Share via

Создание и выполнение задач инцидентов в Microsoft Sentinel с помощью сборников схем

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как использовать сборники схем для создания (и при необходимости) задач инцидентов, чтобы управлять сложными процессами рабочего процесса аналитика в Microsoft Sentinel.

Задачи инцидентов можно создавать автоматически не только сборниками схем, но и правилами автоматизации, а также вручную, нерегламентированными в рамках инцидента.

Варианты использования для разных ролей

В этой статье рассматриваются следующие сценарии, которые применяются к руководителям SOC, старшим аналитикам и инженерам автоматизации:

Другие сценарии для этой аудитории рассматриваются в следующей статье:

Другая статья, по следующим ссылкам, устраняет сценарии, которые применяются к аналитикам SOC:

Необходимые компоненты

Роль ответа Microsoft Sentinel необходима для просмотра и редактирования инцидентов, необходимых для добавления, просмотра и редактирования задач.

Роль участника Logic Apps необходима для создания и редактирования сборников схем.

Добавление задач в инциденты с сборниками схем

Используйте действие "Добавить задачу" в сборник схем (в соединителе Microsoft Sentinel) для автоматического добавления задачи в инцидент, активировавшего сборник схем.

Следуйте этим инструкциям, чтобы создать сборник схем на основе триггера инцидента. (Можно использовать стандартный рабочий процесс или рабочий процесс потребления.)

Существует два способа работы с сборниками схем для создания задач:

Использование сборника схем для добавления задачи и ее выполнения

В этом примере мы добавим действие сборника схем, которое добавляет задачу в инцидент для сброса пароля скомпрометированного пользователя, и мы добавим еще одно действие сборника схем, которое отправляет сигнал Защита идентификации Microsoft Entra (AADIP), чтобы фактически сбросить пароль. Затем мы добавим окончательное действие сборника схем, чтобы пометить задачу в результате инцидента.

Чтобы добавить и настроить эти действия, выполните следующие действия:

  1. В соединителе Microsoft Sentinel добавьте задачу "Добавить" в действие инцидента .
    Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента. Введите пароль пользователя в качестве заголовка. Добавьте описание, если вы хотите.

    Снимок экрана: действия сборника схем для добавления задачи для сброса пароля пользователя.

  2. Добавьте действие "Сущности " Получение учетных записей (предварительная версия).
    Добавьте элемент динамического содержимого сущностей (из схемы инцидента Microsoft Sentinel) в поле списка сущностей.

    Снимок экрана: действия сборника схем для получения сущностей учетной записи в инциденте.

  3. Добавьте цикл для каждого цикла из библиотеки действий элемента управления.
    Добавьте элемент динамического содержимого учетных записей из сущностей — получение выходных данных учетных записей в поле "Выбор выходных данных из предыдущих шагов".

    Снимок экрана: добавление действия цикла для каждого цикла в сборник схем для выполнения действия для каждой обнаруженной учетной записи.

  4. В каждом цикле выберите "Добавить действие".
    Найдите и выберите соединитель Защита идентификации Microsoft Entra и выберите действие "Подтвердить рискованного пользователя как скомпрометированный (предварительная версия").
    Добавьте элемент динамического содержимого Идентификатора пользователя Microsoft Entra accounts в поле UserIds — 1.

    Примечание.

    Это поле (идентификатор пользователя Microsoft Entra Accounts) является одним из способов идентификации пользователя в AADIP. Это может быть не обязательно лучший способ в каждом сценарии, но приведен здесь так же, как пример. Для получения помощи обратитесь к другим сборникам схем, которые обрабатывают скомпрометированных пользователей или документацию по Защита идентификации Microsoft Entra.

    Это действие задает процессы перемещения внутри Защита идентификации Microsoft Entra, которые сбросят пароль пользователя.

    Снимок экрана: отправка сущностей в AADIP для подтверждения компрометации.

  5. Добавьте задачу Mark a как завершенное действие из соединителя Microsoft Sentinel.
    Добавьте элемент динамического содержимого идентификатора задачи инцидента в поле идентификатора Task ARM.

    Снимок экрана: добавление действия сборника схем для отметки завершения задачи инцидента.

Использование сборника схем для условного добавления задачи

В этом примере мы добавим действие сборника схем, которое изучает IP-адрес, отображаемый в инциденте. Если результаты этого исследования являются вредоносным IP-адресом, сборник схем создаст задачу для аналитика, чтобы отключить пользователя с помощью этого IP-адреса. Если IP-адрес не является известным вредоносным адресом, сборник схем создаст другую задачу, чтобы аналитик связался с пользователем, чтобы проверить действие.

  1. В соединителе Microsoft Sentinel добавьте действие "Сущности — получение IP-адресов ".
    Добавьте элемент динамического содержимого сущностей (из схемы инцидента Microsoft Sentinel) в поле списка сущностей.

    Снимок экрана: действия сборника схем для получения сущностей IP-адресов в инциденте.

  2. Добавьте цикл для каждого цикла из библиотеки действий элемента управления.
    Добавьте элемент динамического содержимого IP-адресов из сущностей — получение выходных данных IP-адресов в поле "Выбор выходных данных из предыдущих шагов".

    Снимок экрана: добавление действия цикла для каждого цикла в сборник схем для выполнения действия с каждым обнаруженным IP-адресом.

  3. В каждом цикле выберите "Добавить действие".
    Найдите и выберите соединитель "Итог вируса" и выберите действие "Получить отчет IP(предварительная версия").
    Добавьте элемент динамического содержимого IP-адреса из сущностей — получение выходных данных IP-адресов в поле IP-адреса.

    Снимок экрана: отправка запроса в итоговый объем вирусов для отчета ПО IP-адреса.

  4. В каждом цикле выберите "Добавить действие".
    Добавьте условие из библиотеки действий элемента управления.
    Добавьте элемент последнего анализа статистики вредоносного динамического содержимого из выходных данных ip-отчета (возможно, вам придется выбрать "Просмотреть больше", чтобы найти его), выбрать значение больше оператора и ввести 0 в качестве значения. Это условие задает вопрос "Есть ли в отчете общего IP-адреса вируса какие-либо результаты?"

    Снимок экрана: установка условия true-false в сборнике схем.

  5. В параметре True выберите "Добавить действие".
    Выберите задачу "Добавить в действие инцидента" из соединителя Microsoft Sentinel.
    Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.
    Введите пользователя Mark как скомпрометированный в качестве заголовка. Добавьте описание, если вы хотите.

    Снимок экрана: действия сборника схем для добавления задачи, чтобы пометить пользователя как скомпрометированного.

  6. В параметре False выберите "Добавить действие".
    Выберите задачу "Добавить в действие инцидента" из соединителя Microsoft Sentinel.
    Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.
    Введите "Связаться" пользователю, чтобы подтвердить действие в качестве заголовка. Добавьте описание, если вы хотите.

    Снимок экрана: действия сборника схем для добавления задачи для подтверждения пользователем.

Следующие шаги