即時觸發劇本

  • 12 分鐘

您可以在 Contoso 設定 Microsoft Sentinel 劇本來回應安全性威脅。

探索劇本頁面

您可將 [劇本] 頁面上的威脅回應自動化。 在此頁面上,您可觀察從 Azure Logic Apps 建立的所有劇本。 [Trigger kind] (觸發程序種類) 資料行顯示邏輯應用程式中所使用的連接器類型。

您可使用如下圖所示的標頭列來建立新劇本,或啟用或停用現有劇本。

Screenshot of the header bar.

標頭列提供下列選項:

  • 使用 [Add Playbook] (新增劇本) 選項來建立新的劇本。

  • 使用 [重新整理] 選項來重新整理顯示畫面,例如在建立新的劇本之後。

  • 使用下拉式時間欄位來篩選劇本的執行狀態。

  • 只有當選取一或多個邏輯應用程式時,才可使用 [啟用]、[停用] 和 [刪除] 選項。

  • 如需邏輯應用程式的詳細資訊,請使用 [Logic Apps 文件] 選項來檢閱官方 Microsoft 文件的連結。

Contoso 想要使用自動化動作來防止可疑的使用者存取其網路。 身為公司的安全性系統管理員,您可建立劇本來實作此動作。 若要建立新的劇本,請選取 [Add Playbook] (新增劇本)。 系統會將您導向至一個頁面,其中您可藉由提供下列設定的輸入來建立新邏輯應用程式:

  • 訂用帳戶。 選取包含 Microsoft Sentinel 的訂用帳戶。

  • 資源群組。 您可以使用現有的資源群組或建立一個新的群組。

  • 邏輯應用程式名稱。 提供邏輯應用程式的描述性名稱。

  • 位置。​​ 選取與 Log Analytics 工作區所在位置相同的位置。

  • Log Analytics。 如果您啟用 Log Analytics,您可以取得劇本執行階段事件的資訊。

提供這些輸入之後,請選取 [檢閱 + 建立] 選項,然後選取 [建立]

Logic Apps Designer

Microsoft Sentinel 建立邏輯應用程式後,系統會將您導向 [邏輯應用程式設計工具] 頁面。

邏輯應用程式設計工具提供一個設計畫布,供您用來將觸發程序和動作新增至工作流程。 例如,您可以設定建立新安全性事件時的觸發程序來自 Microsoft Sentinel 連接器。 邏輯應用程式設計工具頁面提供許多可供使用的預先定義範本。 不過,若要建立劇本,您應該從 [空白邏輯應用程式] 範本開始,以從頭設計邏輯應用程式。

劇本中的自動化活動是由 Microsoft Sentinel 觸發程序所起始。 您可以在設計畫布的搜尋方塊中搜尋 Microsoft Sentinel 觸發程序,然後選擇下列兩個可用觸發程序的其中一個:

  • 觸發對 Microsoft Sentinel 警示的回應時

  • 觸發 Microsoft Sentinel 事件建立規則時

第一次開啟 Microsoft Sentinel 連接器時,系統會提示您使用 Microsoft Entra ID 的使用者帳戶或使用服務主體來 登入 租使用者。 這會建立與 Microsoft Entra ID 的 API 連線。 API 連線會儲存存取 API 進行連線所需的變數和權杖,例如 Microsoft Entra ID、Office 365 或類似的連線。

Screenshot of sign-in to the Microsoft Entra tenant.

每個劇本都會以觸發程序為開頭,後面接著定義安全性事件自動化回應的動作。 您可以結合來自 Microsoft Sentinel 連接器的動作與來自其他 Logic Apps 連接器的其他動作。

例如,您可以新增觸發事件時來自 Microsoft Sentinel 連接器的觸發程序,後面接著一個識別 Microsoft Sentinel 警示中實體的動作,再接著另一個將電子郵件傳送至 Office 365 電子郵件帳戶的動作。 Microsoft Sentinel 會將每個動作建立為新的步驟,並定義您要在邏輯應用程式中新增的活動。

下列螢幕擷取畫面顯示 Microsoft Sentinel 連接器所觸發的事件,其會偵測可疑的帳戶並傳送電子郵件給系統管理員。

Screenshot of the logic app with actions.

工作流程設計中的每個步驟都有不同欄位,您必須加以填入。 例如,[實體 - 取得帳戶] 動作會要求提供 Microsoft Sentinel 警示中的實體清單。 使用 Azure Logic Apps 的優點是,您可從 [動態內容] 清單提供此輸入,這會填入上一個步驟的輸出。 例如,Microsoft Sentinel 連接器觸發程序 [觸發對 Microsoft Sentinel 警示的回應時] 會提供可用於填入輸入的動態內容 (例如實體、警示顯示名稱)。

Screenshot that displays dynamic content.

您也可以新增控制動作群組,讓邏輯應用程式做出決定。 控制動作群組可包含邏輯條件、切換案例條件或迴圈。

條件動作是一個 if 陳述式,讓應用程式能夠根據所正在處理的資料來執行不同動作。 它包含一個布林運算式和兩個動作。 在執行階段,執行引擎會評估運算式,並根據運算式為 true 或 false 來選擇動作。

例如,Contoso 收到大量的警示,其中許多警示具有無法進行處理或調查的重複模式。 使用即時自動化,Contoso SecOps 小組就能將重複警示類型的慣例回應完全自動化,因而大幅降低其工作負載。

下列螢幕擷取畫面顯示類似的情況,其中劇本可根據使用者輸入變更警示的狀態。 控制動作會攔截使用者輸入,如果運算式評估為 true 陳述式,劇本就會變更警示的狀態。 如果控制動作將運算式評估為 false,則劇本可執行其他活動,例如傳送電子郵件 (如下列螢幕擷取畫面所示)。

Screenshot that displays the logic app condition.

在 Logic Apps 設計工具中提供所有步驟之後,請儲存邏輯應用程式,以在 Microsoft Sentinel 中建立劇本。

Microsoft Sentinel 中的 Logic Apps 頁面

您建立的劇本會出現在 [劇本] 頁面上,可進一步進行編輯。 從 [劇本] 頁面,您可以選取現有的劇本,這會在 Microsoft Sentinel 中開啟該劇本的 Logic Apps 頁面。

您可從 Logic Apps 標頭列對劇本執行數個動作:

  • 執行觸發程序。 用來執行邏輯應用程式,以測試劇本。

  • 重新整理。 用來重新整理邏輯應用程式的狀態,以擷取活動的狀態。

  • 編輯。 用來在 [Logic Apps 設計工具] 頁面中進一步編輯劇本。

  • 刪除。 用來刪除不需要的邏輯應用程式。

  • [停用]。 用來暫時停用邏輯應用程式,以防止執行動作,即使已啟動觸發程序也一樣。

  • 更新結構描述。 在發生重大邏輯變更之後,用來更新邏輯應用程式的結構描述。

  • 複製。 用來建立現有邏輯應用程式的複本,然後以此為依據進一步修改。

  • 匯出。 用來將邏輯應用程式匯出至 Microsoft Power Automate 和 Microsoft Power Apps。

[基本資訊] 區段顯示邏輯應用程式的描述性資訊。 例如,邏輯應用程式定義會顯示邏輯應用程式所提供的觸發程序和動作數目。

您可使用 [摘要] 區段來檢閱邏輯應用程式的摘要資訊。 從此區段,您可選取邏輯應用程式連結,在 Logic Apps 設計工具中將其開啟,或檢閱觸發歷程記錄。

[執行歷程記錄] 區段顯示先前的邏輯應用程式執行,以及其成功或失敗。

將 Microsoft Sentinel 中事件的回應自動化

在最後一個步驟中,您需要將此劇本附加至分析規則,以將事件的回應自動化。 您可使用分析規則中的 [自動化回應] 區段,以選取要在產生警示時自動執行的劇本。 如需如何建立分析規則的詳細資訊,請參閱<使用 Microsoft Sentinel 分析進行威脅偵測>課程模組。

檢定您的知識

1.

什麼是邏輯應用程式中的動態內容?

2.

系統管理員建立新的劇本,以在每次將全域管理員角色委派給使用者時收到通知。 系統管理員應該在邏輯應用程式中選取哪一種連接器?