教學課程:在 Microsoft Sentinel 中使用劇本搭配自動化規則來響應威脅
本教學課程說明如何使用劇本與自動化規則,將事件回應自動化,並補救 Microsoft Sentinel 偵測到的安全性威脅。 完成本教學課程時,您將能夠:
- 建立自動化規則
- 建立劇本
- 將動作新增至劇本
- 將劇本附加至自動化規則或分析規則,以自動化威脅回應
注意
本教學課程提供頂級客戶工作的基本指引:建立自動化來分級事件。 如需詳細資訊,請參閱我們的操作說明一節,例如使用 Microsoft Sentinel 中的劇本自動化威脅回應,以及在 Microsoft Sentinel 劇本中使用觸發程式和動作。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
什麼是自動化規則和劇本?
自動化規則 可協助您在 Microsoft Sentinel 中分類事件。 您可以使用它們自動將事件指派給正確的人員、關閉嘈雜事件或已知的 誤判、變更其嚴重性,以及新增標籤。 它們也是您可以執行劇本以回應事件或警示的機制。
劇本是可從 Microsoft Sentinel 執行以響應 整個事件、 個別警示或 特定實體的程式集合。 劇本可協助自動化及協調您的回應,並可藉由附加至自動化規則,設定為在產生特定警示或建立或更新事件時自動執行。 您也可以針對特定事件、警示或實體手動執行。
Microsoft Sentinel 中的劇本是以 Azure Logic Apps 內 建的工作流程為基礎,這表示您可以取得 Logic Apps 的所有功能、可自定義性和內建範本。 每個劇本都會針對所屬的特定訂用帳戶建立,但 劇本顯示會顯示所有可跨任何所選訂用帳戶的劇本 。
注意
由於劇本會使用 Azure Logic Apps,因此可能會收取額外費用。 如需詳細資訊, 請流覽 Azure Logic Apps 定價頁面。
例如,如果您想要停止可能遭入侵的使用者移動網路並竊取資訊,您可以建立由偵測遭入侵用戶的規則所產生的事件自動化、多面回應。 您一開始會建立採取下列動作的劇本:
當劇本由自動化規則呼叫並傳遞事件時,劇本會在 ServiceNow 或任何其他 IT 票證系統中開啟票證。
它也會將事件中的所有資訊傳送到您的資深網路管理員和安全性系統管理員的電子郵件訊息中。電子郵件訊息會包含 [封鎖 ] 和 [忽略 使用者] 選項按鈕。
劇本會等候系統管理員收到回應,然後繼續進行其後續步驟。
如果系統管理員選擇 [封鎖],則會將命令傳送至 Microsoft Entra ID 以停用使用者,另一個傳送至防火牆以封鎖 IP 位址。
如果系統管理員選擇 [忽略],劇本會關閉 Microsoft Sentinel 中的事件,以及 ServiceNow 中的票證。
為了觸發劇本,您接著會建立自動化規則,以在產生這些事件時執行。 該規則會採取下列步驟:
此規則會將事件狀態變更為 [作用中]。
它會將事件指派給負責管理這類事件的分析師。
它會新增「遭入侵的使用者」標記。
最後,它會呼叫您剛才建立的劇本。 (此步驟需要特殊許可權。
劇本可以藉由建立自動化規則來呼叫劇本作為動作,如上述範例所示,自動執行劇本以回應事件。 它們也可以自動執行以回應警示,方法是告訴分析規則在產生警示時自動執行一或多個劇本。
您也可以選擇視需要手動執行劇本,以響應選取的警示。
使用 Microsoft Sentinel 中的自動化規則和劇本,取得自動化威脅回應的更完整且詳細的簡介。
建立劇本
請遵循下列步驟,在 Microsoft Sentinel 中建立新的劇本:
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態>自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>設定>自動化]。
從頂端功能表中,選取 [ 建立]。
[建立] 底下的下拉功能表提供您四個建立劇本的選項:
如果您要建立標準劇本 (新類型 - 請參閱邏輯應用程式類型),請選取 [空白劇本],然後遵循下列 Logic Apps 標準索引卷標的步驟。
如果您要建立取用劇本(原始的、傳統類型),則根據您想要使用的觸發程式,選取具有事件觸發程式的劇本、具有警示觸發程式的劇本,或具有實體觸發程序的劇本。 然後,繼續遵循下列 Logic Apps 取用索引標籤中的步驟。
如需要使用哪個觸發程式的詳細資訊,請參閱 在 Microsoft Sentinel 劇本中使用觸發程式和動作。
準備劇本和邏輯應用程式
無論您選擇在上一個步驟中使用哪一個觸發程式來建立劇本,都會顯示 [ 建立劇本 精靈]。
在 [基本] 索引標籤中:
從其各自的下拉式清單中,選取您選擇的 [ 訂用帳戶]、 [資源群組] 和 [區域 ]。 選擇的區域是您邏輯應用程式資訊儲存的位置。
在劇本名稱下 輸入劇本的名稱。
如果您想要監視此劇本的活動以用於診斷目的,請標示 [ 在Log Analytics 中啟用診斷記錄] 複選框,然後從下拉式清單中選擇Log Analytics工作區 。
如果您的劇本需要存取內部或連線至 Azure 虛擬網路的受保護資源,您可能需要使用整合服務環境 (ISE)。 如果是,請標示 [ 與整合服務環境 建立關聯] 複選框,然後從下拉式清單中選取所需的 ISE。
選取 [下一步]:連線。>
在 [連線 ions] 索引標籤中:
在理想情況下,您應該保留本節,設定 Logic Apps 以使用受控識別連線到 Microsoft Sentinel。 瞭解此專案和其他驗證替代方案。
選取 [下一步:檢閱並建立 >]。
在 [ 檢閱和建立] 索引標籤 中:
檢閱您所做的設定選擇,然後選取 [ 建立並繼續設計工具]。
您的劇本需要幾分鐘的時間才能建立和部署,之後您會看到「部署已完成」訊息,而您將前往新劇本的 邏輯應用程式設計工具。 您在開頭選擇的觸發程式會自動新增為第一個步驟,您可以繼續從該處設計工作流程。
如果您選擇 Microsoft Sentinel 實體 (預覽) 觸發程式,請選取您希望此劇本接收作為輸入的實體類型。
新增動作
現在,您可以定義呼叫劇本時會發生什麼事。 您可以選取 [新增步驟] 來新增動作、邏輯條件、迴圈或切換案例條件。 此選取專案會在設計工具中開啟新的框架,您可以在其中選擇要與系統或應用程式互動或設定條件。 在框架頂端的搜尋列中輸入系統或應用程式的名稱,然後選擇可用的結果。
在這些步驟的每一個步驟中,單擊任何欄位會顯示具有兩個功能表的面板: 動態內容 和 表達式。 從 [ 動態內容 ] 功能表中,您可以新增警示或事件屬性的參考,這些屬性已傳遞至劇本,包括警示或事件中包含的所有 對應實體 的值和屬性,以及 自定義詳細數據 。 從 [ 表達式 ] 功能表中,您可以選擇大型函式連結庫,將其他邏輯新增至步驟。
此螢幕快照顯示您要新增的動作和條件,以建立本文件開頭範例中所述的劇本。 深入瞭解如何將 動作新增至劇本。
如需您可以針對不同用途新增至劇本的動作詳細資訊,請參閱 在 Microsoft Sentinel 劇本 中使用觸發程式和動作。
特別是,請注意,根據非事件內容中的實體觸發程式,有關劇本的重要資訊。
自動化威脅回應
您已建立劇本並定義觸發程式、設定條件,並指定將採取的動作,以及其產生的輸出。 現在,您必須判斷其執行依據的準則,並設定符合這些準則時執行它的自動化機制。
回應事件和警示
若要使用劇本自動 響應整個事件 或 個別警示,請建立 自動化規則 ,以在建立或更新事件時或產生警示時執行。 此自動化規則會包含呼叫您要使用的劇本的步驟。
若要建立自動化規則:
從 Microsoft Sentinel 導覽功能表中的 [自動化] 頁面,選取頂端功能表中的 [建立],然後選取 [自動化規則]。
[ 建立新的自動化規則 ] 面板隨即開啟。 輸入規則的名稱。
您的選項會因工作區是否已上線至統一安全性作業平臺而有所不同。 例如:
觸發程式:根據您要建立自動化規則的情況選取適當的觸發程式:建立事件時、更新事件時,或建立警示的時間。
條件:
如果您的工作區尚未上線至統一安全性作業平臺,事件可能會有兩個可能的來源:
- 您可以在 Microsoft Sentinel 內建立事件
- 事件可以從 Microsoft Defender 全面偵測回應 匯入和同步處理。
如果您選取其中一個事件觸發程式,而且您希望自動化規則只對 Microsoft Sentinel 中來源的事件生效,或是在 Microsoft Defender 全面偵測回應 中指定來源,請在 If Incident 提供者等於條件中指定來源。
只有在選取事件觸發程式,且您的工作區未上線至統一安全性作業平臺時,才會顯示此條件。
針對所有觸發程式類型,如果您希望自動化規則只對特定分析規則生效,請修改 If Analytics 規則名稱包含 條件來指定哪一個。
新增您想要判斷此自動化規則是否會執行的任何其他條件。 從下拉式清單中選取 [+ 新增 ],然後選擇 條件或條件群組 。 條件清單會填入警示詳細數據和實體標識符欄位。
動作:
由於您使用此自動化規則來執行劇本,因此 請從下拉式清單中選擇 [執行劇本 ] 動作。 接著,系統會提示您從顯示可用劇本的第二個下拉式清單中選擇 。 自動化規則只能執行以與規則中所定義之觸發程式相同的觸發程式(事件或警示)開頭的劇本,因此只有這些劇本會出現在清單中。
重要
Microsoft Sentinel 必須獲得明確的許可權,才能手動或從自動化規則執行劇本。 如果劇本出現在下拉式清單中「灰色」,表示 Sentinel 沒有該劇本資源群組的許可權。 按一下 [管理劇本權限] 連結以指派權限。
在開啟的 [ 管理許可權 ] 面板中,標記包含您要執行劇本之資源群組的複選框,然後按兩下 [ 套用]。
您自己必須擁有 您想要授與 Microsoft Sentinel 許可權之任何資源群組的擁有者 許可權,而且您必須在包含您要執行劇本的任何資源群組上擁有 邏輯應用程式參與者 角色。
在多租使用者部署中,如果您想要執行的劇本位於不同的租使用者中,您必須授與 Microsoft Sentinel 許可權,才能在劇本的租用戶中執行劇本。
- 從劇本租使用者的 Microsoft Sentinel 導覽功能表中,選取 [設定]。
- 在 [設定] 刀鋒視窗中,選取 [設定] 索引卷標,然後選取 [劇本許可權] 展開器。
- 按兩下 [設定 許可權] 按鈕,以開啟上述的 [管理許可權 ] 面板,然後繼續,如該處所述。
如果在 MSSP 案例中,您想要從登入服務提供者租使用者時建立的自動化規則,在客戶租用戶中執行劇本,您必須授與 Microsoft Sentinel 許可權,才能在這兩個租用戶中執行劇本。 在 客戶 租使用者中,遵循上述項目符號點中多租使用者部署的指示。 在服務提供者租使用者中,您必須在 Azure Lighthouse 上線範本中新增 Azure Security Insights 應用程式:
- 從 Azure 入口網站移至 Microsoft Entra ID。
- 按兩下 [ 企業應用程式]。
- 選取 [應用程式類型 ] 並篩選 [Microsoft 應用程式]。
- 在搜尋方塊中,輸入 Azure Security Insights。
- 複製 [ 物件識別碼 ] 欄位。 您必須將此額外的授權新增至現有的 Azure Lighthouse 委派。
Microsoft Sentinel 自動化參與者角色具有固定 GUID,也就是
f4c81013-99ee-4d62-a7ee-b3f1f648599a。 Azure Lighthouse 授權範例會在您的參數範本中看起來像這樣:{ "principalId": "<Enter the Azure Security Insights app Object ID>", "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a", "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" }
新增您想要用於此規則的任何其他動作。 您可以選取任何動作右邊的向上或向下箭號來變更動作的執行順序。
如果您想要擁有到期日,請設定自動化規則的到期日。
在 [順序] 底下輸入數位,以判斷此規則將執行之自動化規則中的位置。
選取套用。 大功告成!
回應警示 - 舊版方法
自動執行劇本以回應警示的另一種方式是從分析規則呼叫它們。 當規則產生警示時,劇本就會執行。
此方法將於 2026 年 3 月淘汰。
從 2023 年 6 月開始,您無法再以這種方式將劇本新增至分析規則。 不過,您仍然可以看到從分析規則呼叫的現有劇本,而且這些劇本仍會執行到 2026 年 3 月為止。 強烈建議 您先建立自動化規則來呼叫這些劇本,然後再 呼叫這些劇本。
視需要執行劇本
您也可以視需要手動執行劇本,無論是回應警示、事件(預覽版),還是實體(也在預覽版中)。 在您想要讓更多人為輸入並控制協調流程和響應程序的情況下,這非常有用。
在警示上手動執行劇本
統一安全性作業平臺不支援此程式。
在 Azure 入口網站 中,視您的環境需要選取下列其中一個索引標籤:
在 [ 事件] 頁面中,選取事件。
在 Azure 入口網站 中,選取 [檢視事件詳細數據] 窗格底部的完整詳細數據,以開啟 [事件詳細數據] 頁面。
在 [事件詳細數據] 頁面的 [事件時間軸 ] 小工具中,選擇您要執行劇本的警示。 選取警示行尾端的三個點,然後從快捷功能表選擇 [ 執行劇本 ]。
[ 警示劇本] 窗格隨即開啟。 您會看到所有以您有權存取的 Microsoft Sentinel 警示 Logic Apps 觸發程式設定的劇本清單。
選取特定劇本行上的 [ 執行 ],以立即執行。
您可以選取 [警示劇本] 窗格上的 [執行] 索引卷標,以查看警示上劇本的執行歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定回合將會在Logic Apps 中開啟完整執行記錄檔。
在事件上手動執行劇本 (預覽)
此程式會因您在 Microsoft Sentinel 或統一安全性作業平臺中工作而有所不同。 為您的環境選取相關的索引標籤:
在 [ 事件] 頁面中,選取事件。
從右側出現的 [事件詳細數據] 窗格中,選取 [動作>執行劇本] [預覽]。
(在方格上選取事件行結尾的三個點,或以滑鼠右鍵按兩下事件時,會顯示與 相同的清單動作 按鈕。)事件面板上的 [執行劇本] 會在右側開啟。 您會看到所有以您有權存取的 Microsoft Sentinel 事件 Logic Apps 觸發程式設定的劇本清單。
如果您沒有看到您想要在清單中執行的劇本,這表示 Microsoft Sentinel 沒有在該資源群組中執行劇本的許可權(請參閱上述附注)。
若要授與這些許可權,請選取 [設定> 設定> Playbook 許可權設定許可權。> 在開啟的 [ 管理許可權 ] 面板中,標記包含您要執行劇本之資源群組的複選框,然後選取 [ 套用]。
選取特定劇本行上的 [ 執行 ],以立即執行。
您必須在包含您要執行劇本的任何資源群組上擁有 Microsoft Sentinel 劇本操作員 角色。 如果您因為許可權遺失而無法執行劇本,建議您連絡系統管理員,以授與您相關的許可權。 如需詳細資訊,請參閱 使用劇本所需的許可權。
選取事件面板上執行劇本的 [執行] 索引標籤,以檢視事件的劇本執行歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定回合將會在Logic Apps 中開啟完整執行記錄檔。
在實體上手動執行劇本 (預覽)
統一安全性作業平臺不支援此程式。
根據您的原始內容,以下列其中一種方式選取實體:
如果您位於事件的詳細資料頁面(新版本):
- 在 [概觀] 索引標籤的 [實體] 小工具中,從清單中尋找實體(不要選取它)。
- 選取實體右邊的三個點。
- 從彈出視窗中選取 [ 執行劇本][預覽], 然後繼續進行下面的步驟 2。
如果您選取實體並輸入 事件詳細數據頁面的 [實體 ] 索引標籤,請繼續進行下方的下一行。 - 從清單中尋找實體(不要選取它)。
- 選取實體右邊的三個點。
- 從彈出視窗中選取 [ 執行劇本][預覽 ]。
如果您選取實體並輸入其實體頁面,請選取左側面板中的 [執行劇本(預覽)] 按鈕。
如果您位於事件的詳細數據頁面(舊版):
- 選取事件的 [ 實體] 索引 標籤。
- 從清單中尋找實體(不要選取它)。
- 選取清單中行尾的 [ 執行劇本 (預覽] 連結。
如果您選取實體並輸入其實體頁面,請選取左側面板中的 [執行劇本(預覽)] 按鈕。
如果您是在調查圖表中:
- 選取圖形中的實體。
- 選取實體端面板中的 [ 執行劇本 (預覽)] 按鈕。
對於某些實體類型,您可能必須選取 [實體動作] 按鈕,然後從產生的功能表中選取 [執行劇本](預覽)。
如果您主動搜捕威脅:
- 從 [ 實體行為 ] 畫面中,從頁面上的清單選取實體,或搜尋並選取另一個實體。
- 在 實體頁面中,選取左側面板中的 [ 執行劇本 (預覽] 按鈕。
不論您來自的內容為何,上述指示都會在實體類型>面板上<開啟 [執行劇本]。 您會看到所有可存取的劇本清單,這些劇本已針對選取的實體類型使用 Microsoft Sentinel Entity Logic Apps 觸發程式設定。
選取特定劇本行上的 [ 執行 ],以立即執行。
您可以選取實體類型>面板上 [執行劇本] 索引標籤,以查看指定實體上劇本的執行<歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定回合將會在Logic Apps 中開啟完整執行記錄檔。
下一步
在本教學課程中,您已瞭解如何在 Microsoft Sentinel 中使用劇本和自動化規則來回應威脅。
- 深入瞭解 向 Microsoft Sentinel 驗證劇本
- 深入瞭解如何在 Microsoft Sentinel 劇本中使用觸發程式和動作
- 瞭解如何 使用 Microsoft Sentinel 主動搜捕威脅 。