視需要執行劇本
在執行劇本前,可能需要先進一步調查 Contoso 的某些事件。 Microsoft Sentinel 可讓您視需要執行劇本,以利深入調查。
視需要執行劇本
您可設定劇本以根據事件詳細資料視需要執行、在調查過程中觸發特定步驟,或進行一些補救動作。
請考慮防止可疑使用者存取公司資源的案例。 身為 Contoso 的安全性系統管理員,您發現一個誤判為真事件。 Contoso 中某些使用者在連線到辦公室電腦的同時,透過遠端電腦的虛擬私人網路連線來存取資源。 Microsoft 雲端安全性收到訊號,並根據從非典型周遊位置偵測到潛在威脅的弱點,將使用者標記為中等風險。
您可使用劇本,其可自動在 Microsoft Entra ID 中關閉此具風險的使用者屬性。
GitHub 上的 Microsoft Sentinel 存放庫
GitHub 上的 Microsoft Sentinel 存放庫包含立即可用的劇本,可協助您將事件的回應自動化。 這些劇本是由使用邏輯應用程式 Microsoft Sentinel 觸發程序的 Azure Resource Manager (ARM 範本) 所定義。
針對稍早所述的案例,您可使用位於 GitHub 上 Microsoft Sentinel 存放庫中的 Dismiss-AADRiskyUser 劇本,並直接在您的 Azure 訂用帳戶中進行部署。
針對 GitHub 中的每個部署,您必須先在劇本中授權每個連線,才能在 Logic Apps 設計工具中進行編輯。 授權會建立與適當連接器的 API 連線,並儲存權杖和變數。 您可在建立邏輯應用程式的資源群組中尋找 API 連線。
每個 API 連線的名稱前面都會附加 azuresentinel。 您也可以在編輯邏輯應用程式時,在 Logic Apps 設計工具中編輯連線。
將劇本附加至現有的事件
當劇本準備就緒之後,您可在 Microsoft Sentinel 中開啟 [事件] 頁面,然後選取現有的事件。 在 [詳細資料] 窗格中,您可選取 [檢視完整詳細資料] 來探索事件的屬性。 從 [警示] 面板,您可選取 [檢視劇本] 並執行其中一個現有的劇本。
下列螢幕擷取畫面描述您可附加 Dismiss-AADRiskyUser 劇本的可疑使用者活動範例。
調查事件之後,您可選擇手動執行劇本來回應安全性威脅。