cara menggunakan playbook dan aturan otomatisasi di Azure Sentinel untuk merespons terhadap ancaman.

• Pelajari selengkapnya tentang mengautentikasi playbook ke Microsoft Azure Sentinel
• Pelajari selengkapnya tentang menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel
• Pelajari cara berburu ancaman secara proaktif menggunakan Microsoft Azure Sentinel.