Automatisera hotsvar med spelböcker i Microsoft Sentinel
Den här artikeln förklarar vad Microsoft Sentinel-spelböcker är och hur du använder dem för att implementera dina soar-åtgärder (Security Orchestration, Automation and Response) och uppnå bättre resultat samtidigt som du sparar tid och resurser.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Vad är en spelbok?
SOC-analytiker översvämmas vanligtvis regelbundet av säkerhetsaviseringar och incidenter, på volymer som är så stora att tillgänglig personal är överbelastad. Detta resulterar alltför ofta i situationer där många aviseringar ignoreras och många incidenter inte utreds, vilket gör organisationen sårbar för attacker som inte visas.
Många, om inte de flesta, av dessa aviseringar och incidenter överensstämmer med återkommande mönster som kan hanteras av specifika och definierade uppsättningar av reparationsåtgärder. Analytiker har också till uppgift att åtgärda och undersöka de incidenter som de hanterar. I den mån dessa aktiviteter kan automatiseras kan en SOC vara så mycket mer produktiv och effektiv, vilket gör det möjligt för analytiker att ägna mer tid och energi åt utredningsverksamhet.
En spelbok är en samling av dessa reparationsåtgärder som du kör från Microsoft Sentinel som en rutin för att automatisera och samordna hotsvaret. Den kan köras på två sätt:
- Manuellt på begäran, på en viss entitet eller avisering
- Automatiskt som svar på specifika aviseringar eller incidenter när de utlöses av en automatiseringsregel.
Om till exempel ett konto och en dator komprometteras kan en spelbok isolera datorn från nätverket och blockera kontot när SOC-teamet meddelas om incidenten.
Fliken Aktiva spelböcker på sidan Automation visar alla aktiva spelböcker som är tillgängliga för alla valda prenumerationer, men som standard kan en spelbok endast användas i den prenumeration som den tillhör, såvida du inte uttryckligen beviljar Microsoft Sentinel-behörigheter till spelbokens resursgrupp.
När du har registrerat dig för den enhetliga säkerhetsåtgärdsplattformen visar fliken Aktiva spelböcker ett fördefinierat filter med den registrerade arbetsytans prenumeration. I Azure-portalen lägger du till data för andra prenumerationer med hjälp av Azure-prenumerationsfiltret.
Spelboksmallar
En spelboksmall är ett fördefinierat, testat och färdigt arbetsflöde som kan anpassas efter dina behov. Mallar kan också fungera som en referens för bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier.
Spelboksmallar kan inte användas som spelböcker själva. Du skapar en spelbok (en redigerbar kopia av mallen) från dem.
Du kan hämta spelboksmallar från följande källor:
På sidan Automation visar fliken Spelboksmallar de installerade spelboksmallarna. Flera aktiva spelböcker kan skapas från samma mall.
När en ny version av mallen publiceras visas de aktiva spelböcker som skapats från mallen på fliken Aktiva spelböcker med en etikett som anger att en uppdatering är tillgänglig.
Spelboksmallar är tillgängliga som en del av produktlösningar eller fristående innehåll som du installerar från sidan Innehållshubb i Microsoft Sentinel. Mer information finns i Microsoft Sentinel-innehåll och -lösningar och Identifiera och hantera innehåll i Microsoft Sentinel.
Microsoft Sentinel GitHub-lagringsplatsen innehåller många spelboksmallar. De kan distribueras till en Azure-prenumeration genom att välja knappen Distribuera till Azure .
Tekniskt sett är en spelboksmall en ARM-mall som består av flera resurser: ett Azure Logic Apps-arbetsflöde och API-anslutningar för varje anslutning.
Viktigt!
Spelboksmallar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Grundläggande begrepp i Azure Logic Apps
Spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och samordna uppgifter och arbetsflöden i hela företaget. Det innebär att spelböcker kan dra nytta av all kraft och alla funktioner i de inbyggda mallarna i Azure Logic Apps.
Kommentar
Azure Logic Apps skapar separata resurser, så ytterligare avgifter kan tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps.
Azure Logic Apps kommunicerar med andra system och tjänster med hjälp av anslutningsappar. Följande är en kort förklaring av anslutningsappar och några av deras viktiga attribut:
Hanterad anslutningsapp: En uppsättning åtgärder och utlösare som omsluter API-anrop till en viss produkt eller tjänst. Azure Logic Apps erbjuder hundratals anslutningsappar för kommunikation med både Microsoft och icke-Microsoft-tjänster. Mer information finns i Anslutningsappar för Azure Logic Apps och deras dokumentation
Anpassad anslutningsapp: Du kanske vill kommunicera med tjänster som inte är tillgängliga som fördefinierade anslutningsappar. Anpassade anslutningsappar tillgodoser detta behov genom att du kan skapa (och till och med dela) en anslutningsapp och definiera egna utlösare och åtgärder. Mer information finns i Skapa egna anpassade Azure Logic Apps-anslutningsappar.
Microsoft Sentinel-anslutningsprogram: Om du vill skapa spelböcker som interagerar med Microsoft Sentinel använder du Microsoft Sentinel-anslutningsappen. Mer information finns i dokumentationen för Microsoft Sentinel-anslutningsappen.
Utlösare: En anslutningskomponent som startar ett arbetsflöde, i det här fallet en spelbok. Microsoft Sentinel-utlösaren definierar det schema som spelboken förväntar sig att ta emot när den utlöses. Microsoft Sentinel-anslutningsappen har för närvarande tre utlösare:
- Aviseringsutlösare: Spelboken tar emot aviseringen som indata.
- Entitetsutlösare (förhandsversion): Spelboken tar emot en entitet som indata.
- Incidentutlösare: Spelboken tar emot incidenten som indata, tillsammans med alla inkluderade aviseringar och entiteter.
Åtgärder: Åtgärder är alla steg som sker efter utlösaren. De kan ordnas sekventiellt, parallellt eller i en matris med komplexa villkor.
Dynamiska fält: Tillfälliga fält, som bestäms av utdataschemat för utlösare och åtgärder och fylls i av deras faktiska utdata, som kan användas i de åtgärder som följer.
Typer av logikappar
Microsoft Sentinel har nu stöd för följande resurstyper för logikappar:
- Förbrukning, som körs i Azure Logic Apps med flera klientorganisationer och använder den klassiska ursprungliga Azure Logic Apps-motorn.
- Standard, som körs i Azure Logic Apps med en enda klientorganisation och använder en omdesignad Azure Logic Apps-motor.
Standardlogikapptypen erbjuder högre prestanda, fast prissättning, funktioner för flera arbetsflöden, enklare HANTERING av API-anslutningar, interna nätverksfunktioner som stöd för virtuella nätverk och privata slutpunkter (se anmärkning nedan), inbyggda CI/CD-funktioner, bättre Visual Studio Code-integrering, en uppdaterad arbetsflödesdesigner med mera.
Om du vill använda den här logikappsversionen skapar du nya Standard-spelböcker i Microsoft Sentinel (se anmärkningen nedan). Du kan använda dessa spelböcker på samma sätt som du använder förbrukningsspelböcker:
- Koppla dem till automatiseringsregler och/eller analysregler.
- Kör dem på begäran, både från incidenter och aviseringar.
- Hantera dem på fliken Aktiva spelböcker.
Kommentar
Standardarbetsflöden stöder för närvarande inte spelboksmallar, vilket innebär att du inte kan skapa en standardarbetsflödesbaserad spelbok direkt i Microsoft Sentinel. I stället måste du skapa arbetsflödet i Azure Logic Apps. När du har skapat arbetsflödet visas det som en spelbok i Microsoft Sentinel.
Logic Apps Standard-arbetsflöden stöder privata slutpunkter som nämnts ovan, men Microsoft Sentinel kräver att en princip för åtkomstbegränsning definieras i Logikappar för att stödja användningen av privata slutpunkter i spelböcker baserade på Standard-arbetsflöden.
Om en princip för åtkomstbegränsning inte har definierats kan arbetsflöden med privata slutpunkter fortfarande vara synliga och valbara när du väljer en spelbok från en lista i Microsoft Sentinel (om du vill köra dem manuellt, lägga till en automatiseringsregel eller i spelboksgalleriet) och du kommer att kunna välja dem, men deras körning misslyckas.
En indikator identifierar Standard-arbetsflöden som antingen tillståndskänsliga eller tillståndslösa. Microsoft Sentinel stöder för närvarande inte tillståndslösa arbetsflöden. Lär dig mer om skillnaderna mellan tillståndskänsliga och tillståndslösa arbetsflöden.
Det finns många skillnader mellan dessa två resurstyper, varav vissa påverkar några av de sätt som de kan användas på i spelböcker i Microsoft Sentinel. I sådana fall kommer dokumentationen att peka på vad du behöver veta. Mer information finns i Skillnader i resurstyp och värdmiljö i Azure Logic Apps-dokumentationen.
Behörigheter som krävs
Om du vill ge ditt SecOps-team möjlighet att använda Azure Logic Apps för att skapa och köra spelböcker i Microsoft Sentinel tilldelar du Azure-roller till ditt säkerhetsåtgärdsteam eller till specifika användare i teamet. Följande beskriver de olika tillgängliga rollerna och de uppgifter som de ska tilldelas till:
Azure-roller för Azure Logic Apps
- Med Logic App-deltagare kan du hantera logikappar och köra spelböcker, men du kan inte ändra åtkomsten till dem (för det behöver du rollen Ägare ).
- Med Logic App Operator kan du läsa, aktivera och inaktivera logikappar, men du kan inte redigera eller uppdatera dem.
Azure-roller för Microsoft Sentinel
Med rollen Microsoft Sentinel-deltagare kan du koppla en spelbok till en analys- eller automatiseringsregel.
Med Microsoft Sentinel Responder-rollen kan du komma åt en incident för att kunna köra en spelbok manuellt. Men för att faktiskt köra spelboken, behöver du också ...
- Med microsoft Sentinel Playbook Operator-rollen kan du köra en spelbok manuellt.
- Med Microsoft Sentinel Automation-deltagare kan automatiseringsregler köra spelböcker. Det används inte i något annat syfte.
Läs mer
Steg för att skapa en spelbok
Koppla spelboken till en automatiseringsregel eller en analysregel eller kör den manuellt när det behövs.
Användningsfall för spelböcker
Azure Logic Apps-plattformen erbjuder hundratals åtgärder och utlösare, så nästan alla automatiseringsscenarion kan skapas. Microsoft Sentinel rekommenderar att du börjar med följande SOC-scenarier, för vilka färdiga spelboksmallar är tillgängliga direkt:
Berikning
Samla in data och bifoga dem till incidenten för att fatta smartare beslut.
Till exempel:
En Microsoft Sentinel-incident skapades från en avisering av en analysregel som genererar IP-adressentiteter.
Incidenten utlöser en automatiseringsregel som kör en spelbok med följande steg:
Starta när en ny Microsoft Sentinel-incident skapas. Entiteterna som representeras i incidenten lagras i incidentutlösarens dynamiska fält.
För varje IP-adress frågar du en extern hotinformationsprovider, till exempel Virus Totalt, för att hämta mer data.
Lägg till returnerade data och insikter som kommentarer om incidenten.
Dubbelriktad synkronisering
Spelböcker kan användas för att synkronisera dina Microsoft Sentinel-incidenter med andra biljettsystem.
Till exempel:
Skapa en automatiseringsregel för alla incidentskapanden och bifoga en spelbok som öppnar en biljett i ServiceNow:
Starta när en ny Microsoft Sentinel-incident skapas.
Skapa en ny biljett i ServiceNow.
Inkludera incidentnamnet, viktiga fält och en URL till Microsoft Sentinel-incidenten i biljetten för enkel pivotering.
Orkestrering
Använd SOC-chattplattformen för att bättre kontrollera incidentkön.
Till exempel:
En Microsoft Sentinel-incident skapades från en avisering av en analysregel som genererar användarnamn och IP-adressentiteter.
Incidenten utlöser en automatiseringsregel som kör en spelbok med följande steg:
Starta när en ny Microsoft Sentinel-incident skapas.
Skicka ett meddelande till din säkerhetsåtgärdskanal i Microsoft Teams eller Slack för att se till att dina säkerhetsanalytiker är medvetna om incidenten.
Skicka all information i aviseringen via e-post till din seniora nätverksadministratör och säkerhetsadministratör. E-postmeddelandet innehåller alternativknapparna Blockera och Ignorera användare.
Vänta tills ett svar tas emot från administratörerna och fortsätt sedan att köra.
Om administratörerna har valt Blockera skickar du ett kommando till brandväggen för att blockera IP-adressen i aviseringen och ett annat till Microsoft Entra-ID för att inaktivera användaren.
Response
Svara omedelbart på hot med minimala mänskliga beroenden.
Två exempel:
Exempel 1: Svara på en analysregel som anger att en komprometterad användare har identifierats av Microsoft Entra ID Protection:
Starta när en ny Microsoft Sentinel-incident skapas.
För varje användarentitet i incidenten som misstänks vara komprometterad:
Skicka ett Teams-meddelande till användaren och be om bekräftelse på att användaren vidtog den misstänkta åtgärden.
Kontrollera med Microsoft Entra ID Protection att användarens status är komprometterad. Microsoft Entra ID Protection kommer att märka användaren som riskabel och tillämpa alla tvingande principer som redan har konfigurerats, till exempel för att kräva att användaren använder MFA vid nästa inloggning.
Kommentar
Den här specifika Microsoft Entra-åtgärden initierar inte någon tvingande aktivitet på användaren och initierar inte heller någon konfiguration av tvingande princip. Det talar bara om för Microsoft Entra ID Protection att tillämpa alla redan definierade principer efter behov. All tillämpning beror helt och hållet på lämpliga principer som definieras i Microsoft Entra ID Protection.
Exempel 2: Svara på en analysregel som indikerar en komprometterad dator, som upptäckts av Microsoft Defender för Endpoint:
Starta när en ny Microsoft Sentinel-incident skapas.
Använd åtgärden Entiteter – Hämta värdar i Microsoft Sentinel för att parsa misstänkta datorer som ingår i incidententiteterna.
Utfärda ett kommando till Microsoft Defender för Endpoint för att isolera datorerna i aviseringen.
Manuellt svar under undersökningen eller vid jakt
Svara på hot i samband med aktiv utredning utan att svänga ur sitt sammanhang.
Tack vare den nya entitetsutlösaren (nu i förhandsversion) kan du vidta omedelbara åtgärder mot enskilda hotaktörer som du upptäcker under en undersökning, en i taget, direkt inifrån undersökningen. Det här alternativet är också tillgängligt i hotjaktkontexten, som inte är kopplad till en viss incident. Du kan välja en entitet i kontext och utföra åtgärder där, vilket sparar tid och minskar komplexiteten.
De åtgärder du kan vidta på entiteter med den här spelbokstypen är:
- Blockerar en komprometterad användare.
- Blockerar trafik från en skadlig IP-adress i brandväggen.
- Isolera en komprometterad värd i nätverket.
- Lägga till en IP-adress till en säker/osäker adressbevakningslista eller till din externa CMDB.
- Hämta en filhashrapport från en extern hotinformationskälla och lägga till den i en incident som en kommentar.
Så här kör du en spelbok
Spelböcker kan köras manuellt eller automatiskt.
De är utformade för att köras automatiskt, och helst bör de köras i normal drift. Du kör en spelbok automatiskt genom att definiera den som ett automatiserat svar i en analysregel (för aviseringar) eller som en åtgärd i en automatiseringsregel (för incidenter).
Det finns dock omständigheter som kräver att spelböcker körs manuellt. Till exempel:
När du skapar en ny spelbok vill du testa den innan du lägger den i produktion.
Det kan finnas situationer där du vill ha mer kontroll och mänsklig inmatning i när och om en viss spelbok körs.
Du kör en spelbok manuellt genom att öppna en incident, avisering eller entitet och välja och köra den associerade spelboken som visas där. För närvarande är den här funktionen allmänt tillgänglig för aviseringar och i förhandsversion för incidenter och entiteter.
Ange ett automatiserat svar
Säkerhetsteam kan avsevärt minska sin arbetsbelastning genom att helt automatisera de rutinmässiga svaren på återkommande typer av incidenter och aviseringar, så att du kan koncentrera dig mer på unika incidenter och aviseringar, analysera mönster, hotjakt med mera.
Att ställa in automatiserat svar innebär att varje gång en analysregel utlöses, förutom att skapa en avisering, kommer regeln att köra en spelbok, som kommer att ta emot som indata aviseringen som skapats av regeln.
Om aviseringen skapar en incident utlöser incidenten en automatiseringsregel som i sin tur kan köra en spelbok som tar emot incidenten som skapas av aviseringen som indata.
Automatiserat svar för att skapa aviseringar
För spelböcker som utlöses av att aviseringar skapas och får aviseringar som indata (deras första steg är "Microsoft Sentinel-avisering" bifogar du spelboken till en analysregel:
Redigera analysregeln som genererar aviseringen som du vill definiera ett automatiserat svar för.
Under Aviseringsautomatisering på fliken Automatiserat svar väljer du den spelbok eller spelböcker som den här analysregeln ska utlösa när en avisering skapas.
Automatiserat svar vid skapande av incidenter
För spelböcker som utlöses av incidentskapande och tar emot incidenter som indata (deras första steg är "Microsoft Sentinel-incident"), skapar du en automatiseringsregel och definierar en Run-spelboksåtgärd i den. Detta kan göras på två sätt:
Redigera analysregeln som genererar incidenten som du vill definiera ett automatiserat svar för. Under Incidentautomatisering på fliken Automatiserat svar skapar du en automatiseringsregel. Detta skapar endast ett automatiserat svar för den här analysregeln.
På fliken Automation-regler på sidan Automation skapar du en ny automatiseringsregel och anger lämpliga villkor och önskade åtgärder. Den här automatiseringsregeln tillämpas på alla analysregler som uppfyller de angivna villkoren.
Kommentar
Microsoft Sentinel kräver behörighet att köra spelböcker för incidentutlösare.
För att köra en spelbok baserat på incidentutlösaren, antingen manuellt eller från en automatiseringsregel, använder Microsoft Sentinel ett tjänstkonto som är specifikt auktoriserat för att göra det. Användningen av det här kontot (till skillnad från ditt användarkonto) ökar säkerhetsnivån för tjänsten och gör det möjligt för API:et för automatiseringsregler att stödja CI/CD-användningsfall.
Det här kontot måste beviljas explicita behörigheter (i form av rollen Microsoft Sentinel Automation-deltagare ) för resursgruppen där spelboken finns. Då kan du köra valfri spelbok i resursgruppen, antingen manuellt eller från någon automatiseringsregel.
När du lägger till körningsspelboksåtgärden i en automatiseringsregel visas en listruta med spelböcker för ditt val. Spelböcker som Microsoft Sentinel inte har behörighet till visas som otillgängliga ("nedtonade"). Du kan bevilja behörighet till Microsoft Sentinel på plats genom att välja länken Hantera spelboksbehörigheter .
I ett scenario med flera klientorganisationer (Lighthouse) måste du definiera behörigheterna för klientorganisationen där spelboken finns, även om automationsregeln som anropar spelboken finns i en annan klientorganisation. För att göra det måste du ha ägarbehörigheter för spelbokens resursgrupp.
Det finns ett unikt scenario med en hanterad säkerhetstjänstleverantör (MSSP) där en tjänstleverantör, när den är inloggad i sin egen klientorganisation, skapar en automatiseringsregel på en kunds arbetsyta med hjälp av Azure Lighthouse. Den här automatiseringsregeln anropar sedan en spelbok som tillhör kundens klientorganisation. I det här fallet måste Microsoft Sentinel beviljas behörigheter för båda klienterna. I kundklientorganisationen beviljar du dem i panelen Hantera spelboksbehörigheter , precis som i det vanliga scenariot med flera klientorganisationer. Om du vill bevilja relevanta behörigheter i tjänstleverantörens klientorganisation måste du lägga till ytterligare en Azure Lighthouse-delegering som ger åtkomstbehörighet till Azure Security Insights-appen , med rollen Microsoft Sentinel Automation-deltagare , i resursgruppen där spelboken finns. Lär dig hur du lägger till den här delegeringen.
Se de fullständiga instruktionerna för att skapa automatiseringsregler.
Köra en spelbok manuellt
Fullständig automatisering är den bästa lösningen för så många incidenthanterings-, undersöknings- och åtgärdsåtgärder som du är bekväm med att automatisera. Med detta sagt kan det finnas goda skäl till ett slags hybridautomatisering: att använda spelböcker för att konsolidera en rad aktiviteter mot en rad olika system till ett enda kommando, men bara köra spelböckerna när och var du bestämmer. Till exempel:
Du kanske föredrar att dina SOC-analytiker har mer mänsklig indata och kontroll över vissa situationer.
Du kanske också vill att de ska kunna vidta åtgärder mot specifika hotaktörer (entiteter) på begäran, under en undersökning eller en hotjakt, i kontexten utan att behöva pivoteras till en annan skärm. (Den här möjligheten finns nu i förhandsversion.)
Du kanske vill att SOC-tekniker ska skriva spelböcker som fungerar på specifika entiteter (nu i förhandsversion) och som bara kan köras manuellt.
Du vill förmodligen att dina tekniker ska kunna testa spelböckerna de skriver innan de distribueras fullständigt i automatiseringsregler.
Av dessa och andra skäl kan du med Microsoft Sentinel köra spelböcker manuellt på begäran för entiteter och incidenter (båda nu i förhandsversion) samt för aviseringar.
Om du vill köra en spelbok för en specifik incident väljer du incidenten från rutnätet på sidan Incidenter . I Azure-portalen väljer du Åtgärder i fönstret incidentinformation och väljer Kör spelbok (förhandsversion) på snabbmenyn. I Defender-portalen väljer du Kör spelbok (förhandsversion) direkt från sidan incidentinformation.
Då öppnas spelboken Kör på incidentpanelen .
Om du vill köra en spelbok i en avisering väljer du en incident, anger incidentinformationen och på fliken Aviseringar väljer du en avisering och väljer Visa spelböcker.
Då öppnas panelen Aviseringsspelböcker .
Om du vill köra en spelbok på en entitet väljer du en entitet på något av följande sätt:
- På fliken Entiteter i en incident väljer du en entitet i listan och väljer länken Kör spelbok (förhandsversion) i slutet av raden i listan.
- I diagrammet Undersökning väljer du en entitet och väljer knappen Kör spelbok (förhandsversion) på entitetspanelen.
- Från Entitetsbeteende väljer du en entitet och på entitetssidan väljer du knappen Kör spelbok (förhandsversion) i den vänstra panelen.
Alla dessa öppnar spelboken Kör på <entitetstyppanelen> .
I någon av dessa paneler visas två flikar: Spelböcker och körningar.
På fliken Spelböcker visas en lista över alla spelböcker som du har åtkomst till och som använder lämplig utlösare – oavsett om det gäller Microsoft Sentinel-incident, Microsoft Sentinel-avisering eller Microsoft Sentinel-entitet. Varje spelbok i listan har en Kör-knapp som du väljer för att köra spelboken omedelbart.
Om du vill köra en spelbok för incidentutlösare som du inte ser i listan kan du läsa anteckningen om Microsoft Sentinel-behörigheter ovan.På fliken Körningar visas en lista över alla gånger en spelbok har körts på incidenten eller aviseringen som du har valt. Det kan ta några sekunder innan en precis slutförd körning visas i den här listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Azure Logic Apps.
Hantera dina spelböcker
På fliken Aktiva spelböcker visas en lista över alla spelböcker som du har åtkomst till, filtrerade efter de prenumerationer som för närvarande visas i Azure. Prenumerationsfiltret är tillgängligt från menyn Katalog + prenumeration i det globala sidhuvudet.
Om du klickar på ett spelboksnamn dirigeras du till spelbokens huvudsida i Azure Logic Apps. Kolumnen Status anger om den är aktiverad eller inaktiverad.
Kolumnen Plan anger om spelboken använder resurstypen Standard eller förbrukning i Azure Logic Apps. Du kan filtrera listan efter plantyp om du bara vill se en typ av spelbok. Du kommer att märka att spelböcker av standardtyp använder namngivningskonventionen LogicApp/Workflow . Den här konventionen återspeglar det faktum att en Standard-spelbok representerar ett arbetsflöde som finns tillsammans med andra arbetsflöden i en enda logikapp.
Utlösartypen representerar Azure Logic Apps-utlösaren som startar den här spelboken.
| Typ av utlösare | Anger komponenttyper i spelboken |
|---|---|
| Microsoft Sentinel-incident/avisering/entitet | Spelboken startas med en av Sentinel-utlösarna (incident, avisering, entitet) |
| Använda Microsoft Sentinel-åtgärd | Spelboken startas med en icke-Sentinel-utlösare men använder en Microsoft Sentinel-åtgärd |
| Övrigt | Spelboken innehåller inga Sentinel-komponenter |
| Inte initierad | Spelboken har skapats, men innehåller inga komponenter (utlösare eller åtgärder). |
På spelbokens Azure Logic Apps-sida kan du se mer information om spelboken, inklusive en logg över alla gånger den har körts, och resultatet (lyckat eller misslyckat och annan information). Du kan också öppna arbetsflödesdesignern i Azure Logic Apps och redigera spelboken direkt om du har rätt behörighet.
API-anslutningar
API-anslutningar används för att ansluta Azure Logic Apps till andra tjänster. Varje gång en ny autentisering görs för en anslutningsapp i Azure Logic Apps skapas en ny resurs av typen API-anslutning och innehåller den information som tillhandahålls när du konfigurerar åtkomst till tjänsten.
Om du vill se alla API-anslutningar anger du API-anslutningar i sökrutan för sidhuvuden i Azure-portalen. Observera kolumnerna av intresse:
- Visningsnamn – det "egna" namn som du ger anslutningen varje gång du skapar en.
- Status – anger anslutningsstatus: fel, ansluten.
- Resursgrupp – API-anslutningar skapas i resursgruppen för spelboksresursen (Azure Logic Apps).
Ett annat sätt att visa API-anslutningar är att gå till sidan Alla resurser och filtrera den efter typ av API-anslutning. På så sätt kan du välja, tagga och ta bort flera anslutningar samtidigt.
Om du vill ändra auktoriseringen för en befintlig anslutning anger du anslutningsresursen och väljer Redigera API-anslutning.
Rekommenderade spelböcker
Följande rekommenderade spelböcker och andra liknande spelböcker är tillgängliga för dig i innehållshubben eller på Microsoft Sentinel GitHub-lagringsplatsen:
Spelböcker för meddelanden utlöses när en avisering eller incident skapas och skickar ett meddelande till ett konfigurerat mål:
Playbook Mapp i
GitHub-lagringsplatsLösning i Innehållshubben/
Azure MarketplacePublicera ett meddelande i en Microsoft Teams-kanal Post-Message-Teams Sentinel SOAR Essentials-lösning Skicka ett e-postmeddelande i Outlook Skicka grundläggande e-post Sentinel SOAR Essentials-lösning Publicera ett meddelande i en Slack-kanal Post-Message-Slack Sentinel SOAR Essentials-lösning Skicka ett adaptivt Microsoft Teams-kort vid skapande av incidenter Send-Teams-adaptive-card-on-incident-creation Sentinel SOAR Essentials-lösning Blockerande spelböcker utlöses när en avisering eller incident skapas, samlar in entitetsinformation som kontot, IP-adressen och värden och blockerar dem från ytterligare åtgärder:
Playbook Mapp i
GitHub-lagringsplatsLösning i Innehållshubben/
Azure MarketplaceBlockera en IP-adress i Azure Firewall AzureFirewall-BlockIP-addNewRule Azure Firewall-lösning för Sentinel Blockera en Microsoft Entra-användare Block-AADUser Microsoft Entra-lösning Återställa ett Microsoft Entra-användarlösenord Reset-AADUserPassword Microsoft Entra-lösning Isolera eller ensolera enhet med hjälp av
Microsoft Defender för EndpointIsolera MDEMachine
Unisolate-MDEMachineMicrosoft Defender för Endpoint-lösning Skapa, uppdatera eller stänga spelböcker kan skapa, uppdatera eller stänga incidenter i Microsoft Sentinel, Microsoft 365-säkerhetstjänster eller andra biljettsystem:
Playbook Mapp i
GitHub-lagringsplatsLösning i Innehållshubben/
Azure MarketplaceSkapa en incident med Hjälp av Microsoft Forms CreateIncident-MicrosoftForms Sentinel SOAR Essentials-lösning Relatera aviseringar till incidenter relateAlertsToIncident-basedOnIP Sentinel SOAR Essentials-lösning Skapa en ServiceNow-incident Create-SNOW-record ServiceNow-lösning