Создание и выполнение задач инцидентов в Microsoft Sentinel с помощью сборников схем
В этой статье объясняется, как использовать сборники схем для создания (и при необходимости) задач инцидентов, чтобы управлять сложными процессами рабочего процесса аналитика в Microsoft Sentinel.
Задачи инцидентов можно создавать автоматически не только сборниками схем, но и правилами автоматизации, а также вручную, нерегламентированными в рамках инцидента.
Варианты использования для разных ролей
В этой статье рассматриваются следующие сценарии, которые применяются к руководителям SOC, старшим аналитикам и инженерам автоматизации:
- Использование сборника схем для добавления задачи и ее выполнения
- Использование сборника схем для условного добавления задачи
Другие сценарии для этой аудитории рассматриваются в следующей статье:
- Просмотр правил автоматизации с действиями задачи инцидента
- Добавление задач в инциденты с правилами автоматизации
Другая статья, по следующим ссылкам, устраняет сценарии, которые применяются к аналитикам SOC:
Необходимые компоненты
Роль ответа Microsoft Sentinel необходима для просмотра и редактирования инцидентов, необходимых для добавления, просмотра и редактирования задач.
Роль участника Logic Apps необходима для создания и редактирования сборников схем.
Добавление задач в инциденты с сборниками схем
Используйте действие "Добавить задачу" в сборник схем (в соединителе Microsoft Sentinel) для автоматического добавления задачи в инцидент, активировавшего сборник схем.
Следуйте этим инструкциям, чтобы создать сборник схем на основе триггера инцидента. (Можно использовать стандартный рабочий процесс или рабочий процесс потребления.)
Существует два способа работы с сборниками схем для создания задач:
Использование сборника схем для добавления задачи и ее выполнения
В этом примере мы добавим действие сборника схем, которое добавляет задачу в инцидент для сброса пароля скомпрометированного пользователя, и мы добавим еще одно действие сборника схем, которое отправляет сигнал Защита идентификации Microsoft Entra (AADIP), чтобы фактически сбросить пароль. Затем мы добавим окончательное действие сборника схем, чтобы пометить задачу в результате инцидента.
Чтобы добавить и настроить эти действия, выполните следующие действия:
В соединителе Microsoft Sentinel добавьте задачу "Добавить" в действие инцидента .
Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента. Введите пароль пользователя в качестве заголовка. Добавьте описание, если вы хотите.Добавьте действие "Сущности " Получение учетных записей (предварительная версия).
Добавьте элемент динамического содержимого сущностей (из схемы инцидента Microsoft Sentinel) в поле списка сущностей.Добавьте цикл для каждого цикла из библиотеки действий элемента управления.
Добавьте элемент динамического содержимого учетных записей из сущностей — получение выходных данных учетных записей в поле "Выбор выходных данных из предыдущих шагов".В каждом цикле выберите "Добавить действие".
Найдите и выберите соединитель Защита идентификации Microsoft Entra и выберите действие "Подтвердить рискованного пользователя как скомпрометированный (предварительная версия").
Добавьте элемент динамического содержимого Идентификатора пользователя Microsoft Entra accounts в поле UserIds — 1.Примечание.
Это поле (идентификатор пользователя Microsoft Entra Accounts) является одним из способов идентификации пользователя в AADIP. Это может быть не обязательно лучший способ в каждом сценарии, но приведен здесь так же, как пример. Для получения помощи обратитесь к другим сборникам схем, которые обрабатывают скомпрометированных пользователей или документацию по Защита идентификации Microsoft Entra.
Это действие задает процессы перемещения внутри Защита идентификации Microsoft Entra, которые сбросят пароль пользователя.
Добавьте задачу Mark a как завершенное действие из соединителя Microsoft Sentinel.
Добавьте элемент динамического содержимого идентификатора задачи инцидента в поле идентификатора Task ARM.
Использование сборника схем для условного добавления задачи
В этом примере мы добавим действие сборника схем, которое изучает IP-адрес, отображаемый в инциденте. Если результаты этого исследования являются вредоносным IP-адресом, сборник схем создаст задачу для аналитика, чтобы отключить пользователя с помощью этого IP-адреса. Если IP-адрес не является известным вредоносным адресом, сборник схем создаст другую задачу, чтобы аналитик связался с пользователем, чтобы проверить действие.
В соединителе Microsoft Sentinel добавьте действие "Сущности — получение IP-адресов ".
Добавьте элемент динамического содержимого сущностей (из схемы инцидента Microsoft Sentinel) в поле списка сущностей.Добавьте цикл для каждого цикла из библиотеки действий элемента управления.
Добавьте элемент динамического содержимого IP-адресов из сущностей — получение выходных данных IP-адресов в поле "Выбор выходных данных из предыдущих шагов".В каждом цикле выберите "Добавить действие".
Найдите и выберите соединитель "Итог вируса" и выберите действие "Получить отчет IP(предварительная версия").
Добавьте элемент динамического содержимого IP-адреса из сущностей — получение выходных данных IP-адресов в поле IP-адреса.В каждом цикле выберите "Добавить действие".
Добавьте условие из библиотеки действий элемента управления.
Добавьте элемент последнего анализа статистики вредоносного динамического содержимого из выходных данных ip-отчета (возможно, вам придется выбрать "Просмотреть больше", чтобы найти его), выбрать значение больше оператора и ввести0
в качестве значения. Это условие задает вопрос "Есть ли в отчете общего IP-адреса вируса какие-либо результаты?"В параметре True выберите "Добавить действие".
Выберите задачу "Добавить в действие инцидента" из соединителя Microsoft Sentinel.
Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.
Введите пользователя Mark как скомпрометированный в качестве заголовка. Добавьте описание, если вы хотите.В параметре False выберите "Добавить действие".
Выберите задачу "Добавить в действие инцидента" из соединителя Microsoft Sentinel.
Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.
Введите "Связаться" пользователю, чтобы подтвердить действие в качестве заголовка. Добавьте описание, если вы хотите.
Следующие шаги
- Дополнительные сведения о задачах инцидентов.
- Узнайте, как исследовать инциденты.
- Узнайте, как добавлять задачи в группы инцидентов автоматически с помощью правил автоматизации.
- Узнайте, как использовать задачи для обработки рабочего процесса инцидента в Microsoft Sentinel.
- Узнайте больше о сборниках схем, их создании, а также о работе с действиями.