Samouczek: reagowanie na zagrożenia przy użyciu podręczników za pomocą reguł automatyzacji w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym samouczku pokazano, jak używać podręczników wraz z regułami automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa wykrytych przez usługę Microsoft Sentinel. Po ukończeniu tego samouczka będziesz mieć następujące możliwości:

• Tworzenie reguły automatyzacji
• Tworzenie podręcznika
• Dodawanie akcji do podręcznika
• Dołączanie podręcznika do reguły automatyzacji lub reguły analizy w celu zautomatyzowania reagowania na zagrożenia

Uwaga

Ten samouczek zawiera podstawowe wskazówki dotyczące zadania klienta: tworzenie automatyzacji w celu klasyfikacji zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Instrukcje , takie jak Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel i Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Co to są reguły automatyzacji i podręczniki?

Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel. Można ich używać do automatycznego przypisywania zdarzeń do odpowiedniego personelu, zamykania hałaśliwych zdarzeń lub znanych wyników fałszywie dodatnich, zmiany ich ważności i dodawania tagów. Są one również mechanizmem, za pomocą którego można uruchamiać podręczniki w odpowiedzi na zdarzenia lub alerty.

Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na całe zdarzenie, do pojedynczego alertu lub do określonej jednostki. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź. Można go ustawić tak, aby był uruchamiany automatycznie po wygenerowaniu określonych alertów lub utworzeniu lub zaktualizowaniu zdarzeń przez dołączanie do reguły automatyzacji. Można go również uruchamiać ręcznie na żądanie dla określonych zdarzeń, alertów lub jednostek.

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskasz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony usługi Logic Apps. Każdy podręcznik jest tworzony dla określonej subskrypcji, do której należy, ale na ekranie Podręczniki są wyświetlane wszystkie podręczniki dostępne we wszystkich wybranych subskrypcjach.

Uwaga

Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Jeśli na przykład chcesz zatrzymać potencjalnie naruszone zabezpieczenia użytkowników przed poruszaniem się po sieci i kradzieżą informacji, możesz utworzyć zautomatyzowaną, wielowymiarową odpowiedź na zdarzenia generowane przez reguły, które wykrywają naruszonych użytkowników. Zacznij od utworzenia podręcznika, który wykonuje następujące czynności:

1. Gdy podręcznik jest wywoływany przez regułę automatyzacji przekazującą zdarzenie, podręcznik otwiera bilet w usłudze ServiceNow lub innym systemie obsługi biletów IT.

2. Wysyła komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack , aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

3. Wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.

4. Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.

5. Jeśli administratorzy wybierają pozycję Blokuj, wysyła polecenie do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika, a jeden z nich do zapory w celu zablokowania adresu IP.

6. Jeśli administratorzy wybiorą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.

Aby wyzwolić podręcznik, utworzysz regułę automatyzacji uruchamianą po wygenerowaniu tych zdarzeń. Ta reguła podejmie następujące kroki:

1. Reguła zmienia stan zdarzenia na Aktywny.

2. Przypisuje zdarzenie do analityka, który ma za zadanie zarządzać tym typem zdarzenia.

3. Dodaje tag "naruszonego użytkownika".

4. Na koniec wywołuje właśnie utworzony podręcznik. (Do tego kroku są wymagane specjalne uprawnienia).

Podręczniki można uruchamiać automatycznie w odpowiedzi na zdarzenia, tworząc reguły automatyzacji, które nazywają podręczniki jako akcje, jak w powyższym przykładzie. Można je również uruchamiać automatycznie w odpowiedzi na alerty, informując regułę analizy o automatycznym uruchomieniu co najmniej jednego podręcznika po wygenerowaniu alertu.

Możesz również uruchomić podręcznik ręcznie na żądanie jako odpowiedź na wybrany alert.

Uzyskaj bardziej kompletne i szczegółowe wprowadzenie do automatyzacji reagowania na zagrożenia przy użyciu reguł automatyzacji i podręczników w usłudze Microsoft Sentinel.

Tworzenie podręcznika

Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:

Witryna Azure Portal

Portal usługi Defender

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.

2. W górnym menu wybierz pozycję Utwórz.

3. Menu rozwijane wyświetlane w obszarze Utwórz daje cztery opcje tworzenia podręczników:

   1. Jeśli tworzysz podręcznik w warstwie Standardowa (nowy rodzaj — zobacz Typy aplikacji logiki), wybierz pozycję Pusty podręcznik , a następnie postępuj zgodnie z instrukcjami na karcie Logic Apps Standard poniżej.

   2. Jeśli tworzysz podręcznik Zużycie (oryginalny, klasyczny), w zależności od wyzwalacza jednostki wybierz element Playbook z wyzwalaczem zdarzenia, element Playbook z wyzwalaczem alertu lub element playbook z wyzwalaczem jednostki. Następnie wykonaj poniższe kroki na karcie Użycie usługi Logic Apps.

      Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Użycie usługi Logic Apps

Przygotowywanie podręcznika i aplikacji logiki

Niezależnie od tego, który wyzwalacz został wybrany do utworzenia podręcznika w poprzednim kroku, zostanie wyświetlony kreator Tworzenie podręcznika .

1. Na karcie Podstawy :

   1. Wybierz pozycję Subskrypcja, Grupa zasobów i Region wybranego z odpowiednich list rozwijanych. Wybrany region to miejsce, w którym będą przechowywane informacje o aplikacji logiki.

   2. Wprowadź nazwę podręcznika w obszarze Nazwa podręcznika.

   3. Jeśli chcesz monitorować aktywność tego podręcznika w celach diagnostycznych, zaznacz pole wyboru Włącz dzienniki diagnostyczne w usłudze Log Analytics i wybierz obszar roboczy usługi Log Analytics z listy rozwijanej.

   4. Jeśli podręczniki potrzebują dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z nimi, może być konieczne użycie środowiska usługi integracji (ISE). Jeśli tak, zaznacz pole wyboru Skojarz ze środowiskiem usługi integracji i wybierz z listy rozwijanej żądane środowisko ISE.

   5. Wybierz pozycję Dalej: Połączenie ions >.

2. Na karcie Połączenie ions:

   Najlepiej pozostawić tę sekcję tak, jak to jest, konfigurując usługę Logic Apps w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej. Dowiedz się więcej o tych i innych alternatywach uwierzytelniania.

   Wybierz pozycję Dalej: Przejrzyj i utwórz plik >.

3. Na karcie Przeglądanie i tworzenie:

   Przejrzyj dokonane opcje konfiguracji, a następnie wybierz pozycję Utwórz i przejdź do projektanta.

4. Tworzenie i wdrażanie podręcznika potrwa kilka minut, po czym zostanie wyświetlony komunikat "Wdrożenie zostało ukończone" i nastąpi przekierowanie do nowej aplikacji logiki podręcznika Projektant. Wyzwalacz wybrany na początku zostanie automatycznie dodany jako pierwszy krok i możesz kontynuować projektowanie przepływu pracy.

   

   Jeśli wybrano wyzwalacz jednostki Usługi Microsoft Sentinel (wersja zapoznawcza), wybierz typ jednostki, którą ten podręcznik ma odbierać jako dane wejściowe.

   

Logic Apps Standard

Przygotowywanie aplikacji logiki i przepływu pracy

Istnieją trzy kroki umożliwiające rozpoczęcie tworzenia podręcznika usługi Logic Apps w warstwie Standardowa:

1. Tworzenie aplikacji logiki.
2. Utwórz przepływ pracy (jest to rzeczywisty podręcznik).
3. Wybierz wyzwalacz.

Tworzenie aplikacji logiki

Po wybraniu opcji Pusty podręcznik zostanie otwarta nowa karta przeglądarki i nastąpi przejście do Kreatora tworzenia aplikacji logiki.

1. Na karcie Podstawy :

   1. Wybierz wybraną subskrypcję i grupę zasobów z odpowiednich list rozwijanych.

   2. Wprowadź nazwę aplikacji logiki. W obszarze Publikowanie wybierz pozycję Przepływ pracy. Wybierz region, w którym chcesz wdrożyć aplikację logiki.

   3. W polu Typ planu wybierz pozycję Standardowa.

   4. Wybierz pozycję Dalej: Hosting >.

2. Na karcie Hosting :

   1. W polu Typ magazynu wybierz pozycję Azure Storage, a następnie wybierz lub utwórz konto magazynu.

   2. Wybierz plan systemu Windows.

3. Wybierz pozycję Dalej: Monitorowanie >.

4. Na karcie Monitorowanie:

   1. Jeśli chcesz włączyć monitorowanie wydajności w usłudze Azure Monitor dla tej aplikacji, pozostaw przełącznik Tak. W przeciwnym razie przełącz go na nie.

      Uwaga

      To monitorowanie nie jest wymagane w przypadku usługi Microsoft Sentinel i będzie kosztować Dodatkowe.

   2. Jeśli chcesz wybrać pozycję Dalej: Tagi > , aby zastosować tagi do tej aplikacji logiki na potrzeby kategoryzacji zasobów i rozliczeń. W przeciwnym razie wybierz pozycję Przejrzyj i utwórz.

5. Na karcie Przeglądanie i tworzenie:

   Przejrzyj dokonane opcje konfiguracji i wybierz pozycję Utwórz.

6. Tworzenie i wdrażanie podręcznika potrwa kilka minut, podczas którego będą wyświetlane komunikaty dotyczące wdrażania. Na końcu procesu nastąpi przejście na ekran wdrożenia końcowego, na którym zostanie wyświetlony komunikat "Wdrożenie zostało ukończone".

   Wybierz pozycję Przejdź do zasobu. Nastąpi przekierowanie do strony głównej nowej aplikacji logiki.

   W przeciwieństwie do klasycznych podręczników zużycie nie zostało jeszcze zrobione. Teraz musisz utworzyć przepływ pracy.

Tworzenie przepływu pracy (podręcznik)

1. Wybierz pozycję Przepływy pracy z menu nawigacji na stronie Aplikacja logiki.

2. Wybierz pozycję + Dodaj na pasku przycisków u góry (może upłynąć kilka sekund, aby przycisk był aktywny).

3. Zostanie wyświetlony panel Nowy przepływ pracy . Wprowadź nazwę przepływu pracy.

4. W obszarze Typ stanu wybierz pozycję Stanowe.

   Uwaga

   Usługa Microsoft Sentinel obecnie nie obsługuje korzystania z przepływów pracy bezstanowych jako podręczników.

5. Wybierz pozycję Utwórz. Przepływ pracy zostanie zapisany i pojawi się na liście przepływów pracy w aplikacji logiki. Wybierz przepływ pracy, aby kontynuować.

6. Wprowadzisz stronę przepływu pracy. W tym miejscu można wyświetlić wszystkie informacje o przepływie pracy, w tym rekord wszystkich czasów jego uruchomienia. W menu nawigacji wybierz pozycję Projektant.

7. Zostanie otwarty ekran Projektant i natychmiast zostanie wyświetlony monit o dodanie wyzwalacza i kontynuowanie projektowania przepływu pracy.

   

Wybieranie wyzwalacza

1. Wybierz kartę Azure i wprowadź ciąg "Sentinel" w wierszu wyszukiwania.

2. Na poniższej karcie Wyzwalacze zobaczysz trzy wyzwalacze oferowane przez usługę Microsoft Sentinel:

   • Alert usługi Microsoft Sentinel (wersja zapoznawcza)
   • Jednostka usługi Microsoft Sentinel (wersja zapoznawcza)
   • Zdarzenie usługi Microsoft Sentinel (wersja zapoznawcza)

   Wybierz wyzwalacz zgodny z typem tworzonego podręcznika.

   

   Jeśli wybrano wyzwalacz jednostki Usługi Microsoft Sentinel (wersja zapoznawcza), wybierz typ jednostki, którą ten podręcznik ma odbierać jako dane wejściowe.

   

Uwaga

Po wybraniu wyzwalacza lub każdej kolejnej akcji zostanie wyświetlony monit o uwierzytelnienie się u dowolnego dostawcy zasobów, z którym korzystasz. W takim przypadku dostawca to Microsoft Sentinel. Istnieje kilka różnych metod uwierzytelniania. Aby uzyskać szczegółowe informacje i instrukcje, zobacz Uwierzytelnianie podręczników w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel

Dodawanie akcji

Teraz możesz zdefiniować, co się stanie po wywołaniu podręcznika. Akcje, warunki logiczne, pętle lub warunki przypadku przełącznika można dodawać, wybierając pozycję Nowy krok. To zaznaczenie otwiera nową ramkę w projektancie, w której można wybrać system lub aplikację do interakcji z lub warunek do ustawienia. Wprowadź nazwę systemu lub aplikacji na pasku wyszukiwania w górnej części ramki, a następnie wybierz spośród dostępnych wyników.

W każdym z tych kroków kliknięcie dowolnego pola powoduje wyświetlenie panelu z dwoma menu: zawartość dynamiczna i wyrażenie. W menu Zawartość dynamiczna można dodawać odwołania do atrybutów alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i szczegółów niestandardowych zawartych w alercie lub incydencie. W menu Wyrażenie możesz wybrać dużą bibliotekę funkcji, aby dodać dodatkową logikę do kroków.

Ten zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia podręcznika opisanego w przykładzie na początku tego dokumentu. Dowiedz się więcej o dodawaniu akcji do podręczników.

Zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel, aby uzyskać szczegółowe informacje o akcjach, które można dodać do podręczników w różnych celach.

W szczególności należy pamiętać o ważnych informacjach dotyczących podręczników opartych na wyzwalaczu jednostki w kontekście niezdarnym.

Automatyzowanie odpowiedzi na zagrożenia

Element playbook został utworzony i zdefiniowany wyzwalacz, ustawił warunki i przepisał akcje, które zostaną wykonane, oraz dane wyjściowe, które zostaną utworzone. Teraz należy określić kryteria uruchamiania i skonfigurować mechanizm automatyzacji, który będzie uruchamiany po spełnieniu tych kryteriów.

Reagowanie na zdarzenia i alerty

Aby użyć podręcznika do automatycznego reagowania na całe zdarzenie lub do pojedynczego alertu, utwórz regułę automatyzacji, która będzie uruchamiana po utworzeniu lub zaktualizowaniu zdarzenia lub wygenerowaniu alertu. Ta reguła automatyzacji będzie zawierać krok, który wywołuje podręcznik, którego chcesz użyć.

Aby utworzyć regułę automatyzacji:

1. Na stronie Automatyzacja w menu nawigacji usługi Microsoft Sentinel wybierz pozycję Utwórz z górnego menu, a następnie pozycję Reguła usługi Automation.

   

2. Zostanie otwarty panel Tworzenie nowej reguły automatyzacji. Wprowadź nazwę reguły.

   Opcje różnią się w zależności od tego, czy obszar roboczy jest dołączony do ujednoliconej platformy operacji zabezpieczeń. Na przykład:

   Dołączone obszary robocze

   

   Obszary robocze, które nie są dołączone

   

3. Wyzwalacz: wybierz odpowiedni wyzwalacz zgodnie z okolicznościami, dla których tworzysz regułę automatyzacji — po utworzeniu zdarzenia, po zaktualizowaniu zdarzenia lub utworzeniu alertu.

4. Warunki:

   1. Jeśli obszar roboczy nie został jeszcze dołączony do ujednoliconej platformy operacji zabezpieczeń, zdarzenia mogą mieć dwa możliwe źródła:

      • Zdarzenia można tworzyć w usłudze Microsoft Sentinel
      • Zdarzenia można importować z usługi Microsoft Defender XDR i synchronizować z usługą Microsoft Defender.

      Jeśli wybrano jeden z wyzwalaczy zdarzenia i chcesz, aby reguła automatyzacji weszła w życie tylko na zdarzeniach źródłowych w usłudze Microsoft Sentinel lub alternatywnie w usłudze Microsoft Defender XDR, określ źródło w polu Jeśli dostawca zdarzenia jest równy warunek.

      Ten warunek będzie wyświetlany tylko wtedy, gdy zostanie wybrany wyzwalacz zdarzenia, a obszar roboczy nie zostanie dołączony do ujednoliconej platformy operacji zabezpieczeń.

   2. W przypadku wszystkich typów wyzwalaczy, jeśli chcesz, aby reguła automatyzacji obowiązywała tylko dla określonych reguł analizy, określ te, które zmodyfikując nazwę reguły If Analytics zawiera warunek.

   3. Dodaj inne warunki, które chcesz określić, czy ta reguła automatyzacji zostanie uruchomiona. Wybierz pozycję + Dodaj i wybierz z listy rozwijanej warunki lub grupy warunków. Lista warunków jest wypełniana szczegółami alertu i polami identyfikatora jednostki.

5. Akcje:

   1. Ponieważ używasz tej reguły automatyzacji do uruchamiania podręcznika, wybierz akcję Uruchom podręcznik z listy rozwijanej. Następnie zostanie wyświetlony monit o wybranie z drugiej listy rozwijanej zawierającej dostępne podręczniki. Reguła automatyzacji może uruchamiać tylko te podręczniki, które zaczynają się od tego samego wyzwalacza (zdarzenia lub alertu), co wyzwalacz zdefiniowany w regule, więc tylko te podręczniki będą wyświetlane na liście.

      Ważne

      Usługa Microsoft Sentinel musi mieć jawne uprawnienia, aby można było uruchamiać podręczniki, zarówno ręcznie, jak i z reguł automatyzacji. Jeśli element playbook pojawi się na liście rozwijanej "wyszaryzowany", oznacza to, że usługa Sentinel nie ma uprawnień do grupy zasobów tego podręcznika. Kliknij link Zarządzaj uprawnieniami podręcznika, aby przypisać uprawnienia.

      W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie kliknij przycisk Zastosuj.

      

      • Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Współautor aplikacji logiki w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

      • W przypadku wdrożenia wielodostępnego, jeśli podręcznik, który chcesz uruchomić, znajduje się w innej dzierżawie, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w dzierżawie podręcznika.

        1. W menu nawigacji usługi Microsoft Sentinel w dzierżawie podręczników wybierz pozycję Ustawienia.
        2. W bloku Ustawienia wybierz kartę Ustawienia, a następnie rozwiń pozycję Uprawnienia podręcznika.
        3. Kliknij przycisk Konfiguruj uprawnienia, aby otworzyć panel Zarządzanie uprawnieniami wymienionymi powyżej i kontynuować zgodnie z opisem.

      • Jeśli w scenariuszu msSP chcesz uruchomić podręcznik w dzierżawie klienta z reguły automatyzacji utworzonej podczas logowania do dzierżawy dostawcy usług, musisz przyznać usłudze Microsoft Sentinel uprawnienia do uruchamiania podręcznika w obu dzierżawach. W dzierżawie klienta postępuj zgodnie z instrukcjami dotyczącymi wdrożenia z wieloma dzierżawami w poprzednim punkcie punktorowym. W dzierżawie dostawcy usług należy dodać aplikację Azure Security Szczegółowe informacje w szablonie dołączania usługi Azure Lighthouse:

        1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID.
        2. Kliknij pozycję Aplikacje dla przedsiębiorstw.
        3. Wybierz pozycję Typ aplikacji i filtruj w obszarze Aplikacje firmy Microsoft.
        4. W polu wyszukiwania wpisz Azure Security Szczegółowe informacje.
        5. Skopiuj pole Identyfikator obiektu. Musisz dodać tę dodatkową autoryzację do istniejącego delegowania usługi Azure Lighthouse.

        Rola Współautor automatyzacji usługi Microsoft Sentinel ma stały identyfikator GUID, który jest f4c81013-99ee-4d62-a7ee-b3f1f648599a. Przykładowa autoryzacja usługi Azure Lighthouse wygląda następująco w szablonie parametrów:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Dodaj inne akcje dla tej reguły. Kolejność wykonywania akcji można zmienić, wybierając strzałki w górę lub w dół po prawej stronie dowolnej akcji.

6. Ustaw datę wygaśnięcia reguły automatyzacji, jeśli chcesz ją mieć.

7. Wprowadź liczbę w obszarze Kolejność , aby określić, gdzie w kolejności reguł automatyzacji ta reguła zostanie uruchomiona.

8. Wybierz Zastosuj. Wszystko gotowe!

Odkryj inne sposoby tworzenia reguł automatyzacji.

Reagowanie na alerty — starsza metoda

Innym sposobem automatycznego uruchamiania podręczników w odpowiedzi na alerty jest wywołanie ich z reguły analizy. Gdy reguła wygeneruje alert, podręcznik zostanie uruchomiony.

Ta metoda zostanie wycofana z marca 2026 r.

Od czerwca 2023 r. nie można już dodawać podręczników do reguł analizy w ten sposób. Jednak nadal można zobaczyć istniejące podręczniki wywoływane z reguł analizy, a te podręczniki będą nadal działać do marca 2026 roku. Zdecydowanie zachęcamy do tworzenia reguł automatyzacji w celu wywołania tych podręczników przed tym.

Uruchamianie podręcznika na żądanie

Możesz również ręcznie uruchomić podręcznik na żądanie, niezależnie od tego, czy w odpowiedzi na alerty, zdarzenia (w wersji zapoznawczej) lub jednostki (również w wersji zapoznawczej). Może to być przydatne w sytuacjach, w których potrzebujesz większej ilości danych wejściowych człowieka i kontroli nad procesami aranżacji i odpowiedzi.

Ręczne uruchamianie podręcznika w alercie

Ta procedura nie jest obsługiwana na ujednoliconej platformie operacji zabezpieczeń.

W witrynie Azure Portal wybierz jedną z następujących kart zgodnie z potrzebami środowiska:

Strona szczegółów nowego zdarzenia

1. Na stronie Incydenty wybierz zdarzenie.

   W witrynie Azure Portal wybierz pozycję Wyświetl pełne szczegóły w dolnej części okienka szczegółów zdarzenia, aby otworzyć stronę szczegółów zdarzenia.

2. Na stronie szczegółów zdarzenia w widżecie oś czasu zdarzenia wybierz alert, na którym chcesz uruchomić podręcznik. Wybierz trzy kropki na końcu wiersza alertu i wybierz pozycję Uruchom podręcznik z menu podręcznego.

   

3. Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych przy użyciu wyzwalacza usługi Logic Apps usługi Microsoft Sentinel, do którego masz dostęp.

4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Wykres badania

1. Na stronie Incydenty wybierz zdarzenie.

   W witrynie Azure Portal wybierz pozycję Wyświetl pełne szczegóły w dolnej części okienka szczegółów zdarzenia, aby otworzyć stronę szczegółów zdarzenia.

2. Na stronie szczegółów zdarzenia wybierz kartę Alerty , wybierz alert, na którym chcesz uruchomić podręcznik, a następnie wybierz link Wyświetl podręczniki na końcu wiersza tego alertu.

3. Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych przy użyciu wyzwalacza usługi Logic Apps usługi Microsoft Sentinel, do którego masz dostęp.

4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w alercie można wyświetlić, wybierając kartę Uruchomienia w okienku Podręczniki alertów . Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w incydencie (wersja zapoznawcza)

Ta procedura różni się w zależności od tego, czy pracujesz w usłudze Microsoft Sentinel, czy na ujednoliconej platformie operacji zabezpieczeń. Wybierz odpowiednią kartę dla środowiska:

Witryna Azure Portal

1. Na stronie Incydenty wybierz zdarzenie.

2. W okienku szczegółów zdarzenia po prawej stronie wybierz pozycję Akcje > Uruchom podręcznik (wersja zapoznawcza).
   (Wybranie trzech kropek na końcu wiersza zdarzenia w siatce lub kliknięcie prawym przyciskiem myszy incydentu spowoduje wyświetlenie tej samej listy co Przycisk akcji .

3. Po prawej stronie zostanie otwarty element playbook Run (Uruchom element playbook na panelu zdarzeń ). Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps zdarzeń usługi Microsoft Sentinel, do którego masz dostęp.

   Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów (zobacz notatkę powyżej).

   Aby przyznać te uprawnienia, wybierz pozycję Ustawienia> Ustawienia> Uzwłania>elementuPlaybook Skonfiguruj uprawnienia. W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

   Musisz mieć rolę operatora podręcznika usługi Microsoft Sentinel w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić. Jeśli nie możesz uruchomić podręcznika z powodu braku uprawnień, zalecamy skontaktowanie się z administratorem w celu udzielenia Ci odpowiednich uprawnień. Aby uzyskać więcej informacji, zobacz Uprawnienia wymagane do pracy z podręcznikami.

Portal usługi Microsoft Defender

1. Na stronie Incydenty wybierz zdarzenie.

2. W okienku szczegółów zdarzenia po prawej stronie wybierz pozycję Uruchom podręcznik.

3. Po prawej stronie zostanie otwarty element playbook Run playbook on incident (Uruchom element playbook po prawej stronie) ze wszystkimi powiązanymi podręcznikami dla wybranego zdarzenia. W kolumnie Akcja wybierz pozycję Uruchom element playbook dla podręcznika, który chcesz uruchomić natychmiast.

Kolumna Akcje może również wyświetlać jeden z następujących stanów:

Stan	Opis i wymagana akcja
Brakujące uprawnienia	Musisz mieć rolę operatora podręcznika usługi Microsoft Sentinel w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić. Jeśli brakuje ci uprawnień, zalecamy skontaktowanie się z administratorem w celu udzielenia Ci odpowiednich uprawnień. Aby uzyskać więcej informacji, zobacz Uprawnienia wymagane do pracy z podręcznikami.
Udzielanie uprawnień	W usłudze Microsoft Sentinel brakuje roli Współautor automatyzacji usługi Microsoft Sentinel, która jest wymagana do uruchamiania podręczników dotyczących zdarzeń. W takich przypadkach wybierz pozycję Udziel uprawnienia , aby otworzyć okienko Zarządzanie uprawnieniami . Okienko Zarządzanie uprawnieniami jest domyślnie filtrowane do wybranej grupy zasobów podręcznika. Wybierz grupę zasobów, a następnie wybierz pozycję Zastosuj , aby udzielić wymaganych uprawnień. Musisz być właścicielem lub administratorem dostępu użytkownika w grupie zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel. Jeśli brakuje uprawnień, grupa zasobów jest wyszarzony i nie będzie można jej wybrać. W takich przypadkach zalecamy skontaktowanie się z administratorem w celu udzielenia Ci odpowiednich uprawnień. Aby uzyskać więcej informacji, zobacz notatkę powyżej.

Wyświetl historię uruchamiania podręczników dotyczących incydentu, wybierając kartę Uruchomienia na panelu Run playbook on incident (Uruchamianie). Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w jednostce (wersja zapoznawcza)

Ta procedura nie jest obsługiwana na ujednoliconej platformie operacji zabezpieczeń.

1. Wybierz jednostkę na jeden z następujących sposobów, w zależności od kontekstu źródłowego:

   Jeśli jesteś na stronie szczegółów zdarzenia (nowa wersja):

   1. W widżecie Jednostki na karcie Przegląd znajdź jednostkę z listy (nie wybieraj jej).
   2. Wybierz trzy kropki po prawej stronie jednostki.
   3. Wybierz pozycję Uruchom podręcznik (wersja zapoznawcza) z menu podręcznego i przejdź do kroku 2 poniżej.
      Jeśli wybrano jednostkę i wprowadzono kartę Jednostki na stronie szczegółów zdarzenia, przejdź do następnego wiersza poniżej.
   4. Znajdź jednostkę z listy (nie wybieraj jej).
   5. Wybierz trzy kropki po prawej stronie jednostki.
   6. Wybierz pozycję Uruchom element playbook (wersja zapoznawcza) z menu podręcznego.
      Jeśli wybrano jednostkę i wprowadzono jej stronę jednostki, wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

   Jeśli jesteś na stronie szczegółów zdarzenia (starsza wersja):

   1. Wybierz kartę Jednostki zdarzenia.
   2. Znajdź jednostkę z listy (nie wybieraj jej).
   3. Wybierz link Uruchom element playbook (wersja zapoznawcza) na końcu wiersza na liście.
      Jeśli wybrano jednostkę i wprowadzono jej stronę jednostki, wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

   Jeśli jesteś na grafie Badanie:

   1. Wybierz jednostkę na wykresie.
   2. Wybierz przycisk Uruchom element playbook (wersja zapoznawcza) w panelu bocznym jednostki.
      W przypadku niektórych typów jednostek może być konieczne wybranie przycisku Akcje jednostki, a następnie z wyświetlonego menu wybierz pozycję Uruchom podręcznik (wersja zapoznawcza).

   Jeśli aktywnie wyszukujesz zagrożenia:

   1. Na ekranie Zachowanie jednostki wybierz jednostkę z list na stronie lub wyszukaj i wybierz inną jednostkę.
   2. Na stronie jednostki wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

2. Niezależnie od kontekstu, z którego pochodzisz, powyższe instrukcje będą otwierać element playbook Run na <panelu typu> jednostki. Zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, z wyzwalaczem jednostki usługi Microsoft Sentinel dla wybranego typu jednostki.

3. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w danej jednostce można wyświetlić, wybierając kartę Uruchomienia na panelu Uruchamianie elementu playbook na< panelu typ> jednostki. Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Następne kroki

W tym samouczku przedstawiono sposób używania podręczników i reguł automatyzacji w usłudze Microsoft Sentinel w celu reagowania na zagrożenia.

• Dowiedz się więcej na temat uwierzytelniania podręczników w usłudze Microsoft Sentinel
• Dowiedz się więcej o używaniu wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel
• Dowiedz się, jak aktywnie polować na zagrożenia przy użyciu usługi Microsoft Sentinel.