你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从内容模板创建和自定义 Microsoft Sentinel playbook
Playbook 模板是预生成的、已经过测试且随时可用的工作流,可以根据自己的需求对其进行自定义。 在从头开发 playbook 时,还可以将这些模板作为最佳做法参考;或者,可以通过模板获得灵感以实现新的自动化方案。
playbook 模板本身并不是活动的 playbook,直到从它们创建了 playbook(模板的可编辑副本)。
许多 playbook 模板是由 Microsoft Sentinel 社区、独立软件供应商 (ISV) 和 Microsoft 专家根据世界各地安全运营中心使用的热门自动化方案开发的。
从以下来源获取 playbook 模板:
在“自动化”页的“Playbook 模板”选项卡中列出已安装的 playbook 模板。 可以从同一个模板创建多个活动 playbook。
发布新版本的模板时,根据该模板创建的活动 playbook 会在“活动 playbook”选项卡中显示更新可用。
Playbook 模板作为从 Microsoft Sentinel 的内容中心安装的产品解决方案或独立内容的一部分提供。 有关更多信息,请参阅 Microsoft Sentinel 内容和解决方案以及发现和管理 Microsoft Sentinel 的现成内容。
Microsoft Sentinel GitHub 存储库包含许多 playbook 模板。 可以选择“部署到 Azure”按钮将这些模板部署到 Azure 订阅。
从技术上讲,playbook 模板是一个 Azure 资源管理器 (ARM) 模板,它由多个资源组成:Azure 逻辑应用工作流,以及每个相关连接的 API 连接。
本文重点介绍如何从“自动化”下的“Playbook 模板”选项卡部署 playbook 模板 。
本文将帮助你了解如何执行以下操作:
- 浏览现成的 playbook 模板
- 部署 playbook 模板
重要
playbook 模板目前以预览版提供 。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
浏览 playbook 模板
对于 Azure 门户中的 Microsoft Sentinel,选择“内容管理”>“内容中心”页面。 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。
在“内容中心”页面上,选择“内容类型”来筛选 Playbook。 此筛选视图列出了所有解决方案和包含一个或多个 playbook 模板的独立内容。 安装解决方案或独立内容以获取模板。
然后,选择“配置”>“自动化”>Playbook 模板”选项卡来查看已安装的模板。
若要查找符合你要求的 playbook 模板,可按以下条件筛选列表:
触发器指示 playbook 是由事件创建、事件更新还是由警报创建触发。 了解详细信息
逻辑应用连接器显示了此 playbook 与之交互的外部服务。 在部署过程中,每个连接器都需要采用一个标识来向外部服务进行身份验证。
“实体”显示某个 playbook 显式筛选和分析的实体类型,该 playbook 预期会在事件中找到这些实体类型。 例如,告知防火墙阻止 IP 地址的 playbook 预计会针对分析规则创建的事件进行操作,这些分析规则生成包含 IP 地址的警报,例如暴力攻击检测规则。
“标记”显示应用于 playbook,以将其与特定方案相关联或指示特殊特征的标签。
示例:
扩充 - playbook 从另一个服务中获取信息,以便将信息添加到事件中。 此信息通常作为注释添加到事件或发送到 SOC。
修正 - playbook 对受影响的实体采取措施,以消除潜在威胁。
同步 - playbook 帮助通过事件的属性来使外部服务(例如事件管理服务)保持更新状态。
通知 - playbook 发送电子邮件或消息。
Teams 响应 - playbook 允许分析师使用交互式卡从 Teams 采取手动措施。
从模板自定义 playbook
此过程说明如何部署 playbook 模板。
可以重复此过程以在同一模板上创建多个 playbook。
从“Playbook 模板”选项卡中选择一个 playbook 名称。
如果该 playbook 有任何先决条件,请确保按照说明进行操作。
某些 playbook 将其他 playbook 称为操作。 这第二个 playbook 称为嵌套 playbook。 在这种情况下,先决条件之一是首先部署嵌套 playbook。
某些 playbook 要求部署自定义逻辑应用连接器或 Azure 函数。 在这种情况下,会有部署到 Azure 链接,可转到常规 ARM 模板部署过程。
选择“创建 playbook”,以基于所选模板打开 playbook 创建向导。 该向导有四个选项卡:
基础信息:找到你的新 playbook(逻辑应用资源)并为其命名(可使用默认值)。
参数:输入 playbook 使用的特定于客户的值。 例如,如果此 playbook 向 SOC 发送了电子邮件,则可以在这里定义收件人地址。 只有当 playbook 中有参数时,才会显示此选项卡。
注意
如果此 playbook 具有一个已在使用的自定义连接器,则该连接器应已部署在同一资源组中,这样,你就可以在此选项卡中插入其名称。
连接:展开每个操作以查看你为前面的 playbook 创建的现有连接。 详细了解如何为 playbook 创建连接。
注意
对于自定义连接器,将按照在“参数”选项卡中输入的自定义连接器名称显示连接。
如果没有任何连接,或者你要创建新连接,请选择“部署后创建新连接”。 部署过程完成后,此选项将转到逻辑应用设计器。
对于支持使用托管标识进行连接的连接器,如 Microsoft Sentinel,这是默认选择的连接方法。
查看并创建:在创建 playbook 之前查看过程摘要,并等待系统验证你的输入。
按照 playbook 创建向导中的步骤完成后,将在逻辑应用设计器中转到新 playbook 的工作流设计。
对于你选择要在部署后为其创建新连接的每个连接器,请执行以下操作:
从导航菜单中,选择“API 连接”。
选择连接名称。
从导航菜单中选择“编辑 API 连接”。
填写必需的参数,然后选择“保存”。
或者,可以通过逻辑应用设计器中的相关步骤创建新连接:
对于出现了错误符号的每个步骤,请选择该步骤以将其展开。
选择“添加新订阅”。
按照相关说明进行身份验证。
如果还有其他步骤使用此连接器,请展开这些步骤对应的框。 从显示的连接列表中,选择刚刚创建的连接。
如果已选择对 Microsoft Sentinel(或其他受支持的连接)使用托管标识连接,请授权新的 playbook 访问 Microsoft Sentinel 工作区(或其他连接器的相关目标资源)。
保存 playbook。 现在你可以在“活动 Playbook”选项卡中看到该 playbook。
大多数模板都可按原样使用,但我们建议进行任何必要的调整,使新 playbook 符合你的 SOC 需求。
疑难解答
问题:在 playbook 中发现了 bug
若要报告 bug 或请求改进某个 playbook,请在该 playbook 的详细信息窗格中选择“支持者”链接。 如果此 playbook 的支持工作由社区负责,则链接会转到可以提出 GitHub 问题的页面。 否则将会转到支持者的页面。
后续步骤
在本文中,你已了解如何使用 playbook 模板,根据自己的需求创建和自定义 playbook。 详细了解 Microsoft Sentinel 中的 playbook 和自动化: