Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede Microsoft Sentinel playbook'larının ne olduğu ve Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) işlemlerinizi uygulamak ve zaman ve kaynak tasarrufu yaparken daha iyi sonuçlar elde etmek için bunların nasıl kullanılacağı açıklanmaktadır.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Playbook nedir?

SOC analistleri genellikle güvenlik uyarıları ve olaylarla düzenli aralıklarla, kullanılabilir personelin bunalmış olduğu kadar büyük hacimlerde dolanır. Bu, birçok uyarının yoksayıldığı ve birçok olayın araştırılmadığı durumlarda çok sık sonuçlanır ve kuruluş, dikkat edilmeyen saldırılara karşı savunmasız hale gelir.

Çoğu değilse, bu uyarıların ve olayların çoğu, belirli ve tanımlı düzeltme eylemleri kümeleri tarafından ele alınabilecek yinelenen desenlere uygundur. Analistler ayrıca yönettikleri olayların temel düzeltme ve araştırmalarıyla da görev yapar. Bu etkinliklerin otomatik olabilmesi için, bir SOC çok daha üretken ve verimli olabilir ve analistlerin araştırma faaliyetlerine daha fazla zaman ve enerji ayırmasına olanak sağlar.

Playbook, tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olmak için Rutin olarak Microsoft Sentinel'den çalıştırdığınız bu düzeltme eylemlerinden oluşan bir koleksiyondur. İki şekilde çalıştırılabilir:

• Belirli bir varlık veya uyarıda el ile isteğe bağlı olarak
• Otomasyon kuralı tarafından tetiklendiğinde belirli uyarılara veya olaylara yanıt olarak otomatik olarak.

Örneğin, bir hesap ve makinenin güvenliği aşılırsa, playbook makineyi ağdan yalıtabilir ve SOC ekibine olay bildirildiğinde hesabı engelleyebilir.

Otomasyon sayfasındaki Etkin playbook'lar sekmesinde seçili aboneliklerde kullanılabilen tüm etkin playbook'lar görüntülenirken, playbook'un kaynak grubuna özel olarak Microsoft Sentinel izinleri vermediğiniz sürece, varsayılan olarak playbook yalnızca ait olduğu abonelik içinde kullanılabilir.

Birleşik güvenlik operasyonları platformuna eklendikten sonra, Etkin playbook'lar sekmesinde eklenen çalışma alanının aboneliğiyle önceden tanımlanmış bir filtre gösterilir. Azure portalında, Azure abonelik filtresini kullanarak diğer abonelikler için veri ekleyin.

Playbook şablonları

Playbook şablonu, gereksinimlerinizi karşılayacak şekilde özelleştirilebilen önceden oluşturulmuş, test edilmiş ve kullanıma hazır bir iş akışıdır. Şablonlar, sıfırdan playbook'lar geliştirirken en iyi uygulamalar için bir başvuru veya yeni otomasyon senaryoları için ilham kaynağı olarak da kullanılabilir.

Playbook şablonları playbook'ların kendileri olarak kullanılamaz. Bunlardan bir playbook (şablonun düzenlenebilir bir kopyası) oluşturursunuz.

Playbook şablonlarını aşağıdaki kaynaklardan alabilirsiniz:

• Otomasyon sayfasında, Playbook şablonları sekmesi yüklü playbook şablonlarını listeler. Aynı şablondan birden çok etkin playbook oluşturulabilir.

  Şablonun yeni bir sürümü yayımlandığında, bu şablondan oluşturulan etkin playbook'lar Etkin playbook'lar sekmesinde bir güncelleştirmenin kullanılabilir olduğunu belirten bir etiket görüntüleyerek gösterilir.

• Playbook şablonları, Microsoft Sentinel'deki İçerik hub'ı sayfasından yüklediğiniz ürün çözümlerinin veya tek başına içeriğin bir parçası olarak kullanılabilir. Daha fazla bilgi için bkz . Microsoft Sentinel içeriği ve çözümleri ve Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

• Microsoft Sentinel GitHub deposu birçok playbook şablonu içerir. Azure'a Dağıt düğmesi seçilerek bir Azure aboneliğine dağıtılabilirler.

Teknik olarak playbook şablonu, çeşitli kaynaklardan oluşan bir ARM şablonudur : Azure Logic Apps iş akışı ve ilgili her bağlantı için API bağlantıları.

Önemli

Playbook şablonları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Azure Logic Apps temel kavramları

Microsoft Sentinel'deki Playbook'lar, kuruluş genelindeki sistemlerde görevleri ve iş akışlarını zamanlamanıza, otomatikleştirmenize ve düzenlemenize yardımcı olan bir bulut hizmeti olan Azure Logic Apps'te oluşturulan iş akışlarını temel alır. Bu, akış planlarının Azure Logic Apps’teki yerleşik şablonların tüm gücünden ve özelliklerinden yararlanabileceği anlamına gelir.

Not

Azure Logic Apps ayrı kaynaklar oluşturduğu için ek ücretler uygulanabilir. Daha fazla bilgi için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Azure Logic Apps, bağlayıcıları kullanarak diğer sistem ve hizmetlerle iletişim kurar. Bağlayıcıların ve bazı önemli özniteliklerinin kısa bir açıklaması aşağıdadır:

• Yönetilen bağlayıcı: API çağrılarını belirli bir ürüne veya hizmete sarmalayan bir dizi eylem ve tetikleyici. Azure Logic Apps, hem Microsoft hem de Microsoft hizmetleri olmayan kişilerle iletişim kurmak için yüzlerce bağlayıcı sunar. Daha fazla bilgi için bkz. Azure Logic Apps bağlayıcıları ve belgeleri

• Özel bağlayıcı: Önceden oluşturulmuş bağlayıcı olarak kullanılamamış hizmetlerle iletişim kurmak isteyebilirsiniz. Özel bağlayıcılar, bir bağlayıcı oluşturmanıza (ve hatta paylaşmanıza) ve kendi tetikleyicilerini ve eylemlerini tanımlamanıza olanak tanıyarak bu gereksinimi giderir. Daha fazla bilgi için bkz . Kendi özel Azure Logic Apps bağlayıcılarınızı oluşturma.

• Microsoft Sentinel bağlayıcısı: Microsoft Sentinel ile etkileşim kuran playbook'lar oluşturmak için Microsoft Sentinel bağlayıcısını kullanın. Daha fazla bilgi için Microsoft Sentinel bağlayıcısı belgelerine bakın.

• Tetikleyici: Bir iş akışı başlatan bir bağlayıcı bileşeni, bu örnekte bir playbook. Microsoft Sentinel tetikleyicisi, playbook'un tetiklendiğinde almayı beklediği şemayı tanımlar. Microsoft Sentinel bağlayıcısının şu anda üç tetikleyicisi vardır:

  • Uyarı tetikleyicisi: Playbook uyarıyı giriş olarak alır.
  • Varlık tetikleyicisi (Önizleme):Playbook giriş olarak bir varlık alır.
  • Olay tetikleyicisi: Playbook, dahil edilen tüm uyarılar ve varlıklarla birlikte olayı giriş olarak alır.

• Eylemler: Eylemler, tetikleyiciden sonra gerçekleşen tüm adımlardır. Sıralı olarak, paralel olarak veya karmaşık koşulların matrisinde düzenlenebilirler.

• Dinamik alanlar: Tetikleyicilerin ve eylemlerin çıkış şeması tarafından belirlenen ve gerçek çıkışlarıyla doldurulan ve izleyen eylemlerde kullanılabilen geçici alanlar.

Mantıksal uygulama türleri

Microsoft Sentinel artık aşağıdaki mantıksal uygulama kaynak türlerini destekliyor:

• Çok kiracılı Azure Logic Apps'te çalışan ve klasik, özgün Azure Logic Apps altyapısını kullanan tüketim.
• Standart, tek kiracılı Azure Logic Apps'te çalışır ve yeniden tasarlanmış bir Azure Logic Apps altyapısı kullanır.

Standart mantıksal uygulama türü daha yüksek performans, sabit fiyatlandırma, birden çok iş akışı özelliği, daha kolay API bağlantıları yönetimi, sanal ağlar ve özel uç noktalar için destek gibi yerel ağ özellikleri (aşağıya bakın), yerleşik CI/CD özellikleri, daha iyi Visual Studio Code tümleştirmesi, güncelleştirilmiş bir iş akışı tasarımcısı ve daha fazlasını sunar.

Bu mantıksal uygulama sürümünü kullanmak için Microsoft Sentinel'de yeni Standart playbook'lar oluşturun (aşağıdaki nota bakın). Bu playbook'ları Tüketim playbook'larını kullandığınız şekilde kullanabilirsiniz:

• Bunları otomasyon kurallarına ve/veya analiz kurallarına ekleyin.
• Bunları hem olaylardan hem de uyarılardan isteğe bağlı olarak çalıştırın.
• Bunları Etkin Playbook'lar sekmesinde yönetin.

Not

• Standart iş akışları şu anda Playbook şablonlarını desteklememektedir ve bu da doğrudan Microsoft Sentinel'de Standart iş akışı tabanlı playbook oluşturamazsınız. Bunun yerine iş akışını Azure Logic Apps'te oluşturmanız gerekir. İş akışını oluşturduktan sonra Microsoft Sentinel'de bir playbook olarak görünür.

• Logic Apps'in Standart iş akışları yukarıda belirtildiği gibi özel uç noktaları destekler, ancak Microsoft Sentinel, Standart iş akışlarını temel alan playbook'larda özel uç noktaların kullanımını desteklemek için Logic apps'te bir erişim kısıtlama ilkesi tanımlamayı gerektirir.

  Erişim kısıtlama ilkesi tanımlanmamışsa, Microsoft Sentinel'deki bir listeden playbook seçerken (el ile mi, otomasyon kuralına mı yoksa playbook galerisinde mi çalıştırılacağından) özel uç noktaları olan iş akışları hala görünür ve seçilebilir olabilir ve bunları seçebilirsiniz, ancak yürütmeleri başarısız olur.

• Gösterge, Standart iş akışlarını durum bilgisi olan veya durum bilgisi olmayan olarak tanımlar. Microsoft Sentinel şu anda durum bilgisi olmayan iş akışlarını desteklememektedir. Durum bilgisi olan ve durum bilgisi olmayan iş akışları arasındaki farklar hakkında bilgi edinin.

Bu iki kaynak türü arasında birçok fark vardır ve bu türlerden bazıları Microsoft Sentinel'deki playbook'larda kullanılabilecek yollardan bazılarını etkiler. Bu gibi durumlarda, belgeler bilmeniz gerekenlere işaret eder. Daha fazla bilgi için Azure Logic Apps belgelerindeki Kaynak türü ve konak ortamı farklılıklarına bakın.

Gerekli izinler

SecOps ekibinize Azure Logic Apps'i kullanarak Microsoft Sentinel'de playbook'lar oluşturma ve çalıştırma olanağı vermek için azure rollerini güvenlik operasyonları ekibinize veya ekipteki belirli kullanıcılara atayın. Aşağıda, farklı kullanılabilir roller ve atanmaları gereken görevler açıklanmaktadır:

Azure Logic Apps için Azure rolleri

• Mantıksal Uygulama Katkıda Bulunanı, mantıksal uygulamaları yönetmenize ve playbook'ları çalıştırmanıza olanak tanır, ancak bunlara erişimi değiştiremezsiniz (bunun için Sahip rolüne ihtiyacınız vardır).
• Mantıksal Uygulama Operatörü mantıksal uygulamaları okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar, ancak bunları düzenleyemez veya güncelleştiremezsiniz.

Microsoft Sentinel için Azure rolleri

• Microsoft Sentinel Katkıda Bulunan rolü, bir analiz veya otomasyon kuralına playbook eklemenize olanak tanır.

• Microsoft Sentinel Yanıtlayıcı rolü, playbook'u el ile çalıştırmak için bir olaya erişmenizi sağlar. Ancak playbook'u çalıştırmak için...

  • Microsoft Sentinel Playbook Operatörü rolü, bir playbook'u el ile çalıştırmanıza olanak tanır.
  • Microsoft Sentinel Otomasyonu Katkıda Bulunanı , otomasyon kurallarının playbook'ları çalıştırmasına izin verir. Başka bir amaçla kullanılmaz.

Daha fazla bilgi edinin

• Azure Logic Apps'teki Azure rolleri hakkında daha fazla bilgi edinin.
• Microsoft Sentinel'de Azure rolleri hakkında daha fazla bilgi edinin.

Playbook oluşturma adımları

• Otomasyon senaryoyu tanımlayın.

• Mantıksal uygulamanızı oluşturun.

• Mantıksal uygulamanızı test edin.

• Playbook'u bir otomasyon kuralına veya analiz kuralına ekleyin veya gerektiğinde el ile çalıştırın.

Playbook'lar için kullanım örnekleri

Azure Logic Apps platformu yüzlerce eylem ve tetikleyici sunduğundan neredeyse tüm otomasyon senaryoları oluşturulabilir. Microsoft Sentinel, kullanıma hazır playbook şablonlarının kullanıma sunulduğu aşağıdaki SOC senaryolarından başlamanızı önerir:

Zenginleştirme

Daha akıllı kararlar almak için verileri toplayın ve olaya ekleyin.

Örneğin:

IP adresi varlıkları oluşturan bir analiz kuralı tarafından bir uyarıdan bir Microsoft Sentinel olayı oluşturuldu.

Olay, aşağıdaki adımlarla bir playbook çalıştıran bir otomasyon kuralını tetikler:

• Yeni bir Microsoft Sentinel olayı oluşturulduğunda başlayın. Olayda temsil edilen varlıklar, olay tetikleyicisinin dinamik alanlarında depolanır.

• Her IP adresi için, daha fazla veri almak için Virüs Toplamı gibi bir dış Tehdit Bilgileri sağlayıcısını sorgular.

• Döndürülen verileri ve içgörüleri olayın açıklamaları olarak ekleyin.

çift yönlü eşitleme

Playbook'lar, Microsoft Sentinel olaylarınızı diğer bilet sistemleriyle eşitlemek için kullanılabilir.

Örneğin:

Tüm olay oluşturma için bir otomasyon kuralı oluşturun ve ServiceNow'da bilet açan bir playbook ekleyin:

• Yeni bir Microsoft Sentinel olayı oluşturulduğunda başlayın.

• ServiceNow'da yeni bir bilet oluşturun.

• Kolay özetleme için anahtara olay adını, önemli alanları ve Microsoft Sentinel olayının URL'sini ekleyin.

Düzenleme

Olay kuyruğunun daha iyi denetlenmesi için SOC sohbet platformunu kullanın.

Örneğin:

Kullanıcı adı ve IP adresi varlıkları oluşturan bir analiz kuralı tarafından bir uyarıdan bir Microsoft Sentinel olayı oluşturuldu.

Olay, aşağıdaki adımlarla bir playbook çalıştıran bir otomasyon kuralını tetikler:

• Yeni bir Microsoft Sentinel olayı oluşturulduğunda başlayın.

• Güvenlik analistlerinizin olaydan haberdar olduğundan emin olmak için Microsoft Teams veya Slack'teki güvenlik operasyonları kanalınıza bir ileti gönderin.

• Uyarıdaki tüm bilgileri üst düzey ağ yöneticinize ve güvenlik yöneticinize e-postayla gönderin. E-posta iletisinde Kullanıcıyı engelle ve Yoksay seçeneği düğmeleri bulunur.

• Yöneticilerden bir yanıt alınana kadar bekleyin ve ardından çalışmaya devam edin.

• Yöneticiler Engelle'yi seçtiyse, uyarıdaki IP adresini engellemek için güvenlik duvarına bir komut, kullanıcıyı devre dışı bırakmak için microsoft entra id'ye başka bir komut gönderin.

Response

Tehditlere en az insan bağımlılığıyla hemen yanıt verin.

İki örnek:

Örnek 1: Microsoft Entra Kimlik Koruması tarafından keşfedildiği gibi güvenliği aşılmış bir kullanıcıyı gösteren analiz kuralına yanıt verme:

• Yeni bir Microsoft Sentinel olayı oluşturulduğunda başlayın.

• Güvenliği aşıldığından şüphelenilen olaydaki her kullanıcı varlığı için:

  • Kullanıcıya, kullanıcının şüpheli eylemi gerçekleştirilene dair onay isteyen bir Teams iletisi gönderin.

  • Kullanıcının durumunun tehlikede olduğunu onaylamak için Microsoft Entra Kimlik Koruması ile kontrol edin. Microsoft Entra Kimlik Koruması kullanıcıyı riskli olarak etiketler ve önceden yapılandırılmış olan herhangi bir zorlama ilkesini uygular. Örneğin, kullanıcının bir sonraki oturum açarken MFA kullanmasını zorunlu kılar.

    Not

    Bu özel Microsoft Entra eylemi, kullanıcı üzerinde herhangi bir zorlama etkinliği başlatmaz veya zorlama ilkesi yapılandırmasını başlatmaz. Yalnızca Microsoft Entra Kimlik Koruması önceden tanımlanmış ilkeleri uygun şekilde uygulamasını söyler. Herhangi bir zorlama tamamen Microsoft Entra Kimlik Koruması tanımlanan uygun ilkelere bağlıdır.

Örnek 2: Uç Nokta için Microsoft Defender tarafından keşfedildiği gibi güvenliği aşılmış bir makineyi gösteren analiz kuralına yanıt verme:

• Yeni bir Microsoft Sentinel olayı oluşturulduğunda başlayın.

• Olay varlıklarına dahil edilen şüpheli makineleri ayrıştırmak için Microsoft Sentinel'de Varlıklar - Konakları Al eylemini kullanın.

• Uyarıdaki makineleri yalıtmak için Uç Nokta için Microsoft Defender için bir komut verin.

Araştırma sırasında veya avlanma sırasında el ile yanıt

Etkin araştırma etkinliği boyunca tehditlere bağlam dışına çıkmadan yanıt verin.

Yeni varlık tetikleyicisi (şimdi Önizleme aşamasındadır) sayesinde, araştırma sırasında keşfeddiğiniz tek tek tehdit aktörleri üzerinde doğrudan araştırmanın içinden birer birer anında işlem yapabilirsiniz. Bu seçenek tehdit avcılığı bağlamında da kullanılabilir ve belirli bir olaya bağlı değildir. Bağlam içinde bir varlık seçebilir ve orada eylem gerçekleştirerek zamandan tasarruf edebilir ve karmaşıklığı azaltabilirsiniz.

Bu playbook türünü kullanarak varlıklar üzerinde gerçekleştirebileceğiniz eylemler şunlardır:

• Güvenliği aşılmış bir kullanıcıyı engelleme.
• Güvenlik duvarınızdaki kötü amaçlı bir IP adresinden gelen trafiği engelleme.
• Ağınızda güvenliği aşılmış bir konağı yalıtma.
• Güvenli/güvenli olmayan bir adres izleme listesine veya dış CMDB'nize IP adresi ekleme.
• Dış tehdit bilgileri kaynağından dosya karması raporu alma ve bunu bir olaya açıklama olarak ekleme.

Playbook çalıştırma

Playbook'lar el ile veya otomatik olarak çalıştırılabilir.

Bunlar otomatik olarak çalıştırılacak şekilde tasarlanmıştır ve ideal olarak normal işlemlerde bu şekilde çalıştırılmalıdır. Playbook'u bir analiz kuralında otomatik yanıt olarak (uyarılar için) veya otomasyon kuralında (olaylar için) eylem olarak tanımlayarak otomatik olarak çalıştırırsınız.

Ancak playbook'ları el ile çalıştırmaya yönelik koşullar vardır. Örneğin:

• Yeni bir playbook oluştururken, üretime almadan önce test etmek istersiniz.

• Belirli bir playbook'un ne zaman ve ne zaman çalıştırılacağı konusunda daha fazla denetime ve insan girişine sahip olmak isteyebileceğiniz durumlar olabilir.

  Bir olay, uyarı veya varlık açıp burada görüntülenen ilişkili playbook'u seçerek ve çalıştırarak playbook'u el ile çalıştırırsınız. Şu anda bu özellik uyarılar için ve olaylar ve varlıklar için önizleme aşamasında genel kullanıma sunulmuştur.

Otomatik yanıt ayarlama

Güvenlik operasyonları ekipleri yinelenen olay ve uyarı türlerine verilen rutin yanıtları tamamen otomatikleştirerek iş yüklerini önemli ölçüde azaltabilir ve benzersiz olaylara ve uyarılara daha fazla odaklanmanıza, desenleri analiz etmeye, tehdit avcılığı ve daha fazlasına odaklanmanıza olanak tanır.

Otomatik yanıtın ayarlanması, bir analiz kuralının her tetiklendiğinde uyarı oluşturmanın yanı sıra kuralın bir playbook çalıştıracağı ve kuralın oluşturduğu uyarıyı giriş olarak alacağı anlamına gelir.

Uyarı bir olay oluşturursa, olay bir otomasyon kuralı tetikler ve bu kural da bir playbook çalıştırabilir ve bu da uyarı tarafından oluşturulan olayı giriş olarak alır.

Uyarı oluşturma otomatik yanıtı

Uyarı oluşturma tarafından tetiklenen ve uyarıları girişleri olarak alan playbook'lar için ("Microsoft Sentinel uyarısı") playbook'u bir analiz kuralına ekleyin:

1. Otomatik yanıt tanımlamak istediğiniz uyarıyı oluşturan analiz kuralını düzenleyin.

2. Otomatik yanıt sekmesindeki Uyarı otomasyonu altında, bir uyarı oluşturulduğunda bu analiz kuralının tetikleyeceği playbook'u veya playbook'ları seçin.

Olay oluşturma otomatik yanıtı

Olay oluşturma tarafından tetiklenen ve olayları girişleri olarak alan playbook'lar için ("Microsoft Sentinel olayı" ilk adımıdır), bir otomasyon kuralı oluşturun ve içinde bir Run playbook eylemi tanımlayın. Bu işlem 2 şekilde yapılabilir:

• Otomatik yanıt tanımlamak istediğiniz olayı oluşturan analiz kuralını düzenleyin. Otomatik yanıt sekmesindeki Olay otomasyonu altında bir otomasyon kuralı oluşturun. Bu, yalnızca bu analiz kuralı için otomatik yanıt oluşturur.

• Otomasyon sayfasındaki Otomasyon kuralları sekmesinden yeni bir otomasyon kuralı oluşturun ve uygun koşulları ve istenen eylemleri belirtin. Bu otomasyon kuralı, belirtilen koşulları karşılayan herhangi bir analiz kuralına uygulanır.

  Not

  Microsoft Sentinel, olay tetikleyici playbook'larını çalıştırmak için izinler gerektirir.

  Microsoft Sentinel, el ile veya otomasyon kuralından olmak üzere olay tetikleyicisini temel alan bir playbook çalıştırmak için özel olarak yetkilendirilmiş bir hizmet hesabı kullanır. Bu hesabın kullanılması (kullanıcı hesabınızın aksine) hizmetin güvenlik düzeyini artırır ve otomasyon kuralları API'sinin CI/CD kullanım örneklerini desteklemesini sağlar.

  Bu hesaba playbook'un bulunduğu kaynak grubunda açık izinler (Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü biçiminde) verilmelidir. Bu noktada, bu kaynak grubundaki herhangi bir playbook'u el ile veya herhangi bir otomasyon kuralından çalıştırabilirsiniz.

  Run playbook eylemini bir otomasyon kuralına eklediğinizde, seçiminiz için playbook'ların açılan listesi görüntülenir. Microsoft Sentinel'in izinlerine sahip olmadığı playbook'lar kullanılamaz ("gri gösteriliyor") olarak gösterilir. Playbook izinlerini yönet bağlantısını seçerek Microsoft Sentinel'e yerinde izin vekleyebilirsiniz.

  Çok kiracılı (Lighthouse) bir senaryoda, playbook'u çağıran otomasyon kuralı farklı bir kiracıda olsa bile playbook'un bulunduğu kiracıda izinleri tanımlamanız gerekir. Bunu yapmak için playbook'un kaynak grubunda Sahip izinlerine sahip olmanız gerekir.

  Yönetilen Güvenlik Hizmeti Sağlayıcısı'nın (MSSP) karşılaştığı benzersiz bir senaryo vardır. Bu senaryo, bir hizmet sağlayıcısının kendi kiracısı içinde oturum açtığı sırada Azure Lighthouse'u kullanarak müşterinin çalışma alanında otomasyon kuralı oluşturmasını sağlar. Bu otomasyon kuralı daha sonra müşterinin kiracısına ait bir playbook'u çağırır. Bu durumda, Microsoft Sentinel'e her iki kiracıda da izin verilmelidir. Müşteri kiracısında, normal çok kiracılı senaryoda olduğu gibi playbook izinlerini yönet panelinde bu izinleri verirsiniz. Hizmet sağlayıcısı kiracısında ilgili izinleri vermek için, playbook'un bulunduğu kaynak grubunda Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolüyle Azure Güvenlik Analizler uygulamasına erişim hakları veren ek bir Azure Lighthouse temsilcisi eklemeniz gerekir. Bu temsilciyi eklemeyi öğrenin.

Otomasyon kuralları oluşturma yönergelerinin tamamına bakın.

Playbook'u el ile çalıştırma

Tam otomasyon, otomatikleştirdiğiniz kadar olay işleme, araştırma ve risk azaltma görevleri için en iyi çözümdür. Bunu söyledikten sonra, bir tür hibrit otomasyonun iyi nedenleri olabilir: çeşitli sistemlerde bir etkinlik dizesini tek bir komutta birleştirmek için playbook'ları kullanmak, ancak playbook'ları yalnızca karar verdiğinizde ve nerede çalıştırdığınız. Örneğin:

• SOC analistlerinizin bazı durumlarda daha fazla insan girişi ve denetimine sahip olması tercih edebilirsiniz.

• Ayrıca, başka bir ekrana dönmek zorunda kalmadan, bir araştırma veya tehdit avı sırasında isteğe bağlı olarak belirli tehdit aktörlerine (varlıklara) karşı işlem yapabilmelerini isteyebilirsiniz. (Bu özellik artık Önizleme aşamasındadır.)

• SOC mühendislerinizin belirli varlıklar üzerinde işlem gören (şimdi Önizleme aşamasında) ve yalnızca el ile çalıştırılabilen playbook'lar yazmasını isteyebilirsiniz.

• Mühendislerinizin, otomasyon kurallarına tam olarak dağıtmadan önce yazdıkları playbook'ları test edebilmesini istersiniz.

Bu ve diğer nedenlerden dolayı Microsoft Sentinel, playbook'ları varlıklar ve olaylar (artık önizleme aşamasında) ve uyarılar için isteğe bağlı olarak el ile çalıştırmanıza olanak tanır.

• Belirli bir olay üzerinde playbook çalıştırmak için Olaylar sayfasındaki kılavuzdan olayı seçin. Azure portalında olay ayrıntıları bölmesinden Eylemler'ive bağlam menüsünden Playbook'u çalıştır (Önizleme) öğesini seçin. Defender portalında doğrudan olay ayrıntıları sayfasından Playbook'u (Önizleme) çalıştır'ı seçin.

  Bu işlem , olay panelinde Playbook'u çalıştır'ı açar.

• Bir uyarıda playbook çalıştırmak için bir olay seçin, olay ayrıntılarını girin ve Uyarılar sekmesinden bir uyarı seçin ve Playbook'ları görüntüle'yi seçin.

  Bu, Uyarı playbook'ları panelini açar.

• Bir varlıkta playbook çalıştırmak için aşağıdaki yollardan herhangi birini kullanarak bir varlık seçin:

  • Bir olayın Varlıklar sekmesinden listeden bir varlık seçin ve listedeki satırının sonundaki Playbook'u çalıştır (Önizleme) bağlantısını seçin.
  • Araştırma grafiğinden bir varlık seçin ve varlık yan panelinde Playbook'u çalıştır (Önizleme) düğmesini seçin.
  • Varlık davranışı bölümünden bir varlık seçin ve varlık sayfasında sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.

  Bunların tümü Varlık türü> panelinde playbook'u <çalıştır'ı açar.

Bu panellerden herhangi birinde iki sekme görürsünüz: Playbook'lar ve Çalıştırmalar.

• Playbook'lar sekmesinde, erişiminiz olan ve uygun tetikleyiciyi kullanan tüm playbook'ların listesini görürsünüz: Microsoft Sentinel Olayı, Microsoft Sentinel Uyarısı veya Microsoft Sentinel Varlığı. Listedeki her playbook'ta, playbook'u hemen çalıştırmak için seçtiğiniz bir Çalıştır düğmesi vardır.
  Listede görmediğiniz bir olay tetikleyici playbook'u çalıştırmak istiyorsanız, yukarıdaki Microsoft Sentinel izinleri hakkındaki nota bakın.

• Çalıştırmalar sekmesinde, seçtiğiniz olay veya uyarıda herhangi bir playbook'un çalıştırıldığı tüm zamanların listesini görürsünüz. Yeni tamamlanan çalıştırmaların bu listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Azure Logic Apps'te tam çalıştırma günlüğü açılır.

Playbook'larınızı yönetme

Etkin playbook'lar sekmesinde, şu anda Azure'da görüntülenen aboneliklere göre filtrelenmiş, erişiminiz olan tüm playbook'ların listesi görüntülenir. Abonelikler filtresi, genel sayfa üst bilgisindeki Dizin + abonelik menüsünden kullanılabilir.

Bir playbook adına tıkladığınızda playbook'un Azure Logic Apps'teki ana sayfasına yönlendirilirsiniz. Durum sütunu etkin mi yoksa devre dışı mı olduğunu gösterir.

Plan sütunu, playbook'un Azure Logic Apps'te Standart veya Tüketim kaynak türünü kullanıp kullanmadığını gösterir. Yalnızca bir playbook türünü görmek için listeyi plan türüne göre filtreleyebilirsiniz. Standart türdeki playbook'ların adlandırma kuralını kullandığını LogicApp/Workflow fark edeceksiniz. Bu kural, Standart playbook'un tek bir Mantıksal Uygulamadaki diğer iş akışlarıyla birlikte var olan bir iş akışını temsil ettiği gerçeğini yansıtır.

Tetikleyici türü , bu playbook'u başlatan Azure Logic Apps tetikleyicisini temsil eder.

Tetikleyici türü	Playbook'taki bileşen türlerini gösterir
Microsoft Sentinel Olayı/Uyarısı/Varlığı	Playbook Sentinel tetikleyicilerinden biriyle (olay, uyarı, varlık) başlatılır
Microsoft Sentinel Eylemini Kullanma	Playbook, Sentinel olmayan bir tetikleyiciyle başlatılır ancak Bir Microsoft Sentinel eylemi kullanır
Diğer	Playbook hiçbir Sentinel bileşeni içermiyor
Başlatılmadı	Playbook oluşturuldu, ancak bileşen (tetikleyiciler veya eylemler) içermiyor.

Playbook'un Azure Logic Apps sayfasında, playbook hakkında, çalıştırdığı tüm zamanların günlüğünü ve sonucu (başarı veya başarısızlık ve diğer ayrıntılar) içeren daha fazla bilgi görebilirsiniz. Ayrıca iş akışı tasarımcısını Azure Logic Apps'te açabilir ve uygun izinlere sahipseniz playbook'u doğrudan düzenleyebilirsiniz.

API bağlantıları

API bağlantıları, Azure Logic Apps'i diğer hizmetlere bağlamak için kullanılır. Azure Logic Apps'te bir bağlayıcı için her yeni kimlik doğrulaması yapıldığında, API bağlantısı türünde yeni bir kaynak oluşturulur ve hizmete erişimi yapılandırırken sağlanan bilgileri içerir.

Tüm API bağlantılarını görmek için Azure portalının üst bilgi arama kutusuna API bağlantıları yazın. İlgilenen sütunları not edin:

• Görünen ad: Her oluşturduğunuzda bağlantıya verdiğiniz "kolay" ad.
• Durum - Bağlantı durumunu gösterir: hata, bağlı.
• Kaynak grubu - API bağlantıları playbook (Azure Logic Apps) kaynağının kaynak grubunda oluşturulur.

API bağlantılarını görüntülemenin bir diğer yolu da Tüm Kaynaklar sayfasına gidip API bağlantısı türüne göre filtrelemektir. Bu şekilde, aynı anda birden çok bağlantının seçilmesine, etiketlenmesine ve silinmesine olanak tanır.

Mevcut bir bağlantının yetkilendirmesini değiştirmek için bağlantı kaynağını girin ve API bağlantısını düzenle'yi seçin.

Önerilen playbook'lar

Aşağıdaki önerilen playbook'lar ve diğer benzer playbook'lar İçerik hub'ında veya Microsoft Sentinel GitHub deposunda kullanılabilir:

• Bildirim playbook'ları bir uyarı veya olay oluşturulduğunda tetiklenir ve yapılandırılmış bir hedefe bildirim gönderir:

  Playbook	içindeki klasör GitHub deposu	İçerik hub'ında çözüm/ Azure Market
  Microsoft Teams kanalında ileti gönderme	İleti Sonrası Ekipler	Sentinel SOAR Essentials çözümü
  Outlook e-posta bildirimi gönderme	Temel e-posta gönder	Sentinel SOAR Essentials çözümü
  Slack kanalında ileti gönderme	İleti Sonrası Bolluk	Sentinel SOAR Essentials çözümü
  Olay oluşturma işleminde Microsoft Teams uyarlamalı kartı gönderme	Send-Teams-adaptive-card-on-incident-creation	Sentinel SOAR Essentials çözümü

• Bir uyarı veya olay oluşturulduğunda playbook'ları engelleme tetiklenir, hesap, IP adresi ve konak gibi varlık bilgilerini toplar ve bunları başka eylemlerden engeller:

  Playbook	içindeki klasör GitHub deposu	İçerik hub'ında çözüm/ Azure Market
  Azure Güvenlik Duvarı'de IP adresini engelleme	AzureFirewall-BlockIP-addNewRule	Sentinel için Azure Güvenlik Duvarı Çözümü
  Microsoft Entra kullanıcılarını engelleme	Block-AADUser	Microsoft Entra çözümü
  Microsoft Entra kullanıcı parolasını sıfırlama	Reset-AADUserPassword	Microsoft Entra çözümü
  Kullanarak cihazı yalıtma veya yalıtma Uç Nokta için Microsoft Defender	Yalıtma-MDEMachine Unisolate-MDEMachine	Uç Nokta için Microsoft Defender çözümü

• Playbook'ları oluşturma, güncelleştirme veya kapatma; Microsoft Sentinel, Microsoft 365 güvenlik hizmetleri veya diğer bilet oluşturma sistemlerinde olaylar oluşturabilir, güncelleştirebilir veya kapatabilir:

  Playbook	içindeki klasör GitHub deposu	İçerik hub'ında çözüm/ Azure Market
  Microsoft Forms kullanarak olay oluşturma	CreateIncident-MicrosoftForms	Sentinel SOAR Essentials çözümü
  Uyarıları olaylarla ilişkilendirme	relateAlertsToIncident tabanlıOnIP	Sentinel SOAR Essentials çözümü
  ServiceNow olayı oluşturma	SNOW kaydı oluşturma	ServiceNow çözümü

Sonraki adımlar

• Öğretici: Microsoft Sentinel'de tehdit yanıtlarını otomatikleştirmek için playbook'ları kullanma
• Playbook'ları kullanarak Microsoft Sentinel'de olay görevleri oluşturma ve gerçekleştirme