Použití triggerů a akcí v playbookech Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento dokument vysvětluje typy triggerů a akcí v konektoru Logic Apps Microsoft Sentinel, které playbooky můžou použít k interakci s Microsoft Sentinelem a informacemi v tabulkách pracovního prostoru. Dále ukazuje, jak se dostat ke konkrétním typům informací microsoft Sentinelu, které budete pravděpodobně potřebovat.

Tento dokument spolu s naším průvodcem ověřováním playbooků v Microsoft Sentinelu je doprovodným programem k naší další dokumentaci k playbookům – kurz: Použití playbooků s pravidly automatizace v Microsoft Sentinelu. Tyto tři dokumenty se budou vzájemně odkazovat.

Úvod do playbooků najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.

Kompletní specifikaci konektoru Microsoft Sentinel najdete v dokumentaci ke konektoru Logic Apps.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadována oprávnění

Role \ Připojení orové komponenty Aktivační události Akce Získat Aktualizace incidentu
přidání komentáře
Čtenář Microsoft Sentinelu
Přispěvatel respondéru/Microsoft Sentinelu

Přečtěte si další informace o oprávněních v Microsoft Sentinelu.

Souhrn triggerů Služby Microsoft Sentinel

I když se konektor Microsoft Sentinelu dá používat různými způsoby, komponenty konektoru se dají rozdělit do tří toků, přičemž každý z nich se aktivuje jiným výskytem Microsoft Sentinelu:

Trigger (úplný název v Návrháři pro Logic Apps) Kdy ji použít Známá omezení
Incident Microsoft Sentinelu (Preview) Doporučuje se pro většinu scénářů automatizace incidentů.

Playbook přijímá objekty incidentů, včetně entit a výstrah. Použití tohoto triggeru umožňuje, aby se playbook připojil k pravidlu automatizace, takže ho můžete aktivovat při vytvoření incidentu (a teď také aktualizace) v Microsoft Sentinelu a všechny výhody pravidel automatizace se dají na incident použít.		 Playbooky s tímto triggerem nepodporují seskupení výstrah, což znamená, že obdrží pouze první výstrahu poslanou s každým incidentem.

AKTUALIZACE: Od února 2023 se u tohoto triggeru podporuje seskupování výstrah.
Upozornění služby Microsoft Sentinel (Preview) Vhodné pro playbooky, které je potřeba spouštět na výstrahách ručně z portálu Microsoft Sentinel, nebo pro plánovaná analytická pravidla, která negenerují incidenty pro upozornění. Tento trigger nelze použít k automatizaci odpovědí na výstrahy vygenerované pravidly analýzy zabezpečení Microsoftu.

Playbooky používající tento trigger nelze volat pravidly automatizace.
Entita Microsoft Sentinelu (Preview) Aby se používaly pro playbooky, které je potřeba spouštět ručně u konkrétních entit z kontextu proaktivního vyhledávání hrozeb nebo šetření hrozeb. Playbooky používající tento trigger nelze volat pravidly automatizace.

Schémata používaná těmito toky nejsou stejná. Doporučeným postupem je použít tok triggeru incidentu Služby Microsoft Sentinel, který se vztahuje na většinu scénářů.

Dynamická pole incidentu

Objekt incidentu přijatý z incidentu Microsoft Sentinelu obsahuje následující dynamická pole:

  • Vlastnosti incidentu (zobrazené jako "Incident: název pole")

  • Výstrahy (pole)

    • Vlastnosti výstrahy (zobrazené jako "Výstraha: název pole")

      Při výběru vlastnosti výstrahy, jako je výstraha: <název> vlastnosti, se automaticky vygeneruje smyčka pro každou smyčku, protože incident může obsahovat více výstrah.

  • Entity (pole všech entit výstrahy)

  • Pole s informacemi o pracovním prostoru (platí pro pracovní prostor služby Sentinel, ve kterém byl incident vytvořen)

    • Subscription ID
    • Název pracovního prostoru
    • ID pracovního prostoru
    • Název skupiny prostředků

Souhrn akcí Microsoft Sentinelu

Komponenta Kdy ji použít
Upozornění – Získání incidentu V playbookech, které začínají triggerem upozornění. Užitečné pro získání vlastností incidentu nebo načtení ID ARM incidentu pro použití s incidentem aktualizace nebo přidání komentáře k akcím incidentu.
Získání incidentu Při aktivaci playbooku z externího zdroje nebo s triggerem, který není sentinelový. Identifikujte ID ARM incidentu. Načte vlastnosti a komentáře incidentu.
Aktualizace incidentu Pokud chcete změnit stav incidentu (například při zavření incidentu), přiřaďte vlastníka, přidejte nebo odeberte značku nebo změňte její závažnost, název nebo popis.
Přidání komentářů k incidentu Rozšíření incidentu informacemi shromážděnými z externích zdrojů; auditovat akce prováděné playbookem u subjektů; poskytování dalších informací cenných pro vyšetřování incidentů.
Entity – Získání <typu entity> V playbookech, které pracují na určitém typu entity (IP, Účet, Hostitel, adresa URL nebo FileHash), které jsou známé při vytváření playbooku, a musíte být schopni ho analyzovat a pracovat na jeho jedinečných polích.

Práce s incidenty – příklady použití

Tip

Akce aktualizují incident a přidají komentář k incidentu, které vyžadují ID ARM incidentu.

Pomocí výstrahy – získání akce incidentu předem získejte ID ARM incidentu.

Aktualizace incidentu

  • Playbook se aktivuje incidentem Microsoft Sentinelu.

    Příklad jednoduchého toku aktualizace triggeru incidentu

  • Playbook se aktivuje upozorněním služby Microsoft Sentinel.

    Příklad jednoduchého toku incidentu aktualizace triggeru upozornění

Použití informací o incidentu

Základní playbook pro odesílání podrobností o incidentu prostřednictvím pošty:

  • Playbook se aktivuje incidentem Microsoft Sentinelu.

    Příklad jednoduchého získání toku triggeru incidentu

  • Playbook se aktivuje upozorněním služby Microsoft Sentinel.

    Příklad jednoduchého toku incidentu triggeru upozornění

Přidání komentáře k incidentu

  • Playbook se aktivuje incidentem Microsoft Sentinelu.

    Příklad přidání komentáře triggeru incidentu

  • Playbook se aktivuje upozorněním služby Microsoft Sentinel.

    Příklad jednoduchého přidání komentáře triggeru upozornění

Zakázání uživatele

  • Playbook se aktivuje entitou Microsoft Sentinelu.

    Snímek obrazovky znázorňující akce, které se mají provést v playbooku triggeru entity, aby se zakázal uživatel

Playbooky entit bez ID incidentu

Playbooky vytvořené pomocí triggeru entity často využívají pole ID ARM incidentu (například k aktualizaci incidentu po provedení akce u entity).

Pokud se takový playbook aktivuje v kontextu, který není připojen k incidentu (například při proaktivním vyhledávání hrozeb), neexistuje žádný incident , jehož ID může toto pole naplnit. V tomto případě se pole naplní hodnotou null.

V důsledku toho se playbook nemusí podařit dokončit. Pokud chcete této chybě zabránit, doporučujeme vytvořit podmínku, která před provedením jakýchkoli akcí zkontroluje hodnotu v poli ID incidentu a předepíše jinou sadu akcí, pokud má pole hodnotu null – to znamená, že pokud se playbook nespustí z incidentu.

  1. Před první akci, která odkazuje na pole ID ARM incidentu, přidejte krok typu Podmínka.

  2. Vyberte pole Zvolit hodnotu a zadejte dialogové okno Přidat dynamický obsah.

  3. Vyberte kartu Výraz a funkci length(collection).

  4. Vyberte kartu Dynamický obsah a pole ID ARM incidentu.

  5. Ověřte, že výsledný výraz je length(triggerBody()?['IncidentArmID']) , a vyberte OK.

    Snímek obrazovky s dialogovým oknem dynamického obsahu pro výběr polí pro podmínku playbooku

  6. Nastavte operátor a hodnotu v podmínce na "je větší než" a "0".

    Snímek obrazovky s konečnou definicí podmínky popsané na předchozím snímku obrazovky

  7. V rámci True přidejte akce, které se mají provést, pokud je playbook spuštěný z kontextu incidentu.

    Do rámce Nepravda přidejte akce, které se mají provést, pokud je playbook spuštěný z kontextu ne incidentu.

Práce s konkrétními typy entit

Dynamické pole Entity je pole objektů JSON, z nichž každá představuje entitu. Každý typ entity má vlastní schéma v závislosti na jeho jedinečných vlastnostech.

Akce Entity – Získání <typu> entity umožňuje provést následující akce:

  • Vyfiltrujte pole entit podle požadovaného typu.
  • Parsujte konkrétní pole tohoto typu, aby je bylo možné použít jako dynamická pole v dalších akcích.

Vstup je dynamické pole Entity .

Odpověď je pole entit, kde se analyzují speciální vlastnosti a lze je použít přímo v rámci každé smyčky.

Aktuálně podporované typy entit jsou:

U jiných typů entit je možné podobné funkce dosáhnout pomocí předdefinovaných akcí Logic Apps:

  • Filtrujte pole entit podle požadovaného typu pomocí pole filtru.

  • Parsujte konkrétní pole tohoto typu, aby je bylo možné použít jako dynamická pole v dalších akcích pomocí parsování JSON.

Práce s vlastními podrobnostmi

Dynamické pole s podrobnostmi o výstraze, které je k dispozici v triggeru incidentu, je pole objektů JSON, z nichž každá představuje vlastní podrobnosti výstrahy. Vlastní podrobnosti, které si vzpomenete, jsou páry klíč-hodnota, které umožňují zobrazit informace z událostí v upozornění, aby je bylo možné reprezentovat, sledovat a analyzovat jako součást incidentu.

Vzhledem k tomu, že toto pole v upozornění je přizpůsobitelné, jeho schéma závisí na typu události, která se objeví. Budete muset zadat data z instance této události, abyste vygenerovali schéma, které určí, jak bude pole vlastních podrobností analyzováno.

Prohlédněte si následující příklad:

Vlastní podrobnosti definované v analytickém pravidle

V těchto párech klíč-hodnota představuje klíč (levý sloupec) vlastní pole, která vytvoříte, a hodnota (pravý sloupec) představuje pole z dat události, která naplní vlastní pole.

K vygenerování schématu můžete zadat následující kód JSON. Kód zobrazuje názvy klíčů jako matice a hodnoty (zobrazené jako skutečné hodnoty, nikoli sloupec obsahující hodnoty) jako položky v polích.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

  1. Přidejte nový krok pomocí integrované akce Parsovat JSON . Do vyhledávacího pole můžete zadat "parsovat json", abyste ho našli.

  2. V seznamu dynamického obsahu v části Trigger incidentu vyhledejte a vyberte Upozornit vlastní podrobnosti.

    V části Dynamický obsah vyberte

    Tím se vytvoří smyčka pro každou smyčku, protože incident obsahuje pole výstrah.

  3. Výběrem možnosti Použít ukázkovou datovou část vygenerujte propojení schématu .

    Vyberte odkaz Použít ukázkovou datovou část k vygenerování schématu.

  4. Zadejte ukázkovou datovou část. Ukázkovou datovou část najdete tak, že v Log Analytics vyhledáte jinou instanci této výstrahy a zkopírujete objekt vlastních podrobností (v části Rozšířené vlastnosti). Přístup k datům Log Analytics buď na stránce Protokoly na webu Azure Portal, nebo na stránce rozšířeného vyhledávání na portálu Defender. Na následujícím snímku obrazovky jsme použili výše uvedený kód JSON.

    Zadejte ukázkovou datovou část JSON.

  5. Vlastní pole jsou připravená k použití dynamických polí typu Pole. Toto pole a její položky můžete vidět jak ve schématu, tak v seznamu, který se zobrazí v části Dynamický obsah, který jsme popsali výše.

    Pole ze schématu připravená k použití

Další kroky

V tomto článku jste se dozvěděli více o používání triggerů a akcí v playbookech Microsoft Sentinelu k reakci na hrozby.