Share via

Microsoft Sentinel-playbooks maken en aanpassen op inhoudssjablonen

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Een playbooksjabloon is een vooraf gedefinieerde, geteste en kant-en-klare werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.

Playbooksjablonen zijn zelf geen actieve playbooks, totdat u er een playbook (een bewerkbare kopie van de sjabloon) van maakt.

Veel playbooksjablonen worden ontwikkeld door de Microsoft Sentinel-community, onafhankelijke softwareleveranciers (ISV's) en de eigen experts van Microsoft, op basis van populaire automatiseringsscenario's die worden gebruikt door beveiligingsactiviteitencentra over de hele wereld.

Download playbooksjablonen uit de volgende bronnen:

  • Op de pagina Automation worden op het tabblad Playbook-sjablonen de playbooksjablonen weergegeven die zijn geïnstalleerd. Er kunnen meerdere actieve playbooks worden gemaakt op basis van dezelfde sjabloon.

    Wanneer een nieuwe versie van de sjabloon wordt gepubliceerd, worden de actieve playbooks die op basis van die sjabloon zijn gemaakt, weergegeven op het tabblad Actieve playbooks waarop een update beschikbaar is.

  • Playbooksjablonen zijn beschikbaar als onderdeel van productoplossingen of zelfstandige inhoud die u installeert vanuit de inhoudshub in Microsoft Sentinel. Zie Microsoft Sentinel-inhoud en -oplossingen voor meer informatie en ontdek en beheer de out-of-the-box-inhoud van Microsoft Sentinel.

  • De GitHub-opslagplaats van Microsoft Sentinel bevat veel playbooksjablonen. Ze kunnen worden geïmplementeerd in een Azure-abonnement door de knop Implementeren in Azure te selecteren.

Technisch gezien is een playbooksjabloon een ARM-sjabloon (Azure Resource Manager) die bestaat uit verschillende resources: een Azure Logic Apps-werkstroom en API-verbindingen voor elke betrokken verbinding.

Dit artikel is gericht op het implementeren van een playbooksjabloon op het tabblad Playbook-sjablonen onder Automation.

In dit artikel wordt uitgelegd hoe u het volgende kunt doen:

  • Out-of-the-box playbook-sjablonen verkennen
  • Een playbooksjabloon implementeren

Belangrijk

Playbooksjablonen zijn momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Playbooksjablonen verkennen

Selecteer voor Microsoft Sentinel in Azure Portal de pagina Content Management>Content Hub. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

Selecteer op de pagina Inhoudshub het inhoudstype dat u wilt filteren op Playbook. Deze gefilterde weergave bevat alle oplossingen en zelfstandige inhoud met een of meer playbooksjablonen. Installeer de oplossing of zelfstandige inhoud om de sjabloon op te halen.

Selecteer vervolgens het tabblad Playbooksjablonen van Configuration>Automation>om de geïnstalleerde sjablonen weer te geven.

Schermopname van de playbooksgalerie.

Als u een playbooksjabloon wilt vinden die aan uw vereisten voldoet, kunt u de lijst filteren op de volgende criteria:

  • Trigger geeft aan of het playbook wordt geactiveerd door het maken van incidenten, incidentupdates of door het maken van waarschuwingen. Meer informatie

  • Logic Apps-connectors tonen de externe services waarmee dit playbook communiceert. Tijdens het implementatieproces moet elke connector een identiteit aannemen om te verifiëren bij de externe service.

  • Entiteiten tonen de entiteitstypen die expliciet zijn gefilterd en geparseerd door een playbook dat verwacht dat deze entiteitstypen in het incident worden gevonden. Een playbook dat bijvoorbeeld aangeeft dat een firewall een IP-adres blokkeert, verwacht te werken op incidenten die zijn gemaakt door analyseregels die waarschuwingen genereren die IP-adressen bevatten, zoals een Beveiligingsaanvalsdetectieregel.

  • Tags tonen labels die zijn toegepast op het playbook om deze aan een specifiek scenario te koppelen of om een speciaal kenmerk aan te geven.

    Voorbeelden:

    • Verrijking : het playbook haalt gegevens op uit een andere service om informatie toe te voegen aan een incident. Deze informatie wordt meestal toegevoegd als opmerking bij het incident of verzonden naar de SOC.

    • Herstel: het playbook voert een actie uit op de betrokken entiteiten om een mogelijke bedreiging te elimineren.

    • Sync : het playbook helpt bij het behouden van een externe service, zoals een incidentbeheerservice, bijgewerkt met de eigenschappen van het incident.

    • Melding : het playbook verzendt een e-mailbericht of bericht.

    • Reactie van Teams : met het playbook kunnen de analisten handmatig actie ondernemen vanuit Teams met behulp van interactieve kaarten.

De lijst met playbooksjablonen filteren

Een playbook aanpassen op basis van een sjabloon

In deze procedure wordt beschreven hoe u playbooksjablonen implementeert.

U kunt dit proces herhalen om meerdere playbooks op dezelfde sjabloon te maken.

  1. Selecteer een playbooknaam op het tabblad Playbook-sjablonen .

  2. Als het playbook vereisten heeft, moet u de instructies volgen.

    • Sommige playbooks roepen andere playbooks aan als acties. Dit tweede playbook wordt een geneste playbook genoemd. In dat geval is een van de vereisten het eerst implementeren van het geneste playbook.

    • Voor sommige playbooks is het implementeren van een aangepaste Logic Apps-connector of een Azure-functie vereist. In dergelijke gevallen is er een koppeling Implementeren naar Azure waarmee u naar het algemene implementatieproces van de ARM-sjabloon gaat.

  3. Selecteer Playbook maken om de wizard playbook maken te openen op basis van de geselecteerde sjabloon. De wizard heeft vier tabbladen:

    • Basisbeginselen: Zoek uw nieuwe playbook (Logic Apps-resource) en geef het een naam (kan standaard worden gebruikt). Wizard Voor het maken van een playbook, tabblad Basisbeginselen

    • Parameters: Voer klantspecifieke waarden in die door het playbook worden gebruikt. Als dit playbook bijvoorbeeld een e-mailbericht naar de SOC verzendt, kunt u hier het adres van de geadresseerde definiëren. Dit tabblad wordt alleen weergegeven als het playbook parameters bevat.

      Notitie

      Als dit playbook een aangepaste connector gebruikt, moet deze worden geïmplementeerd in dezelfde resourcegroep en kunt u de naam invoegen op dit tabblad.

      Wizard Playbook maken, tabblad Parameters

    • Verbinding maken ions: Vouw elke actie uit om de bestaande verbindingen te zien die u hebt gemaakt voor eerdere playbooks. Meer informatie over het maken van verbindingen voor playbooks.

      Notitie

      Voor aangepaste connectors worden verbindingen weergegeven met de naam van de aangepaste connector die is ingevoerd op het tabblad Parameters .

      Wizard Playbook maken. tabblad Verbindingen

      Als dat niet het geval is of als u nieuwe wilt maken, kiest u Nieuwe verbinding maken na de implementatie. Met deze optie gaat u naar de ontwerper van Logic Apps nadat het implementatieproces is voltooid.

      Voor connectors die ondersteuning bieden voor het maken van verbinding met beheerde identiteiten, zoals Microsoft Sentinel, is dit standaard de verbindingsmethode die is geselecteerd.

    • Controleren en maken: bekijk een samenvatting van het proces en wacht op validatie van uw invoer voordat u het playbook maakt.

  4. Nadat u de stappen in de wizard voor het maken van een playbook tot het einde hebt gevolgd, gaat u naar het werkstroomontwerp van het nieuwe playbook in de ontwerpfunctie van Logic Apps.

    Playbook bekijken in Logic Apps Designer

  5. Voor elke connector die u hebt gekozen voor het maken van een nieuwe verbinding voor na de implementatie:

    1. Selecteer API-verbindingen in het navigatiemenu.

    2. Selecteer de verbindingsnaam. Schermopname van het weergeven van A P I-verbindingen.

    3. Selecteer API-verbinding bewerken in het navigatiemenu.

    4. Vul de vereiste parameters in en selecteer Opslaan. Schermopname van het bewerken van A P I-verbindingen.

    U kunt ook een nieuwe verbinding maken vanuit de relevante stappen in de Logic Apps-ontwerpfunctie:

    1. Voor elke stap die wordt weergegeven met een foutteken, selecteert u deze om uit te vouwen.

    2. Selecteer Nieuwe toevoegen.

    3. Verifiëren volgens de relevante instructies.

    4. Als er andere stappen zijn die dezelfde verbindingslijn gebruiken, vouwt u de bijbehorende vakken uit. Selecteer in de lijst met verbindingen die wordt weergegeven de verbinding die u zojuist hebt gemaakt.

  6. Als u ervoor hebt gekozen om een beheerde identiteitsverbinding te gebruiken voor Microsoft Sentinel (of voor andere ondersteunde verbindingen), verleent u machtigingen aan het nieuwe playbook in de Microsoft Sentinel-werkruimte (of op de relevante doelbronnen voor andere connectors).

  7. Sla het playbook op. U kunt deze nu zien op het tabblad Actieve playbooks .

  8. Als u dit playbook wilt uitvoeren, stelt u een geautomatiseerd antwoord in of voert u deze handmatig uit.

  9. De meeste sjablonen kunnen als zodanig worden gebruikt, maar we raden u aan om eventuele aanpassingen aan te brengen die nodig zijn om het nieuwe playbook aan uw SOC-behoeften aan te passen.

Probleemoplossing

Probleem: Er is een fout gevonden in het playbook

Als u een fout wilt melden of een verbetering voor een playbook wilt aanvragen, selecteert u de koppeling Ondersteund door in het detailvenster van het playbook. Als dit een playbook is dat door de community wordt ondersteund, wordt u via de koppeling naar een GitHub-probleem geopend. Anders wordt u omgeleid naar de pagina van de ondersteuningsfunctie.

Volgende stappen

In dit artikel hebt u geleerd hoe u kunt werken met playbooksjablonen, hoe u playbooks kunt maken en aanpassen aan uw behoeften. Meer informatie over playbooks en automatisering in Microsoft Sentinel: