Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu belgede, playbook'ların Microsoft Sentinel ile etkileşime geçmek için kullanabileceği Logic Apps Microsoft Sentinel bağlayıcısında tetikleyici ve eylem türleri ve çalışma alanınızın tablolarındaki bilgiler açıklanmaktadır. Ayrıca, ihtiyacınız olabilecek belirli Microsoft Sentinel bilgi türlerine nasıl ulaşabileceğinizi de gösterir.

Bu belge, Playbook'ları Microsoft Sentinel'e doğrulama kılavuzumuzla birlikte diğer playbook belgelerimize de yardımcı olur - Öğretici: Playbook'ları Microsoft Sentinel'de otomasyon kurallarıyla kullanma. Bu üç belge birbirini ileri geri ifade eder.

Playbook'lara giriş için bkz . Microsoft Sentinel'de playbook'larla tehdit yanıtını otomatikleştirme.

Microsoft Sentinel bağlayıcısının tam belirtimi için Logic Apps bağlayıcısı belgelerine bakın.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Gerekli izinler

Roller \ Bağlan veya bileşenleri Tetikleyiciler "Get" eylemleri Olayı güncelleştirin,
açıklama ekleme
Microsoft Sentinel Okuyucusu
Microsoft Sentinel Yanıtlayıcı/Katkıda Bulunanı

Microsoft Sentinel'deki izinler hakkında daha fazla bilgi edinin.

Microsoft Sentinel tetikleyicileri özeti

Microsoft Sentinel bağlayıcısı çeşitli şekillerde kullanılabilse de, bağlayıcının bileşenleri her biri farklı bir Microsoft Sentinel oluşumu tarafından tetiklenen üç akışa ayrılabilir:

Tetikleyici (Logic Apps Tasarım Aracı tam adı) Kullanılması gereken durumlar Bilinen sınırlamalar
Microsoft Sentinel olayı (Önizleme) Çoğu olay otomasyonu senaryosu için önerilir.

Playbook, varlıklar ve uyarılar da dahil olmak üzere olay nesnelerini alır. Bu tetikleyicinin kullanılması playbook'un bir Otomasyon kuralına eklenmesini sağlar, böylece Microsoft Sentinel'de bir olay oluşturulduğunda (ve şimdi de güncelleştirildiğinde) tetiklenebilir ve otomasyon kurallarının tüm avantajları olaya uygulanabilir.		 Bu tetikleyiciye sahip playbook'lar uyarı gruplandırma işlemini desteklemez, yani her olayla birlikte gönderilen yalnızca ilk uyarıyı alırlar.

GÜNCELLEŞTIRME: Şubat 2023 itibarıyla bu tetikleyici için uyarı gruplandırma desteklenir.
Microsoft Sentinel uyarısı (Önizleme) Uyarılarda el ile Microsoft Sentinel portalından çalıştırılması gereken playbook'lar veya uyarıları için olay oluşturmayan zamanlanmış analiz kuralları için önerilir. Bu tetikleyici, Microsoft güvenlik analizi kuralları tarafından oluşturulan uyarılara yönelik yanıtları otomatikleştirmek için kullanılamaz.

Bu tetikleyiciyi kullanan Playbook'lar otomasyon kuralları tarafından çağrılamaz.
Microsoft Sentinel varlığı (Önizleme) Bir araştırma veya tehdit avcılığı bağlamından belirli varlıklar üzerinde el ile çalıştırılması gereken playbook'lar için kullanılabilir. Bu tetikleyiciyi kullanan Playbook'lar otomasyon kuralları tarafından çağrılamaz.

Bu akışlar tarafından kullanılan şemalar aynı değildir. Önerilen uygulama, çoğu senaryo için geçerli olan Microsoft Sentinel olay tetikleyici akışını kullanmaktır.

Olay dinamik alanları

Microsoft Sentinel olayından alınan Olay nesnesi aşağıdaki dinamik alanları içerir:

  • Olay özellikleri ("Olay: alan adı" olarak gösterilir)

  • Uyarılar (dizi)

    • Uyarı özellikleri ("Uyarı: alan adı" olarak gösterilir)

      Uyarı: <özellik adı> gibi bir uyarı özelliği seçildiğinde, bir olay birden çok uyarı içerebileceğinden her döngü için otomatik olarak bir oluşturulur.

  • Varlıklar (bir uyarının tüm varlıklarının dizisi)

  • Çalışma alanı bilgi alanları (olayın oluşturulduğu Sentinel çalışma alanı için geçerlidir)

    • Subscription ID
    • Çalışma alanı adı
    • Çalışma Alanı Kimliği
    • Kaynak grubu adı

Microsoft Sentinel eylemleri özeti

Bileşen Kullanılması gereken durumlar
Uyarı - Olay Alma Uyarı tetikleyicisi ile başlayan playbook'larda. Olay özelliklerini almak veya Olay ARM kimliğini güncelleştirme olayı veya Olay eylemlerine açıklama ekle ile kullanmak için kullanışlıdır.
Olay Al Dış kaynaktan veya Sentinel olmayan bir tetikleyiciyle playbook tetiklerken. Olay ARM Kimliği ile tanımlama. Olay özelliklerini ve açıklamalarını alır.
Olayı Güncelleştir Bir olayın Durumunu değiştirmek için (örneğin, olayı kapatırken), bir Sahip atayın, etiket ekleyin veya kaldırın ya da Önem Derecesi, Başlık veya Açıklama'yı değiştirin.
Olaya açıklama ekleme Olayı dış kaynaklardan toplanan bilgilerle zenginleştirmek; varlıklar üzerinde playbook tarafından yapılan eylemleri denetlemek; olay araştırması için değerli ek bilgiler sağlamak için.
Varlıklar - Varlık türünü alma <> Playbook oluşturma zamanında bilinen belirli bir varlık türü (IP, Hesap, Konak, URL veya FileHash) üzerinde çalışan playbook'larda bunu ayrıştırabilmeniz ve benzersiz alanları üzerinde çalışabilmeniz gerekir.

Olaylarla çalışma - kullanım örnekleri

İpucu

Olayı Güncelleştir ve Olaya Açıklama Ekle eylemleri, Olay ARM Kimliğini gerektirir.

Olay ARM kimliğini almak için Önceden Uyarı - Olay Al eylemini kullanın.

Bir olayı güncelleştirme

  • Playbook, Microsoft Sentinel olayı tarafından tetikleniyor

    Olay tetikleyicisi basit Güncelleştirme akışı örneği

  • Playbook, Microsoft Sentinel uyarısı tarafından tetikleniyor

    Uyarı tetikleyicisi basit Güncelleştirme Olayı akışı örneği

Olay Bilgilerini Kullanma

Olay ayrıntılarını posta üzerinden göndermek için temel playbook:

  • Playbook, Microsoft Sentinel olayı tarafından tetikleniyor

    Olay tetikleyicisi basit Get flow örneği

  • Playbook, Microsoft Sentinel uyarısı tarafından tetikleniyor

    Uyarı tetikleyicisi basit Olay Al akışı örneği

Olaya açıklama ekleme

  • Playbook, Microsoft Sentinel olayı tarafından tetikleniyor

    Olay tetikleyicisi basit açıklama ekleme örneği

  • Playbook, Microsoft Sentinel uyarısı tarafından tetikleniyor

Kullanıcıyı devre dışı bırakma

  • Playbook, Microsoft Sentinel Varlığı tarafından tetiklenir

    Bir kullanıcıyı devre dışı bırakmak için varlık tetikleyicisi playbook'unda yapılacak eylemleri gösteren ekran görüntüsü.

Olay kimliği olmayan varlık playbook'ları

Varlık tetikleyicisi ile oluşturulan Playbook'lar genellikle Olay ARM Kimliği alanını kullanır (örneğin, varlık üzerinde işlem yaptıktan sonra bir olayı güncelleştirmek için).

Böyle bir playbook bir olaya bağlı olmayan bir bağlamda tetikleniyorsa (örneğin tehdit avcılığı sırasında), kimliği bu alanı doldurabilecek bir olay yoktur. Bu durumda, alan null değerle doldurulur.

Sonuç olarak playbook tamamlanmaya çalışamayabilir. Bu hatayı önlemek için, herhangi bir eylem gerçekleştirmeden önce olay kimliği alanındaki bir değeri denetleyecek bir koşul oluşturmanız ve alanın null değeri varsa (yani playbook bir olaydan çalıştırılmıyorsa) farklı bir eylem kümesi belirlemeniz önerilir.

  1. Olay ARM Kimliği alanına başvuran ilk eylemden önce Koşul türünde bir adım ekleyin.

  2. Değer seçin alanını seçin ve Dinamik içerik ekle iletişim kutusunu girin.

  3. İfade sekmesini ve length(collection) işlevini seçin.

  4. Dinamik içerik sekmesini ve Olay ARM Kimliği alanını seçin.

  5. Sonuçta elde edilen ifadenin olduğunu length(triggerBody()?['IncidentArmID']) doğrulayın ve Tamam'ı seçin.

    Playbook koşulu için alanları seçmek için dinamik içerik iletişim kutusunun ekran görüntüsü.

  6. Koşuldaki işleci ve değeri "büyüktür" ve "0" olarak ayarlayın.

    Önceki ekran görüntüsünde açıklanan koşulun son tanımının ekran görüntüsü.

  7. True çerçevesinde, playbook bir olay bağlamından çalıştırılırsa gerçekleştirilecek eylemleri ekleyin.

    False çerçevesinde, playbook olay dışı bir bağlamdan çalıştırılırsa gerçekleştirilecek eylemleri ekleyin.

Belirli Varlık türleriyle çalışma

Varlıklar dinamik alanı, her biri bir varlığı temsil eden bir JSON nesneleri dizisidir. Her varlık türünün benzersiz özelliklerine bağlı olarak kendi şeması vardır.

"Varlıklar - Varlık türünü> al<" eylemi aşağıdakileri yapmanıza olanak tanır:

  • Varlık dizisini istenen türe göre filtreleyin.
  • Bu türdeki belirli alanları ayrıştırın, böylece daha fazla eylemde dinamik alanlar olarak kullanılabilirler.

Giriş, Varlıklar dinamik alanıdır.

Yanıt, özel özelliklerin ayrıştırıldığı ve her bir for döngüsünde doğrudan kullanılabildiği bir varlık dizisidir.

Şu anda desteklenen varlık türleri şunlardır:

Diğer varlık türleri için, Logic Apps'in yerleşik eylemleri kullanılarak benzer işlevler elde edilebilir:

Özel ayrıntılarla çalışma

Olay tetikleyicisinde bulunan Uyarı özel ayrıntıları dinamik alanı, her biri bir uyarının özel ayrıntılarını temsil eden bir JSON nesneleri dizisidir. Hatırlayacağınız gibi özel ayrıntılar, uyarıdaki olaylardan gelen bilgileri olayın bir parçası olarak temsil edilebilmeleri, izlenebilmeleri ve analiz edilebilmeleri için ortaya çıkarmanızı sağlayan anahtar-değer çiftleridir.

Uyarıdaki bu alan özelleştirilebilir olduğundan, şeması ortaya çıkarılan olayın türüne bağlıdır. Özel ayrıntılar alanının nasıl ayrıştırılacağını belirleyecek şemayı oluşturmak için bu olayın bir örneğinden veri sağlamanız gerekir.

Aşağıdaki örneğe bakın:

Analiz kuralında tanımlanan özel ayrıntılar.

Bu anahtar-değer çiftlerinde, anahtar (sol sütun) oluşturduğunuz özel alanları, değer (sağ sütun) ise özel alanları dolduran olay verilerindeki alanları temsil eder.

Şemayı oluşturmak için aşağıdaki JSON kodunu sağlayabilirsiniz. Kod, anahtar adlarını diziler olarak ve değerleri (değerleri içeren sütun olarak değil gerçek değerler olarak gösterilir) dizilerdeki öğeler olarak gösterir.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

  1. JSON Ayrıştır yerleşik eylemini kullanarak yeni bir adım ekleyin. Bulmak için Arama alanına 'json ayrıştır' girebilirsiniz.

  2. Olay tetikleyicisinin altındaki Dinamik içerik listesinde Uyarı Özel Ayrıntıları'nı bulun ve seçin.

    Bir olay bir dizi uyarı içerdiğinden, bu her döngü için bir oluşturur.

  3. Şema oluşturmak için örnek yükü kullan bağlantısını seçin.

    'Şema oluşturmak için örnek yükü kullan' bağlantısını seçin

  4. Örnek bir yük sağlayın. Bu uyarının başka bir örneğini Log Analytics'e bakarak ve özel ayrıntılar nesnesini kopyalayarak (Genişletilmiş Özellikler altında) örnek bir yük bulabilirsiniz. Log Analytics verilerine Azure portalındaki Günlükler sayfasından veya Defender portalındaki Gelişmiş tehdit avcılığı sayfasından erişin. Aşağıdaki ekran görüntüsünde, yukarıda gösterilen JSON kodunu kullandık.

    Örnek JSON yükünü girin.

  5. Özel alanlar Dizi türünde dinamik alanlar kullanılmaya hazırdır. Burada diziyi ve öğelerini hem şemada hem de yukarıda açıkladığımız Dinamik içerik altında görünen listede görebilirsiniz.

    Şemadan kullanıma hazır alanlar.

Sonraki adımlar

Bu makalede, tehditlere yanıt vermek için Microsoft Sentinel playbook'larındaki tetikleyicileri ve eylemleri kullanma hakkında daha fazla bilgi edindiyseniz.