從範本建立和自定義 Microsoft Sentinel 劇本
劇本範本是 Microsoft Sentinel 的預建、測試和現成自動化工作流程,可自定義以符合您的需求。 從頭開始開發劇本或作為新自動化案例靈感時,範本也可以作為最佳做法的參考。
劇本範本本身不是作用中的劇本,而且您必須針對您的需求建立可編輯的複本。
許多劇本範本都是由 Microsoft Sentinel 社群、獨立軟體供應商 (ISV) 和 Microsoft 自己的專家所開發,以全球安全性作業中心所使用的熱門自動化案例為基礎。
重要
劇本範本目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要建立和管理劇本,您需要使用下列其中一個 Azure 角色存取 Microsoft Sentinel:
- 邏輯應用程式參與者,可編輯和管理邏輯應用程式
- 邏輯應用程式操作員,可讀取、啟用和停用邏輯應用程式
如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件。
建議您先閱讀 適用於 Microsoft Sentinel 的 Azure Logic Apps 劇本,再建立劇本。
存取劇本範本
從下列來源存取劇本範本:
| Location | 描述 |
|---|---|
| Microsoft Sentinel 自動化頁面 | [劇本範本] 索引標籤會列出所有已安裝的劇本。 使用相同的範本建立一或多個使用中的劇本。 當我們發佈新版本的範本時,從該範本建立的任何使用中劇本在 [使用中劇本] 索引標籤中新增了額外的標籤,以指出有可用的更新。 |
| Microsoft Sentinel 內容中樞頁面 | 劇本範本是產品解決方案的一部分,或從內容中樞安裝的獨立內容。 如需詳細資訊,請參閱: 關於 Microsoft Sentinel 內容和解決方案 探索及管理 Microsoft Sentinel 現用內容 |
| GitHub | Microsoft Sentinel GitHub 存放 庫 包含許多其他劇本範本。 選取 [部署至 Azure ] 以將範本部署至您的 Azure 訂用帳戶。 |
從技術上來說,劇本範本是一個 Azure Resource Manager (ARM) 範本,其中包含數個資源:涉及的每個連線的 Azure Logic Apps 工作流程和 API 連線。
本文著重於從自動化下的 [劇本範本] 索引標籤部署劇本範本。
探索劇本範本
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [內容管理>內容中樞] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。
在 [內容中 樞 ] 頁面上,選取 [內容類型 ] 以篩選 劇本。 此篩選的檢視會列出包含一或多個劇本範本的所有解決方案和獨立內容。 安裝解決方案或獨立內容以取得範本。
然後,選取 [設定>自動化>劇本範本] 索引標籤以檢視已安裝的範本。 例如:
若要尋找符合您需求的劇本範本,請依照下列準則篩選清單:
| 篩選 | 描述 |
|---|---|
| 觸發程序 | 依劇本的觸發方式進行篩選,包括事件、警示或實體。 如需詳細資訊,請參閱 支援的 Microsoft Sentinel 觸發程式。 |
| Logic Apps 連接器 | 依劇本互動的外部服務進行篩選。 在部署程式期間,每個連接器都必須假設身分識別向外部服務進行驗證。 |
| 實體 | 依劇本預期在事件中找到的實體類型進行篩選。 例如,告知防火牆封鎖IP位址的劇本,預期會在事件中尋找IP位址。 這類事件可能是由暴力密碼破解攻擊分析規則所建立。 |
| Tags (標籤) | 依套用至劇本的標籤進行篩選、將劇本與特定案例相關,或指出特殊特性。 例如: - 擴充 - 從另一個服務擷取信息的劇本,以將內容新增至事件。 這項資訊通常會新增為事件的批注,或傳送至SOC。 - 補救 - 對受影響的實體採取動作以消除潛在威脅的劇本。 - 同步 處理 - 可協助保留外部服務的劇本,例如事件管理服務,以事件的屬性更新。 - 通知 - 傳送電子郵件或訊息的劇本。 - Teams 的回應 - 可讓分析師使用互動式卡片從 Teams 採取手動動作的劇本。 |
例如:
從範本自定義劇本
此程式描述如何部署劇本範本,並可重複從相同的範本建立多個劇本。
雖然大部分的劇本範本都可以像它們一樣使用,但建議您視需要調整它們,以符合您的SOC需求。
在 [ 劇本範本] 索引標籤上,選取要從開始的劇本。
如果劇本有任何必要條件,請務必遵循指示。 例如:
有些劇本會將其他劇本稱為動作。 第二本 劇本稱為巢狀劇本。 在這種情況下,其中一個必要條件是先部署巢狀劇本。
某些劇本需要部署自定義 Logic Apps 連接器或 Azure 函式。 在這種情況下,有一個 部署至 Azure 連結,會帶您前往一般 ARM 範本部署程式。
選取 [建立劇本] 以根據選取的範本開啟劇本 建立精靈。 精靈有四個索引標籤:
基本概念: 找出新的劇本,這是LogicApps資源,並為其命名。 您可以使用預設值。 例如:
參數: 輸入劇本使用的客戶特定值。 例如,如果劇本傳送電子郵件給SOC,請定義收件者位址。 如果劇本有使用中的自定義連接器,則必須部署在相同的資源群組中,而且系統會提示您在 [參數] 索引標籤中輸入其名稱。
只有當劇本具有參數時,[ 參數 ] 索引標籤才會顯示。 例如:
連線:展開每個動作,以查看您為先前劇本建立的現有連線。 您可以選擇使用現有的連線,或建立新的連線。 例如:
![劇本建立精靈[連線] 索引標籤的螢幕快照。](../media/use-playbook-templates/connections.png)
若要建立新的連線,請選取 [部署后建立新的連線]。 此選項會在部署程式完成之後,帶您前往Logic Apps設計工具。
自訂連接器會依 [參數] 索引標籤中輸入的自定義連接器名稱列出。
對於支援 使用受控識別進行連線的連接器,例如 Microsoft Sentinel,受控識別是預設連線方法。
如需詳細資訊,請參閱 向 Microsoft Sentinel 驗證劇本。
檢閱並建立: 在建立劇本之前,檢視程式的摘要,並等待輸入的驗證。
遵循劇本建立精靈中的步驟到結尾之後,您會在LogicApps設計工具中前往新劇本的工作流程設計。 例如:
針對您選擇的每個連接器,在部署之後建立新的連線:
從導覽功能表中,選取 [API 連線 ],然後選取連線名稱。 例如:
從導覽功能表中選取 [編輯 API 連線 ]。
填入必要的參數,然後選取 [ 儲存]。 例如:
或者,從 Logic Apps 設計工具的相關步驟內建立新的連線:
針對出現錯誤符號的每個步驟,選取它以展開,然後選取 [ 新增]。
根據相關指示進行驗證。 如需詳細資訊,請參閱 向 Microsoft Sentinel 驗證劇本。
如果有其他步驟使用相同的連接器,請展開其方塊。 從出現的連線清單中,選取您剛才建立的連線。
如果您選擇使用 Microsoft Sentinel 的受控識別連線或其他支持的連線,請務必將許可權授與其他連接器的 Microsoft Sentinel 工作區或相關目標資源。
儲存劇本。 劇本會出現在 [ 使用中的劇本] 索引標籤 中。
若要執行劇本,請設定自動化回應或手動執行。 如需詳細資訊,請參閱 使用 Microsoft Sentinel 劇本回應威脅。
回報劇本範本中的問題
若要報告 Bug 或要求改進劇本,請選取劇本詳細資料窗格中的連結支援。 如果這是社群支持的劇本,連結會帶您開啟 GitHub 問題。 否則,系統會將您導向至支援者的頁面,其中包含如何傳送意見反應的相關信息。