Självstudie: Använda spelböcker med automatiseringsregler i Microsoft Sentinel

Den här självstudien visar hur du använder spelböcker tillsammans med automatiseringsregler för att automatisera incidenthanteringen och åtgärda säkerhetshot som upptäckts av Microsoft Sentinel. När du har slutfört den här självstudien kommer du att kunna:

Vad är automatiseringsregler och spelböcker?

Automatiseringsregler hjälper dig att befalla incidenter i Microsoft Sentinel. Du kan använda dem för att automatiskt tilldela incidenter till rätt personal, stänga incidenter med brus eller kända falska positiva resultat,ändra deras allvarlighetsgrad och lägga till taggar. De är också den mekanism som du kan använda för att köra spelböcker som svar på incidenter.

Spelböcker är samlingar av procedurer som kan köras från Microsoft Sentinel som svar på en avisering eller incident. En spelbok kan hjälpa dig att automatisera och orkestrera ditt svar och kan ställas in så att den körs automatiskt när specifika aviseringar eller incidenter genereras, genom att kopplas till en analysregel eller en automatiseringsregel. Den kan också köras manuellt på begäran.

Spelböcker i Microsoft Sentinel baseras på arbetsflöden som är inbyggda i Azure Logic Apps, vilket innebär att du får all kraft, all anpassningsbarhet och de inbyggda mallarna för Logic Apps. Varje spelbok skapas för den specifika prenumeration som den tillhör, men spelböckerna visar alla spelböcker som är tillgängliga för alla valda prenumerationer.

Om du till exempel vill hindra potentiellt komprometterade användare från att flytta runt i nätverket och stjäla information kan du skapa ett automatiserat, mångfacetterat svar på incidenter som genereras av regler som identifierar komprometterade användare. Du börjar med att skapa en spelbok som vidtar följande åtgärder:

1. När spelboken anropas av en automatiseringsregel som passerar en incident öppnar spelboken en biljett i ServiceNow eller något annat IT-biljettsystem.

2. Den skickar ett meddelande till din säkerhetsdriftskanal i Microsoft Teams eller Slack för att se till att dina säkerhetsanalytiker är medvetna om incidenten.

3. Den skickar också all information i incidenten i ett e-postmeddelande till din seniora nätverksadministratör och säkerhetsadministratör. E-postmeddelandet innehåller knapparna Blockera och Ignorera användaralternativ.

4. Spelboken väntar tills ett svar tas emot från administratörerna och fortsätter sedan med nästa steg.

5. Om administratörerna väljer Blockera skickas ett kommando till Azure AD för att inaktivera användaren och en till brandväggen för att blockera IP-adressen.

6. Om administratörerna väljer Ignorera stänger spelboken incidenten i Microsoft Sentinel och biljetten i ServiceNow.

För att utlösa spelboken skapar du sedan en automatiseringsregel som körs när dessa incidenter genereras. Regeln gör följande:

1. Regeln ändrar incidentstatusen till Aktiv.

2. Den tilldelar incidenten till den analytiker som har uppgiften att hantera den här typen av incident.

3. Den lägger till taggen "komprometterad användare".

4. Slutligen anropas spelboken som du nyss skapade. (Särskilda behörigheter krävs för det här steget.)

Spelböcker kan köras automatiskt som svar på incidenter genom att skapa automatiseringsregler som anropar spelböckerna som åtgärder, som i exemplet ovan. De kan också köras automatiskt som svar på aviseringar genom att meddela analysregeln att automatiskt köra en eller flera spelböcker när aviseringen genereras.

Du kan också välja att köra en spelbok manuellt på begäran som svar på en vald avisering.

Få en mer fullständig och detaljerad introduktion till automatisering av hotsvar med hjälp av automatiseringsregler och spelböcker i Microsoft Sentinel.

Skapa en spelbok

Följ de här stegen för att skapa en ny spelbok i Microsoft Sentinel:

Förbereda spelboken och logikappen

1. Från Microsoft Sentinel-navigeringsmenyn väljer du Automation.

2. På den översta menyn väljer du Skapa och Lägg till ny spelbok.

   

   En ny webbläsarflik öppnas och du kommer till guiden Skapa en logikapp.

   

3. Ange prenumerationen och resursgruppen och ge spelboken ett namn under Logikappens namn.

4. För Region väljer du den Azure-region där din logikappinformation ska lagras.

5. Om du vill övervaka den här spelbokens aktivitet i diagnostiskt syfte markerar du kryssrutan Aktivera logganalys och anger namnet på Log Analytics-arbetsytan.

6. Om du vill tillämpa taggar på spelboken klickar du på Nästa: Taggar som >(inte anslutna till taggar som tillämpas av automatiseringsregler). Läs mer om taggar. Annars klickar du på Granska + skapa. Bekräfta informationen du angav och klicka på Skapa.

7. När spelboken skapas och distribueras (det tar några minuter) kommer du till skärmen Microsoft.EmptyWorkflow. När meddelandet "Distributionen är klar" visas klickar du på Gå till resurs.

8. Du kommer till den nya spelbokens designdesigner Logic Apps därdu kan börja utforma arbetsflödet. Du ser en skärm med en kort introduktionsvideo och några vanliga utlösare och mallar för logikappen. Läs mer om hur du skapar en spelbok med Logic Apps.

9. Välj mallen Tom logikapp.

   

Välj utlösaren

Varje spelbok måste börja med en utlösare. Utlösaren definierar den åtgärd som startar spelboken och schemat som spelboken förväntar sig att ta emot.

1. Leta efter Microsoft Sentinel i sökfältet. Välj Microsoft Sentinel när det visas i resultatet.

2. På den resulterande fliken Utlösare visas de två utlösare som erbjuds av Microsoft Sentinel:

   • När ett svar på en Microsoft Sentinel-avisering utlöses
   • När en incidentskapanderegel i Microsoft Sentinel utlöstes

   Välj den utlösare som matchar den typ av spelbok som du skapar.

   Anteckning

   Kom ihåg att endast spelböcker som baseras på incidentutlösaren kan anropas av automatiseringsregler. Spelböcker som baseras på aviseringsutlösaren måste definieras för att köras direkt i analysregler och kan också köras manuellt.

   Mer information om vilken utlösare som ska användas finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker

   

Lägg till åtgärder

Nu kan du definiera vad som händer när du anropar spelboken. Du kan lägga till åtgärder, logiska villkor, loopar eller switch-fallvillkor genom att välja Nytt steg. Det här valet öppnar en ny ram i designern där du kan välja ett system eller ett program att interagera med eller ett villkor som ska anges. Ange namnet på systemet eller programmet i sökfältet längst upp i ramen och välj sedan bland de tillgängliga resultaten.

I vart och ett av de här stegen visas en panel med två menyer när du klickar på ett fält: Dynamiskt innehåll och Uttryck. Från menyn Dynamiskt innehåll kan du lägga till referenser till attributen för aviseringen eller incidenten som skickades till spelboken, inklusive värden och attribut för alla berörda entiteter. På menyn Uttryck kan du välja bland ett stort bibliotek med funktioner för att lägga till ytterligare logik i dina steg.

Den här skärmbilden visar de åtgärder och villkor som du skulle lägga till när du skapade spelboken som beskrivs i exemplet i början av det här dokumentet. Den enda skillnaden är att i spelboken som visas här använder du aviseringsutlösaren i stället för incidentutlösaren. Det innebär att du anropar den här spelboken direkt från en analysregel, inte från en automationsregel. Båda sätten att anropa en spelbok beskrivs nedan.

Automatisera hotsvar

Du har skapat din spelbok och definierat utlösaren, angett villkoren och föreskrivit de åtgärder som ska vidtas och de utdata som den kommer att generera. Nu måste du fastställa under vilka kriterier den ska köras och konfigurera automatiseringsmekanismen som ska köra den när dessa villkor uppfylls.

Svara på incidenter

Du använder en spelbok för att svara på en incident genom att skapa en automatiseringsregel som körs när incidenten genereras, och i sin tur anropar den spelboken.

Så här skapar du en automatiseringsregel:

1. Från Automation-bladet i Microsoft Sentinel-navigeringsmenyn väljer du Skapa på den översta menyn och sedan Lägg till ny regel.

   

2. Panelen Skapa ny automatiseringsregel öppnas. Ange ett namn för regeln.

   

3. Om du vill att automationsregeln endast ska gälla för vissa analysregler anger du vilka genom att ändra namnvillkoret För Analytics-regeln.

4. Lägg till eventuella andra villkor som du vill att den här automationsregelns aktivering ska vara beroende av. Klicka på Lägg till villkor och välj villkor i listrutan. Listan över villkor fylls i aviseringsdetaljer och entitetsidentifierarfält.

5. Välj de åtgärder som du vill att den här automatiseringsregeln ska vidta. Bland de tillgängliga åtgärderna finns Tilldela ägare, Ändra status, Ändra allvarlighetsgrad, Lägg till taggar och Kör spelbok. Du kan lägga till så många åtgärder du vill.

6. Om du lägger till en Run playbook-åtgärd uppmanas du att välja från listrutan med tillgängliga spelböcker. Endast spelböcker som börjar med incidentutlösaren kan köras från automatiseringsregler, så endast de visas i listan.

   Viktigt

   Microsoft Sentinel måste beviljas explicita behörigheter för att kunna köra spelböcker från automatiseringsregler. Om en spelbok visas som "nedtonad" i listrutan innebär det att Sentinel inte har behörighet till spelbokens resursgrupp. Klicka på länken Hantera spelboksbehörigheter om du vill tilldela behörigheter. I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och klickar på Tillämpa.

   • Du måste själv ha ägarbehörighet för alla resursgrupper som du vill bevilja Microsoft Sentinel-behörigheter till, och du måste ha rollen Logic App-deltagare för alla resursgrupper som innehåller spelböcker som du vill köra.

   • Om spelboken som du vill köra finns i en annan klientorganisation i en distribution med flera klienter måste du ge Microsoft Sentinel behörighet att köra spelboken i spelbokens klientorganisation.

     1. Från Microsoft Sentinel-navigeringsmenyn i spelböckers klientorganisation väljer du Inställningar.
     2. På bladet Inställningar väljer du fliken Inställningar och sedan playbook-behörigheterna som expanderar.
     3. Klicka på knappen Konfigurera behörigheter för att öppna panelen Hantera behörigheter som nämns ovan och fortsätt enligt beskrivningen där.

   • Om du i ett MSSP-scenario vill köra en spelbok i en kundklientorganisation från en automationsregel som skapats när du är inloggad på tjänstleverantörens klientorganisation, måste du ge Microsoft Sentinel behörighet att köra spelboken i båda klienterna _. I klientorganisationen _ kund följer du instruktionerna för distributionen av flera innehavare i föregående punkt. I klientorganisationen för tjänstprovidern måste du lägga till appen Azure Security Insights i din Azure Lighthouse onboarding-mall:

     1. Från Azure-portalen går du till Azure Active Directory.
     2. Klicka på Företagsprogram.
     3. Välj Programtyp och filtrera på Microsoft-program.
     4. I sökrutan skriver du Azure Security Insights.
     5. Kopiera fältet Objekt-ID. Du måste lägga till den här ytterligare auktoriseringen till din befintliga Azure Lighthouse delegering.

     Rollen Microsoft Sentinel Automation-deltagare har ett fast GUID som är f4c81013-99ee-4d62-a7ee-b3f1f648599a . Ett exempel Azure Lighthouse auktorisering skulle se ut så här i parametermallen:

     {
          "principalId": "<Enter the Azure Security Insights app Object ID>", 
          "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
          "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
     }
     

7. Ange ett förfallodatum för automationsregeln om du vill att den ska ha en.

8. Ange ett tal under Order för att avgöra var i sekvensen med automatiseringsregler den här regeln ska köras.

9. Klicka på Applicera. Du är klar!

Upptäck andra sätt att skapa automatiseringsregler.

Reagera på aviseringar

Du använder en spelbok för att svara på en avisering genom att skapa en analysregel, eller redigera en befintlig, som körs när aviseringen genereras och välja din spelbok som ett automatiserat svar i guiden för analysregel.

1. På bladet Analytics i Microsoft Sentinel-navigeringsmenyn väljer du den analysregel som du vill automatisera svaret för och klickar på Redigera i informationsfönstret.

2. I guiden Analytics-regel – Redigera befintlig regel väljer du fliken Automatiserat svar.

   

3. Välj din spelbok i listrutan. Du kan välja fler än en spelbok, men endast spelböcker som använder aviseringsutlösaren är tillgängliga.

4. På fliken Granska och skapa väljer du Spara.

Köra en spelbok på begäran

Du kan också köra en spelbok på begäran.

Så här kör du en spelbok på begäran:

1. På sidan Incidenter väljer du en incident och klickar på Visa fullständig information.

2. På fliken Aviseringar klickar du på den avisering som du vill köra spelboken på och bläddrar hela vägen till höger och klickar på Visa spelböcker och väljer en spelbok att köra från listan över tillgängliga spelböcker i prenumerationen.

Nästa steg

I den här självstudien har du lärt dig hur du använder spelböcker och automatiseringsregler i Microsoft Sentinel för att svara på hot.

• Lär dig hur du proaktivt söker efter hot med microsoft Sentinel.