Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, czym są podręczniki usługi Microsoft Sentinel i jak ich używać do implementowania operacji orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR), osiągania lepszych wyników przy jednoczesnym oszczędzaniu czasu i zasobów.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Co to jest podręcznik?

Analitycy SOC są zwykle zapełnieni alertami zabezpieczeń i zdarzeniami w regularnych odstępach czasu, w ilościach tak dużych, że dostępni pracownicy są przytłoczeni. Wynika to zbyt często w sytuacjach, w których wiele alertów jest ignorowanych, a wiele zdarzeń nie jest badanych, pozostawiając organizację podatną na ataki, które pozostają niezauważone.

Wiele, jeśli nie większość z tych alertów i zdarzeń, jest zgodnych z cyklicznymi wzorcami, które można rozwiązać za pomocą określonych i zdefiniowanych zestawów akcji korygujących. Analitycy mają również za zadanie podstawowe korygowanie i badanie zdarzeń, którymi zarządzają, aby rozwiązać ten problem. W zakresie, w jakim te działania mogą być zautomatyzowane, SOC może być o wiele bardziej produktywne i wydajne, co pozwala analitykom poświęcić więcej czasu i energii na działania śledcze.

Podręcznik to kolekcja tych akcji korygujących, które są uruchamiane z usługi Microsoft Sentinel jako rutynowe, aby pomóc zautomatyzować i zorganizować reakcję na zagrożenia. Można go uruchomić na dwa sposoby:

  • Ręcznie na żądanie dla określonej jednostki lub alertu
  • Automatycznie w odpowiedzi na określone alerty lub zdarzenia po wyzwoleniu przez regułę automatyzacji.

Na przykład w przypadku naruszenia zabezpieczeń konta i komputera podręcznik może odizolować maszynę od sieci i zablokować konto przez czas powiadamiania zespołu SOC o zdarzeniu.

Na karcie Aktywne podręczniki na stronie Automatyzacja są wyświetlane wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach, ale domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że w szczególności przyznasz uprawnienia usługi Microsoft Sentinel do grupy zasobów podręcznika.

Po dołączeniu do ujednoliconej platformy operacji zabezpieczeń karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. W witrynie Azure Portal dodaj dane dla innych subskrypcji przy użyciu filtru subskrypcji platformy Azure.

Szablony podręczników

Szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy, który można dostosować do Twoich potrzeb. Szablony mogą również służyć jako dokumentacja najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji.

Szablony podręczników nie mogą być używane jako podręczniki. Tworzysz podręcznik (edytowalną kopię szablonu).

Szablony podręczników można pobrać z następujących źródeł:

  • Na stronie Automatyzacja karta Szablony podręczników zawiera listę zainstalowanych szablonów podręczników. Na podstawie tego samego szablonu można utworzyć wiele aktywnych podręczników.

    Po opublikowaniu nowej wersji szablonu aktywne podręczniki utworzone na podstawie tego szablonu są wyświetlane na karcie Aktywne podręczniki z etykietą wskazującą, że aktualizacja jest dostępna.

  • Szablony podręczników są dostępne jako część rozwiązań produktów lub zawartości autonomicznej instalowanej ze strony Centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zawartość i rozwiązania usługi Microsoft Sentinel oraz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

  • Repozytorium GitHub usługi Microsoft Sentinel zawiera wiele szablonów podręczników. Można je wdrożyć w subskrypcji platformy Azure, wybierając przycisk Wdróż na platformie Azure .

Technicznie szablon podręcznika jest szablonem usługi ARM, który składa się z kilku zasobów: przepływu pracy usługi Azure Logic Apps i połączeń interfejsu API dla każdego zaangażowanego połączenia.

Ważne

Szablony podręczników są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Podstawowe pojęcia dotyczące usługi Azure Logic Apps

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w systemach w całym przedsiębiorstwie. Oznacza to, że podręczniki mogą korzystać ze wszystkich zdolności i możliwości wbudowanych szablonów w usłudze Azure Logic Apps.

Uwaga

Usługa Azure Logic Apps tworzy oddzielne zasoby, więc mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps.

Usługa Azure Logic Apps komunikuje się z innymi systemami i usługami przy użyciu łączników. Poniżej przedstawiono krótkie wyjaśnienie łączników i niektóre z ich ważnych atrybutów:

  • Łącznik zarządzany: zestaw akcji i wyzwalaczy, które otaczają wywołania interfejsu API do określonego produktu lub usługi. Usługa Azure Logic Apps oferuje setki łączników do komunikowania się zarówno z firmą Microsoft, jak i z usługi firmy Microsoft. Aby uzyskać więcej informacji, zobacz Łączniki usługi Azure Logic Apps i ich dokumentacja

  • Łącznik niestandardowy: możesz chcieć komunikować się z usługami, które nie są dostępne jako wstępnie utworzone łączniki. Łączniki niestandardowe odpowiadają tej potrzebie, umożliwiając tworzenie (a nawet udostępnianie) łącznika oraz definiowanie własnych wyzwalaczy i akcji. Aby uzyskać więcej informacji, zobacz Tworzenie własnych niestandardowych łączników usługi Azure Logic Apps.

  • Łącznik usługi Microsoft Sentinel: aby utworzyć podręczniki współdziałające z usługą Microsoft Sentinel, użyj łącznika usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz dokumentację łącznika usługi Microsoft Sentinel.

  • Wyzwalacz: składnik łącznika, który uruchamia przepływ pracy, w tym przypadku podręcznik. Wyzwalacz usługi Microsoft Sentinel definiuje schemat oczekiwany przez podręcznik po wyzwoleniu. Łącznik usługi Microsoft Sentinel ma obecnie trzy wyzwalacze:

    • Wyzwalacz alertu: podręcznik odbiera alert jako dane wejściowe.
    • Wyzwalacz jednostki (wersja zapoznawcza): podręcznik odbiera jednostkę jako dane wejściowe.
    • Wyzwalacz zdarzenia: podręcznik odbiera zdarzenie jako dane wejściowe wraz ze wszystkimi dołączonymi alertami i jednostkami.

  • Akcje: akcje to wszystkie kroki wykonywane po aktywowaniu wyzwalacza. Można je rozmieszczać sekwencyjnie, równolegle lub w macierzy złożonych warunków.

  • Pola dynamiczne: pola tymczasowe określone przez schemat wyjściowy wyzwalaczy i akcji oraz wypełnione rzeczywistymi danymi wyjściowymi, których można użyć w kolejnych akcjach.

Typy aplikacji logiki

Usługa Microsoft Sentinel obsługuje teraz następujące typy zasobów aplikacji logiki:

  • Użycie, które działa w wielodostępnym usłudze Azure Logic Apps i korzysta z klasycznego, oryginalnego aparatu usługi Azure Logic Apps.
  • Standardowa, która działa w usłudze Azure Logic Apps z jedną dzierżawą i używa przeprojektowanego aparatu usługi Azure Logic Apps.

Typ standardowej aplikacji logiki oferuje wyższą wydajność, stałe ceny, wiele możliwości przepływu pracy, łatwiejsze zarządzanie połączeniami interfejsu API, natywne możliwości sieci, takie jak obsługa sieci wirtualnych i prywatnych punktów końcowych (patrz uwaga poniżej), wbudowane funkcje ciągłej integracji/ciągłego wdrażania, lepsza integracja programu Visual Studio Code, zaktualizowany projektant przepływu pracy i inne.

Aby użyć tej wersji aplikacji logiki, utwórz nowe podręczniki w warstwie Standardowa w usłudze Microsoft Sentinel (patrz uwaga poniżej). Te podręczniki można używać w taki sam sposób, jak w podręcznikach Zużycie:

  • Dołącz je do reguł automatyzacji i/lub reguł analizy.
  • Uruchamiaj je na żądanie zarówno na podstawie zdarzeń, jak i alertów.
  • Zarządzaj nimi na karcie Aktywne podręczniki.

Uwaga

  • Standardowe przepływy pracy nie obsługują obecnie szablonów podręczników, co oznacza, że nie można utworzyć podręcznika opartego na przepływie pracy w warstwie Standardowa bezpośrednio w usłudze Microsoft Sentinel. Zamiast tego należy utworzyć przepływ pracy w usłudze Azure Logic Apps. Po utworzeniu przepływu pracy zostanie on wyświetlony jako podręcznik w usłudze Microsoft Sentinel.

  • Standardowe przepływy pracy usługi Logic Apps obsługują prywatne punkty końcowe, jak wspomniano powyżej, ale usługa Microsoft Sentinel wymaga zdefiniowania zasad ograniczeń dostępu w aplikacjach logiki w celu obsługi korzystania z prywatnych punktów końcowych w podręcznikach opartych na przepływach pracy w warstwie Standardowa.

    Jeśli zasady ograniczeń dostępu nie są zdefiniowane, przepływy pracy z prywatnymi punktami końcowymi mogą być nadal widoczne i wybierane po wybraniu podręcznika z listy w usłudze Microsoft Sentinel (czy należy uruchomić ręcznie, dodać do reguły automatyzacji lub w galerii podręczników) i będzie można je wybrać, ale ich wykonanie zakończy się niepowodzeniem.

  • Wskaźnik identyfikuje standardowe przepływy pracy jako stanowe lub bezstanowe. Usługa Microsoft Sentinel nie obsługuje obecnie bezstanowych przepływów pracy. Dowiedz się więcej o różnicach między stanowymi i bezstanowymi przepływami pracy.

Istnieje wiele różnic między tymi dwoma typami zasobów, z których niektóre wpływają na niektóre sposoby ich użycia w podręcznikach w usłudze Microsoft Sentinel. W takich przypadkach dokumentacja wskaże, co musisz wiedzieć. Aby uzyskać więcej informacji, zobacz Resource type and host environment differences (Różnice między typem zasobów i środowiskiem hosta) w dokumentacji usługi Azure Logic Apps.

Wymagane uprawnienia

Aby dać zespołowi SecOps możliwość używania usługi Azure Logic Apps do tworzenia i uruchamiania podręczników w usłudze Microsoft Sentinel, przypisz role platformy Azure do zespołu ds. operacji zabezpieczeń lub do określonych użytkowników w zespole. Poniżej opisano różne dostępne role i zadania, do których mają być przypisane:

Role platformy Azure dla usługi Azure Logic Apps

  • Współautor aplikacji logiki umożliwia zarządzanie aplikacjami logiki i elementami playbook, ale nie można zmienić dostępu do nich (w tym celu potrzebujesz roli Właściciel ).
  • Operator aplikacji logiki umożliwia odczytywanie, włączanie i wyłączanie aplikacji logiki, ale nie można ich edytować ani aktualizować.

Role platformy Azure dla usługi Microsoft Sentinel

  • Rola Współautor usługi Microsoft Sentinel umożliwia dołączenie podręcznika do reguły analizy lub automatyzacji.

  • Rola osoby reagującej w usłudze Microsoft Sentinel umożliwia dostęp do zdarzenia w celu ręcznego uruchomienia podręcznika. Ale aby rzeczywiście uruchomić podręcznik, potrzebujesz również ...

    • Rola Operator podręcznika usługi Microsoft Sentinel umożliwia ręczne uruchamianie podręcznika.
    • Współautor automatyzacji usługi Microsoft Sentinel umożliwia uruchamianie podręczników przez reguły automatyzacji. Nie jest używany do żadnego innego celu.

Dowiedz się więcej

Kroki tworzenia podręcznika

Przypadki użycia podręczników

Platforma Azure Logic Apps oferuje setki akcji i wyzwalaczy, więc można utworzyć niemal każdy scenariusz automatyzacji. Usługa Microsoft Sentinel zaleca rozpoczęcie od następujących scenariuszy SOC, dla których gotowe szablony podręczników są dostępne w pudełku:

Wzbogacenie

Zbieraj dane i dołączaj je do zdarzenia, aby podejmować inteligentniejsze decyzje.

Na przykład:

Zdarzenie usługi Microsoft Sentinel zostało utworzone na podstawie alertu przez regułę analizy, która generuje jednostki adresów IP.

Zdarzenie wyzwala regułę automatyzacji, która uruchamia podręcznik, wykonując następujące kroki:

  • Rozpocznij od utworzenia nowego zdarzenia usługi Microsoft Sentinel. Jednostki reprezentowane w zdarzeniu są przechowywane w polach dynamicznych wyzwalacza zdarzenia.

  • Dla każdego adresu IP wykonaj zapytanie względem zewnętrznego dostawcy analizy zagrożeń, takiego jak Suma wirusa, aby pobrać więcej danych.

  • Dodaj zwrócone dane i szczegółowe informacje jako komentarze do zdarzenia.

Synchronizacja dwukierunkowa

Podręczniki mogą służyć do synchronizowania zdarzeń usługi Microsoft Sentinel z innymi systemami biletów.

Na przykład:

Utwórz regułę automatyzacji dla wszystkich tworzenia zdarzeń i dołącz podręcznik, który otwiera bilet w usłudze ServiceNow:

  • Rozpocznij od utworzenia nowego zdarzenia usługi Microsoft Sentinel.

  • Utwórz nowy bilet w usłudze ServiceNow.

  • Uwzględnij w bilecie nazwę zdarzenia, ważne pola i adres URL zdarzenia usługi Microsoft Sentinel, aby ułatwić przestawienie.

Aranżacja

Użyj platformy czatu SOC, aby lepiej kontrolować kolejkę zdarzeń.

Na przykład:

Zdarzenie usługi Microsoft Sentinel zostało utworzone na podstawie alertu przez regułę analizy, która generuje jednostki nazwy użytkownika i adresu IP.

Zdarzenie wyzwala regułę automatyzacji, która uruchamia podręcznik, wykonując następujące kroki:

  • Rozpocznij od utworzenia nowego zdarzenia usługi Microsoft Sentinel.

  • Wyślij wiadomość do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Usłudze Slack , aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

  • Wyślij wszystkie informacje w alercie pocztą e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.

  • Poczekaj na odebranie odpowiedzi od administratorów, a następnie kontynuuj uruchamianie.

  • Jeśli administratorzy wybrali pozycję Blokuj, wyślij polecenie do zapory, aby zablokować adres IP w alercie, a drugi do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika.

Response

Natychmiastowe reagowanie na zagrożenia z minimalnymi zależnościami ludzkimi.

Dwa przykłady:

Przykład 1: Odpowiadanie na regułę analizy, która wskazuje naruszonego użytkownika, wykrytego przez Ochrona tożsamości Microsoft Entra:

  • Rozpocznij od utworzenia nowego zdarzenia usługi Microsoft Sentinel.

  • Dla każdej jednostki użytkownika w incydencie podejrzanym o naruszenie zabezpieczeń:

    • Wyślij wiadomość usługi Teams do użytkownika, żądając potwierdzenia, że użytkownik podjął podejrzaną akcję.

    • Sprawdź Ochrona tożsamości Microsoft Entra, aby potwierdzić stan użytkownika jako naruszony. Ochrona tożsamości Microsoft Entra oznaczy użytkownika jako ryzykowne i zastosuje wszystkie już skonfigurowane zasady wymuszania — na przykład, aby wymagać od użytkownika używania uwierzytelniania wieloskładnikowego podczas następnego logowania.

      Uwaga

      Ta konkretna akcja firmy Microsoft Entra nie inicjuje żadnych działań wymuszania na użytkowniku ani nie inicjuje żadnej konfiguracji zasad wymuszania. Informuje tylko Ochrona tożsamości Microsoft Entra, aby zastosować wszystkie już zdefiniowane zasady zgodnie z potrzebami. Każde wymuszanie zależy całkowicie od zasad zdefiniowanych w Ochrona tożsamości Microsoft Entra.

Przykład 2: Odpowiadanie na regułę analizy, która wskazuje naruszoną maszynę, wykrytą przez Ochrona punktu końcowego w usłudze Microsoft Defender:

  • Rozpocznij od utworzenia nowego zdarzenia usługi Microsoft Sentinel.

  • Użyj akcji Jednostki — Pobierz hosty w usłudze Microsoft Sentinel, aby przeanalizować podejrzane maszyny uwzględnione w jednostkach zdarzeń.

  • Wydaj polecenie, aby Ochrona punktu końcowego w usłudze Microsoft Defender w celu odizolowania maszyn w alercie.

Ręczna odpowiedź podczas badania lub podczas wyszukiwania zagrożeń

Reagowanie na zagrożenia w trakcie aktywnej działalności śledczej bez przestawiania się z kontekstu.

Dzięki nowemu wyzwalaczowi jednostki (teraz w wersji zapoznawczej) możesz podjąć natychmiastowe działania na poszczególnych podmiotach zagrożeń, które odnajdujesz podczas badania, po jednym naraz, bezpośrednio w ramach badania. Ta opcja jest również dostępna w kontekście wyszukiwania zagrożeń, bez połączenia z konkretnym zdarzeniem. Możesz wybrać jednostkę w kontekście i wykonać na niej akcje bezpośrednio, zaoszczędzić czas i zmniejszyć złożoność.

Akcje, które można wykonać dla jednostek przy użyciu tego typu podręcznika, obejmują:

  • Blokowanie naruszonego użytkownika.
  • Blokowanie ruchu ze złośliwego adresu IP w zaporze.
  • Izolowanie naruszonego hosta w sieci.
  • Dodawanie adresu IP do listy obserwowanych bezpiecznych/niebezpiecznych adresów lub do zewnętrznej bazy danych CMDB.
  • Pobieranie raportu skrótu pliku z zewnętrznego źródła analizy zagrożeń i dodawanie go do zdarzenia jako komentarza.

Jak uruchomić podręcznik

Podręczniki można uruchamiać ręcznie lub automatycznie.

Są one przeznaczone do automatycznego uruchamiania i najlepiej, aby były uruchamiane w normalnym przebiegu operacji. Podręcznik jest uruchamiany automatycznie, definiując go jako automatyczną odpowiedź w regule analizy (w przypadku alertów) lub jako akcję w regule automatyzacji (w przypadku zdarzeń).

Istnieją jednak okoliczności, które wymagają ręcznego uruchamiania podręczników. Na przykład:

  • Podczas tworzenia nowego podręcznika należy go przetestować przed umieszczeniem go w środowisku produkcyjnym.

  • Mogą występować sytuacje, w których chcesz mieć większą kontrolę i dane wejściowe człowieka, kiedy i czy określony podręcznik działa.

    Podręcznik jest uruchamiany ręcznie przez otwarcie zdarzenia, alertu lub jednostki i wybranie i uruchomienie skojarzonego podręcznika. Obecnie ta funkcja jest ogólnie dostępna dla alertów i w wersji zapoznawczej dla zdarzeń i jednostek.

Ustawianie automatycznej odpowiedzi

Zespoły ds. operacji zabezpieczeń mogą znacznie zmniejszyć swoje obciążenie, automatyzując rutynowe odpowiedzi na cykliczne typy zdarzeń i alertów, co pozwala skoncentrować się bardziej na unikatowych zdarzeniach i alertach, analizowaniu wzorców, wyszukiwaniu zagrożeń i nie tylko.

Ustawienie automatycznej odpowiedzi oznacza, że za każdym razem, gdy reguła analizy zostanie wyzwolona, oprócz utworzenia alertu, reguła uruchomi podręcznik, który będzie otrzymywać jako dane wejściowe alertu utworzonego przez regułę.

Jeśli alert utworzy zdarzenie, zdarzenie wyzwoli regułę automatyzacji, która może z kolei uruchomić podręcznik, który otrzyma jako dane wejściowe zdarzenia utworzone przez alert.

Automatyczna odpowiedź na tworzenie alertów

W przypadku podręczników wyzwalanych przez tworzenie alertów i odbierania alertów jako danych wejściowych (pierwszym krokiem jest "Alert usługi Microsoft Sentinel"), dołącz podręcznik do reguły analizy:

  1. Edytuj regułę analizy, która generuje alert, dla którego chcesz zdefiniować automatyczną odpowiedź.

  2. W obszarze Automatyzacja alertów na karcie Automatyczna odpowiedź wybierz podręcznik lub podręczniki, które ta reguła analizy zostanie wyzwolona po utworzeniu alertu.

Automatyczna odpowiedź na tworzenie zdarzeń

W przypadku podręczników wyzwalanych przez tworzenie zdarzeń i odbierania zdarzeń jako danych wejściowych (ich pierwszym krokiem jest "Zdarzenie usługi Microsoft Sentinel"), utwórz regułę automatyzacji i zdefiniuj w niej akcję Uruchom podręcznik . Można to zrobić na 2 sposoby:

  • Edytuj regułę analizy, która generuje zdarzenie, dla którego chcesz zdefiniować automatyczną odpowiedź. W obszarze Automatyzacja zdarzeń na karcie Automatyczna odpowiedź utwórz regułę automatyzacji. Spowoduje to utworzenie automatycznej odpowiedzi tylko dla tej reguły analizy.

  • Na karcie Reguły automatyzacji na stronie Automatyzacja utwórz nową regułę automatyzacji i określ odpowiednie warunki i żądane akcje. Ta reguła automatyzacji zostanie zastosowana do dowolnej reguły analizy, która spełnia określone warunki.

    Uwaga

    Usługa Microsoft Sentinel wymaga uprawnień do uruchamiania podręczników wyzwalacza zdarzeń.

    Aby uruchomić podręcznik na podstawie wyzwalacza zdarzenia, niezależnie od tego, czy ręcznie, czy z reguły automatyzacji, usługa Microsoft Sentinel używa konta usługi specjalnie autoryzowanego do tego celu. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi i umożliwia interfejsowi API reguł automatyzacji obsługę przypadków użycia ciągłej integracji/ciągłego wdrażania.

    To konto musi mieć jawne uprawnienia (przy użyciu roli Współautor automatyzacji usługi Microsoft Sentinel) w grupie zasobów, w której znajduje się podręcznik. W tym momencie będzie można uruchomić dowolny podręcznik w tej grupie zasobów, ręcznie lub z dowolnej reguły automatyzacji.

    Po dodaniu akcji run playbook do reguły automatyzacji zostanie wyświetlona lista rozwijana podręczników do wyboru. Podręczniki, do których usługa Microsoft Sentinel nie ma uprawnień, będą wyświetlane jako niedostępne ("wyszarzane"). Możesz udzielić uprawnień do usługi Microsoft Sentinel na miejscu, wybierając link Zarządzaj uprawnieniami podręcznika.

    W scenariuszu z wieloma dzierżawami (Lighthouse) należy zdefiniować uprawnienia do dzierżawy, w której znajduje się podręcznik, nawet jeśli reguła automatyzacji wywołująca podręcznik znajduje się w innej dzierżawie. Aby to zrobić, musisz mieć uprawnienia właściciela w grupie zasobów podręcznika.

    Istnieje unikatowy scenariusz, w którym dostawca usług zabezpieczeń zarządzanych (MSSP), w którym dostawca usług, po zalogowaniu się do własnej dzierżawy, tworzy regułę automatyzacji w obszarze roboczym klienta przy użyciu usługi Azure Lighthouse. Ta reguła automatyzacji wywołuje podręcznik należący do dzierżawy klienta. W takim przypadku usługa Microsoft Sentinel musi mieć przyznane uprawnienia do obu dzierżaw. W dzierżawie klienta udzielasz ich w panelu Zarządzanie uprawnieniami podręcznika, podobnie jak w przypadku zwykłego scenariusza z wieloma dzierżawami. Aby udzielić odpowiednich uprawnień w dzierżawie dostawcy usług, należy dodać dodatkowe delegowanie usługi Azure Lighthouse, które udziela praw dostępu do aplikacji Azure Security Szczegółowe informacje z rolą Współautor automatyzacji usługi Microsoft Sentinel w grupie zasobów, w której znajduje się podręcznik. Dowiedz się, jak dodać to delegowanie.

Zapoznaj się z pełnymi instrukcjami dotyczącymi tworzenia reguł automatyzacji.

Ręczne uruchamianie podręcznika

Pełna automatyzacja to najlepsze rozwiązanie dla wielu zadań związanych z obsługą zdarzeń, badaniem i ograniczaniem ryzyka w miarę wygody automatyzowania. Mówiąc o tym, mogą istnieć dobre powody dla rodzaju automatyzacji hybrydowej: używanie podręczników do konsolidacji ciągu działań w wielu systemach w jednym poleceniu, ale uruchamianie podręczników tylko wtedy, gdy i gdzie decydujesz. Na przykład:

  • Wolisz, aby analitycy SOC mieli więcej ludzkich danych wejściowych i kontroli nad niektórymi sytuacjami.

  • Możesz również chcieć, aby mogli podejmować działania względem określonych podmiotów zagrożeń (jednostek) na żądanie, w trakcie badania lub wyszukiwania zagrożeń, w kontekście bez konieczności przestawienia się na inny ekran. (Ta możliwość jest teraz dostępna w wersji zapoznawczej).

  • Inżynierowie SOC mogą pisać podręczniki, które działają na określonych jednostkach (teraz w wersji zapoznawczej) i które mogą być uruchamiane tylko ręcznie.

  • Prawdopodobnie chcesz, aby twoi inżynierowie mogli przetestować podręczniki, które piszą przed pełnym wdrożeniem ich w regułach automatyzacji.

Z tych i innych powodów usługa Microsoft Sentinel umożliwia ręczne uruchamianie podręczników na żądanie dla jednostek i zdarzeń (obecnie w wersji zapoznawczej), a także alertów.

  • Aby uruchomić podręcznik w określonym zdarzeniu, wybierz zdarzenie z siatki na stronie Incydenty . W witrynie Azure Portal wybierz pozycję Akcje w okienku szczegółów zdarzenia, a następnie z menu kontekstowego wybierz pozycję Uruchom element playbook (wersja zapoznawcza ). W portalu usługi Defender wybierz pozycję Uruchom podręcznik (wersja zapoznawcza) bezpośrednio ze strony szczegółów zdarzenia.

    Spowoduje to otwarcie elementu playbook run na panelu incydentów .

  • Aby uruchomić podręcznik dla alertu, wybierz zdarzenie, wprowadź szczegóły zdarzenia, a następnie na karcie Alerty wybierz alert i wybierz pozycję Wyświetl podręczniki.

    Spowoduje to otwarcie panelu Podręczniki alertów .

  • Aby uruchomić podręcznik w jednostce, wybierz jednostkę w dowolny z następujących sposobów:

    • Na karcie Jednostki zdarzenia wybierz jednostkę z listy i wybierz link Run playbook (Preview) na końcu wiersza na liście.
    • Na wykresie Badanie wybierz jednostkę i wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu bocznym jednostki.
    • W obszarze Zachowanie jednostki wybierz jednostkę i na stronie jednostki wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

    Wszystkie te elementy będą otwierać element playbook Run na< panelu typu> jednostki.

W każdym z tych paneli zobaczysz dwie karty: Podręczniki i Uruchomienia.

  • Na karcie Podręczniki zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp i które używają odpowiedniego wyzwalacza — niezależnie od tego, czy zdarzenie usługi Microsoft Sentinel, alert usługi Microsoft Sentinel, czy jednostka usługi Microsoft Sentinel. Każdy element playbook na liście ma przycisk Uruchom , który umożliwia natychmiastowe uruchomienie podręcznika.
    Jeśli chcesz uruchomić podręcznik wyzwalacza zdarzeń, którego nie widzisz na liście, zobacz notatkę dotyczącą uprawnień usługi Microsoft Sentinel powyżej.

  • Na karcie Uruchomienia zostanie wyświetlona lista wszystkich przypadków uruchomienia dowolnego podręcznika dla wybranego zdarzenia lub alertu. Wyświetlenie dowolnego przebiegu ukończonego na tej liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Azure Logic Apps.

Zarządzanie podręcznikami

Na karcie Aktywne podręczniki zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, filtrowanych według subskrypcji, które są obecnie wyświetlane na platformie Azure. Filtr subskrypcji jest dostępny z menu Katalog i subskrypcja w nagłówku strony globalnej.

Kliknięcie nazwy podręcznika spowoduje przekierowanie do strony głównej podręcznika w usłudze Azure Logic Apps. Kolumna Stan wskazuje, czy jest włączona, czy wyłączona.

Kolumna Plan wskazuje, czy podręcznik używa typu zasobu Standard lub Consumption w usłudze Azure Logic Apps. Listę można filtrować według typu planu, aby wyświetlić tylko jeden typ podręcznika. Zauważysz, że podręczniki typu Standard używają LogicApp/Workflow konwencji nazewnictwa. Ta konwencja odzwierciedla fakt, że podręcznik w warstwie Standardowa reprezentuje przepływ pracy, który istnieje wraz z innymi przepływami pracy w jednej aplikacji logiki.

Rodzaj wyzwalacza reprezentuje wyzwalacz usługi Azure Logic Apps, który uruchamia ten podręcznik.

Rodzaj wyzwalacza Wskazuje typy składników w podręczniku
Zdarzenie/alert/jednostka usługi Microsoft Sentinel Podręcznik jest uruchamiany z jednym z wyzwalaczy usługi Sentinel (zdarzenie, alert, jednostka)
Korzystanie z akcji usługi Microsoft Sentinel Podręcznik jest uruchamiany z wyzwalaczem spoza usługi Sentinel, ale używa akcji usługi Microsoft Sentinel
Inne Podręcznik nie zawiera żadnych składników usługi Sentinel
Nie zainicjowano Podręcznik został utworzony, ale nie zawiera żadnych składników (wyzwalaczy lub akcji).

Na stronie usługi Azure Logic Apps podręcznika można wyświetlić więcej informacji o podręczniku, w tym dziennik wszystkich uruchomionych operacji oraz wynik (powodzenie lub niepowodzenie i inne szczegóły). Możesz również otworzyć projektanta przepływu pracy w usłudze Azure Logic Apps i edytować podręcznik bezpośrednio, jeśli masz odpowiednie uprawnienia.

Połączenia interfejsu API

Połączenia interfejsu API służą do łączenia usługi Azure Logic Apps z innymi usługami. Za każdym razem, gdy jest tworzone nowe uwierzytelnianie dla łącznika w usłudze Azure Logic Apps, tworzony jest nowy zasób typu połączenie interfejsu API i zawiera informacje podane podczas konfigurowania dostępu do usługi.

Aby wyświetlić wszystkie połączenia interfejsu API, wprowadź połączenia interfejsu API w polu wyszukiwania nagłówka witryny Azure Portal. Zwróć uwagę na interesujące kolumny:

  • Nazwa wyświetlana — przyjazna nazwa, którą podajesz do połączenia za każdym razem, gdy go utworzysz.
  • Stan — wskazuje stan połączenia: błąd, połączono.
  • Grupa zasobów — połączenia interfejsu API są tworzone w grupie zasobów zasobu podręcznika (Azure Logic Apps).

Innym sposobem wyświetlania połączeń interfejsu API jest przejście do strony Wszystkie zasoby i filtrowanie ich według typu połączenie interfejsu API. Dzięki temu można jednocześnie zaznaczać, oznaczać i usuwać wiele połączeń.

Aby zmienić autoryzację istniejącego połączenia, wprowadź zasób połączenia i wybierz pozycję Edytuj połączenie interfejsu API.

Następujące zalecane podręczniki i inne podobne podręczniki są dostępne w centrum zawartości lub w repozytorium GitHub usługi Microsoft Sentinel:

Następne kroki