Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel

  • Artikel
  • 11 minuten om te lezen

Notitie

Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.

Deze zelfstudie laat zien hoe u playbooks gebruikt in samenwerking met automatiseringsregels om uw reactie op incidenten te automatiseren en beveiligingsrisico's op te sporen die door Microsoft Sentinel zijn gedetecteerd. Wanneer u deze zelfstudie hebt voltooid, kunt u het volgende doen:

  • Een automatiseringsregel maken
  • Een playbook maken
  • Acties toevoegen aan een playbook
  • Een playbook koppelen aan een automatiseringsregel of een analyseregel om bedreigingsreacties te automatiseren

Notitie

Deze zelfstudie bevat basisinformatie voor een belangrijke klanttaak: automatisering voor het triage van incidenten. Zie voor meer informatie onze sectie How-to(Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinel) en Use triggers and actions in Microsoft Sentinel playbooks (Triggersen acties gebruiken in Microsoft Sentinel-playbooks).

Wat zijn automatiseringsregels en playbooks?

Automatiseringsregels helpen u incidenten te tri triage in Microsoft Sentinel. U kunt ze gebruiken om automatisch incidenten toe te wijzen aan het juiste personeel, ruisincidenten of bekende fout-positieven te sluiten,hun ernst te wijzigen en tags toe te voegen. Ze zijn ook het mechanisme waarmee u playbooks kunt uitvoeren als reactie op incidenten.

Playbooks zijn verzamelingen procedures die vanuit Microsoft Sentinel kunnen worden uitgevoerd als reactie op een waarschuwing of incident. Een playbook kan helpen uw reactie te automatiseren en in te stellen en kan zo worden ingesteld dat deze automatisch wordt uitgevoerd wanneer er specifieke waarschuwingen of incidenten worden gegenereerd, door respectievelijk te worden gekoppeld aan een analyseregel of een automatiseringsregel. Het kan ook handmatig op aanvraag worden uitgevoerd.

Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn ingebouwd in Azure Logic Apps,wat betekent dat u alle kracht, aanpassingsmogelijkheden en ingebouwde sjablonen van Logic Apps. Elke playbook wordt gemaakt voor het specifieke abonnement waar het bij hoort, maar in de weergave Playbooks ziet u alle playbooks die beschikbaar zijn voor alle geselecteerde abonnementen.

Notitie

Omdat playbooks gebruikmaken van Azure Logic Apps, kunnen er extra kosten van toepassing zijn. Ga naar Azure Logic Apps pagina met prijzen voor meer informatie.

Als u bijvoorbeeld wilt voorkomen dat mogelijk gecompromitteerde gebruikers zich door uw netwerk verplaatsen en gegevens stelen, kunt u een geautomatiseerde, meervoudige reactie maken op incidenten die worden gegenereerd door regels die gecompromitteerde gebruikers detecteren. U begint met het maken van een playbook dat de volgende acties ondernomen heeft:

  1. Wanneer het playbook wordt aangeroepen door een automatiseringsregel die een incident door geeft, opent de playbook een ticket in ServiceNow of een ander IT-ticketsysteem.

  2. Er wordt een bericht naar uw security operations-kanaal in Microsoft Teams of Slack gestuurd om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident.

  3. Ook worden alle gegevens in het incident in een e-mailbericht verzonden naar uw senior netwerkbeheerder en beveiligingsbeheerder. Het e-mailbericht bevat de knoppen Blokkeren en Gebruikersoptie negeren.

  4. De playbook wacht totdat er een antwoord van de beheerders is ontvangen en gaat vervolgens verder met de volgende stappen.

  5. Als de beheerders Blokkeren kiezen, wordt er een opdracht naar Azure AD gestuurd om de gebruiker uit te schakelen en één naar de firewall om het IP-adres te blokkeren.

  6. Als de beheerders Negeren kiezen, sluit het playbook het incident in Microsoft Sentinel en het ticket in ServiceNow.

Als u het playbook wilt activeren, maakt u vervolgens een automatiseringsregel die wordt uitgevoerd wanneer deze incidenten worden gegenereerd. Deze regel neemt de volgende stappen:

  1. De regel wijzigt de incidentstatus in Actief.

  2. Het incident wordt toegewezen aan de analist die dit type incident moet beheren.

  3. Hiermee wordt de tag 'gecompromitteerde gebruiker' toegevoegd.

  4. Ten slotte wordt het playbook aanroepen dat u zojuist hebt gemaakt. (Er zijn speciale machtigingen vereist voor deze stap.)

Playbooks kunnen automatisch worden uitgevoerd als reactie op incidenten door automatiseringsregels te maken die de playbooks aanroepen als acties, zoals in het bovenstaande voorbeeld. Ze kunnen ook automatisch worden uitgevoerd als reactie op waarschuwingen door de analyseregel te vertellen dat er automatisch een of meer playbooks moeten worden uitgevoerd wanneer de waarschuwing wordt gegenereerd.

U kunt er ook voor kiezen om een playbook handmatig op aanvraag uit te voeren als reactie op een geselecteerde waarschuwing.

Krijg een volledigere en gedetailleerde inleiding over het automatiseren van bedreigingsreacties met behulp van automatiseringsregels en playbooks in Microsoft Sentinel.

Belangrijk

  • Automation-regels en het gebruik van de incidenttrigger voor playbooks zijn momenteel in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.

Een playbook maken

Volg deze stappen om een nieuw playbook te maken in Microsoft Sentinel:

Het playbook en de logische app voorbereiden

  1. Selecteer automation in het navigatiemenu van Microsoft Sentinel.

  2. Selecteer in het bovenste menu Nieuwe playbook maken en toevoegen.

    Een nieuw playbook toevoegen

    Er wordt een nieuw browsertabblad geopend waarmee u naar de wizard Een logische app maken gaat.

    Een logische app maken

  3. Voer uw Abonnement en Resourcegroep in en geef uw playbook een naam onder Naam van logische app.

  4. Selecteer bij Regio de Azure-regio waarin de gegevens van uw logische app moeten worden opgeslagen.

  5. Als u de activiteiten van dit playbook wilt bewaken voor diagnostische doeleinden, schakel dan het selectievakje Log Analytics inschakelen in en voer de naam van uw Log Analytics-werkruimte in.

  6. Als u tags wilt toepassen op uw playbook, klikt u op Volgende: Tags > (niet verbonden met tags die worden toegepast door automatiseringsregels). Meer informatie over tags). Klik anders op Controleren en maken. Bevestig de details die u hebt opgegeven en klik op Maken.

  7. Terwijl uw playbook wordt gemaakt en geïmplementeerd (dit duurt enkele minuten), wordt u naar een scherm met de naam Microsoft.EmptyWorkflow gezet. Wanneer het bericht 'Uw implementatie is voltooid' wordt weergegeven, klikt u op Naar de resource gaan.

  8. U gaat naar de Logic Apps Designervan uw nieuwe playbook, waar u kunt beginnen met het ontwerpen van de werkstroom. U ziet een scherm met een korte inleidende video en enkele veelgebruikte triggers en sjablonen voor logische apps. Meer informatie over het maken van een playbook met Logic Apps.

  9. Selecteer de sjabloon Lege logische app.

    Logic Apps Designer-sjabloongalerie

De trigger kiezen

Elk playbook moet beginnen met een trigger. De trigger definieert de actie die het playbook start en het schema dat de playbook verwacht te ontvangen.

  1. Zoek in de zoekbalk naar Microsoft Sentinel. Selecteer Microsoft Sentinel wanneer deze wordt weergegeven in de resultaten.

  2. Op het resulterende tabblad Triggers ziet u de twee triggers die worden aangeboden door Microsoft Sentinel:

    • Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd
    • Toen de regel voor het maken van Microsoft Sentinel-incidenten werd geactiveerd

    Kies de trigger die overeenkomt met het type playbook dat u maakt.

    Notitie

    Denk eraan dat alleen playbooks op basis van de incidenttrigger kunnen worden aangeroepen door automatiseringsregels. Playbooks op basis van de waarschuwingstrigger moeten worden gedefinieerd om rechtstreeks in analyseregels te worden uitgevoerd en kunnen ook handmatig worden uitgevoerd.

    Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over welke trigger moet worden gebruikt

    Een trigger voor uw playbook kiezen

Notitie

Wanneer u een trigger of een volgende actie kiest, wordt u gevraagd om u te verifiëren bij elke resourceprovider waarmee u werkt. In dit geval is de provider Microsoft Sentinel. Er zijn een aantal verschillende benaderingen die u kunt gebruiken voor verificatie. Zie Playbooks verifiëren bij Microsoft Sentinel voor meer informatie en instructies.

Acties toevoegen

U kunt nu definiëren wat er gebeurt wanneer u het playbook aanroept. U kunt acties, logische voorwaarden, lussen of switchcasevoorwaarden toevoegen door Nieuwe stap te selecteren. Met deze selectie wordt een nieuw frame in de ontwerpfunctie geopend, waar u een systeem of een toepassing kunt kiezen om mee te communiceren of een voorwaarde die u wilt instellen. Voer de naam van het systeem of de toepassing in de zoekbalk boven aan het frame in en kies uit de beschikbare resultaten.

Als u in elk van deze stappen op een veld klikt, wordt een deelvenster met twee menu's weergegeven: Dynamische inhoud en Expressie. In het menu Dynamische inhoud kunt u verwijzingen toevoegen naar de kenmerken van de waarschuwing of het incident die aan het playbook zijn doorgegeven, met inbegrip van de waarden en kenmerken van alle betrokken entiteiten. In het menu Expressie kunt u kiezen uit een grote bibliotheek met functies om extra logica toe te voegen aan uw stappen.

Ontwerper van logische app

In deze schermopname ziet u de acties en voorwaarden die u zou toevoegen bij het maken van de playbook die wordt beschreven in het voorbeeld aan het begin van dit document. Het enige verschil is dat u in het playbook dat hier wordt weergegeven, de waarschuwingstrigger gebruikt in plaats van de incidenttrigger. Dit betekent dat u dit playbook rechtstreeks vanuit een analyseregel aanroept, niet vanuit een automatiseringsregel. Beide manieren om een playbook aan te roepen, worden hieronder beschreven.

Bedreigingsreacties automatiseren

U hebt uw playbook gemaakt en de trigger gedefinieerd, de voorwaarden ingesteld en de acties voorgeschreven die worden uitgevoerd en de uitvoer die deze produceert. Nu moet u de criteria bepalen waaronder het wordt uitgevoerd en het automatiseringsmechanisme instellen waarmee het wordt uitgevoerd wanneer aan deze criteria wordt voldaan.

Reageren op incidenten

U gebruikt een playbook om te reageren op een incident door een automatiseringsregel te maken die wordt uitgevoerd wanneer het incident wordt gegenereerd. Op zijn beurt wordt het playbook aanroepen.

Een automatiseringsregel maken:

  1. Selecteer op de blade Automation in het navigatiemenu van Microsoft Sentinel de optie Maken in het bovenste menu en vervolgens Nieuwe regel toevoegen.

    Een nieuwe regel toevoegen

  2. Het deelvenster Nieuwe automatiseringsregel maken wordt geopend. Voer een naam in voor de regel.

    Een automatiseringsregel maken

  3. Als u wilt dat de automatiseringsregel alleen van kracht wordt op bepaalde analyseregels, geeft u op welke regels door de naamvoorwaarde van de If Analytics-regel te wijzigen.

  4. Voeg andere voorwaarden toe van waar u de activering van deze automatiseringsregel afhankelijk van wilt maken. Klik op Voorwaarde toevoegen en kies voorwaarden in de vervolgkeuzelijst. De lijst met voorwaarden wordt ingevuld door waarschuwingsdetails en entiteits-id-velden.

  5. Kies de acties die u met deze automatiseringsregel wilt uitvoeren. Beschikbare acties zijn onder andere Eigenaar toewijzen, Status wijzigen, Ernst wijzigen, Tags toevoegen en Playbook uitvoeren. U kunt zoveel acties toevoegen als u wilt.

  6. Als u een run playbook-actie toevoegt, wordt u gevraagd om te kiezen uit de vervolgkeuzelijst met beschikbare playbooks. Alleen playbooks die beginnen met de incidenttrigger kunnen worden uitgevoerd vanuit automatiseringsregels, zodat alleen deze worden weergegeven in de lijst.

    Belangrijk

    Aan Microsoft Sentinel moeten expliciete machtigingen worden verleend om playbooks uit te voeren vanuit automatiseringsregels. Als een playbook grijs wordt weergegeven in de vervolgkeuzelijst, betekent dit dat Sentinel geen machtiging heeft voor de resourcegroep van dat playbook. Klik op de koppeling Machtigingen voor playbook beheren om machtigingen toe te wijzen. In het deelvenster Machtigingen beheren dat wordt geopend, vink u de selectievakjes aan van de resourcegroepen met de playbooks die u wilt uitvoeren en klikt u op Toepassen. Machtigingen beheren

    • U moet zelf eigenaarsmachtigingen hebben voor elke resourcegroep waaraan u Microsoft Sentinel-machtigingen wilt verlenen en u moet de rol Inzender voor logische apps hebben voor elke resourcegroep met playbooks die u wilt uitvoeren.

    • Als het playbook dat u wilt uitvoeren zich in een implementatie met meerdere tenants in een andere tenant bevindt, moet u Microsoft Sentinel toestemming geven om het playbook uit te voeren in de tenant van het playbook.

      1. Selecteer in het navigatiemenu van Microsoft Sentinel in de tenant van de playbooks Instellingen.
      2. Selecteer op Instellingen blade Instellingen tabblad Playbook en vervolgens de expander Machtigingen voor Playbook.
      3. Klik op de knop Machtigingen configureren om het hierboven genoemde deelvenster Machtigingen beheren te openen en ga verder zoals hier wordt beschreven.

    • Als u in een MSSP-scenario een playbook wilt uitvoeren in een klantten tenant op basis van een automatiseringsregel die is gemaakt tijdens het ondertekenen bij de tenant van de serviceprovider, moet u Microsoft Sentinel toestemming geven om het playbook uit te voeren in beide tenants_. Volg in de tenant _ klant de instructies voor de implementatie van meerdere tenants in het voorgaande opsommingsteken. In de tenant van de serviceprovider moet u de Azure Security Insights-app toevoegen aan Azure Lighthouse onboarding-sjabloon:

      1. Ga vanuit Azure Portal naar Azure Active Directory.
      2. Klik op Bedrijfstoepassingen.
      3. Selecteer Toepassingstype en filter op Microsoft-toepassingen.
      4. Typ In het zoekvak Azure Security Insights.
      5. Kopieer het veld Object-id. U moet deze extra autorisatie toevoegen aan uw bestaande Azure Lighthouse overdracht.

      De rol Inzender voor Microsoft Sentinel Automation heeft een vaste GUID: f4c81013-99ee-4d62-a7ee-b3f1f648599a . Een voorbeeld van Azure Lighthouse autorisatie ziet er als deze uit in uw parametersjabloon:

      {
     "principalId": "<Enter the Azure Security Insights app Object ID>", 
     "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
     "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

  7. Stel een vervaldatum in voor uw automatiseringsregel als u wilt dat deze er een heeft.

  8. Voer een getal in onder Order om te bepalen waar in de volgorde van automatiseringsregels deze regel wordt uitgevoerd.

  9. Klik op Toepassen. U bent klaar!

Ontdek andere manieren om automatiseringsregels te maken.

Op waarschuwingen reageren

U gebruikt een playbook om te reageren op een waarschuwing door een analyseregel te maken of een bestaande te bewerken die wordt uitgevoerd wanneer de waarschuwing wordt gegenereerd, en uw playbook te selecteren als een geautomatiseerd antwoord in de wizard analyseregel.

  1. Selecteer op de blade Analyse in het navigatiemenu van Microsoft Sentinel de analyseregel waarvoor u het antwoord wilt automatiseren en klik op Bewerken in het detailvenster.

  2. Selecteer in de wizard Analyseregel - Bestaande regel bewerken het tabblad Geautomatiseerd antwoord.

    Tabblad Automatisch antwoord

  3. Kies uw playbook in de vervolgkeuzelijst. U kunt meer dan één playbook kiezen, maar alleen playbooks die gebruikmaken van de waarschuwingstrigger zijn beschikbaar.

  4. Selecteer opslaan op het tabblad Controleren en maken.

Een playbook op aanvraag uitvoeren

U kunt ook een playbook op aanvraag uitvoeren.

Notitie

Alleen playbooks die gebruikmaken van de waarschuwingstrigger kunnen op aanvraag worden uitgevoerd.

Een playbook uitvoeren op aanvraag:

  1. Selecteer op de pagina Incidenten een incident en klik op Volledige details weergeven.

  2. Klik in het tabblad Waarschuwingen op de waarschuwing waar u de playbook op wilt uitvoeren, schuif helemaal naar rechts en klik op Playbooks weergeven en selecteer een playbook om uit te voeren in de lijst met beschikbare playbooks in het abonnement.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u playbooks en automatiseringsregels in Microsoft Sentinel gebruikt om te reageren op bedreigingen.