Uruchamianie podręczników na żądanie

  • 8 min

Niektóre incydenty w firmie Contoso mogą wymagać dalszych badań przed uruchomieniem podręcznika. Usługa Microsoft Sentinel umożliwia uruchamianie podręczników na żądanie w celu ułatwienia szczegółowych badań.

Uruchamianie podręcznika na żądanie

Podręczniki można skonfigurować w taki sposób, aby były uruchamiane na żądanie w zależności od szczegółów incydentu, aby wyzwalały konkretne kroki w ramach badania lub aby przeprowadzały niektóre akcje naprawcze.

Rozważmy scenariusz, w którym dostęp do zasobów firmy jest blokowany dla podejrzanych użytkowników. Jako administrator zabezpieczeń w firmie Contoso znajdujesz jeden fałszywie dodatni incydent. Niektórzy użytkownicy w firmie Contoso mieli dostęp do zasobów za pośrednictwem połączenia wirtualnej sieci prywatnej z komputerów zdalnych, łącząc się w tym samym czasie z komputerami w biurze. Bazując na otrzymanych sygnałach i wzorcu wykrywającym potencjalne zagrożenia ze strony nietypowych lokalizacji pracy zdalnej, usługa Microsoft Cloud Security oznaczyła użytkownika na poziomie średniego ryzyka.

Możesz użyć podręcznika, który może automatycznie odrzucić tę ryzykowną właściwość użytkownika w identyfikatorze Entra firmy Microsoft.

Repozytorium usługi Microsoft Sentinel w witrynie GitHub

Repozytorium usługi Microsoft Sentinel w usłudze GitHub zawiera gotowe do użycia podręczniki ułatwiające automatyzowanie odpowiedzi na zdarzenia. Te podręczniki są definiowane za pomocą usługi Azure Resource Manager (szablon usługi ARM), która korzysta z wyzwalaczy usługi Microsoft Sentinel aplikacji logiki.

W opisanym wcześniej scenariuszu możesz użyć podręcznika Dismiss-AADRiskyUser , który znajduje się w repozytorium usługi Microsoft Sentinel w usłudze GitHub i wdrożyć go bezpośrednio w subskrypcji platformy Azure.

W przypadku wszystkich wdrożeń z usługi GitHub aby móc edytować poszczególne połączenia w podręczniku za pomocą Projektanta aplikacji usługi Logic Apps, najpierw należy je autoryzować. Autoryzacja spowoduje utworzenie połączenia interfejsu API z odpowiednim łącznikiem i zapisze token oraz zmienne. Połączenie interfejsu API można zlokalizować w grupie zasobów, w której utworzono aplikację logiki.

Do nazwy każdego połączenia interfejsu API jest dołączany prefiks azuresentinel. Połączenie można również edytować w Projektancie aplikacji usługi Logic Apps podczas edytowania aplikacji logiki.

Screenshot that depicts the authorization of the API connection.

Dołączanie podręcznika do istniejącego incydentu

Gdy podręcznik będzie gotowy, możesz otworzyć stronę Incydent w usłudze Microsoft Sentinel, a następnie wybrać istniejące zdarzenie. W okienku szczegółów możesz wybrać pozycję Wyświetl pełne szczegóły, aby zobaczyć właściwości incydentu. Na panelu Alerty możesz wybrać pozycję Wyświetl podręczniki, a następnie uruchomić jeden z istniejących podręczników.

Na poniższym zrzucie ekranu przedstawiono przykład podejrzanego działania użytkownika, do którego można dołączyć podręcznik Dismiss-AADRiskyUser.

Screenshot of the Incident page.

Po zbadaniu zdarzenia możesz ręcznie uruchomić podręcznik w celu reagowania na zagrożenie bezpieczeństwa.

Sprawdź swoją wiedzę

1.

Administrator chce dołączyć podręcznik do istniejącego incydentu i rozpocząć jego badanie. Którą opcję powinien wybrać administrator w celu dołączenia podręcznika?

2.

Chcesz wyszukać odpowiednie zapytanie dotyczące wykrywania zagrożeń lub skoroszyt spełniający konkretne wymagania. Gdzie można znaleźć takie elementy?