Sdílet prostřednictvím

Reakce na aktéry hrozeb při vyšetřování nebo proaktivního vyhledávání hrozeb v Microsoft Sentinelu

  • Článek

V tomto článku se dozvíte, jak na místě provést akce reakce na aktéry hrozeb, a to během vyšetřování incidentu nebo vyhledávání hrozeb, aniž byste museli přecházet z vyšetřování nebo vyhledávání kontextu. Toho dosáhnete pomocí playbooků založených na triggeru nové entity.

Trigger entity aktuálně podporuje následující typy entit:

Důležité

Trigger entity je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Spouštění playbooků pomocí triggeru entity

Když prošetřujete incident a zjistíte, že daná entita – uživatelský účet, hostitel, IP adresa, soubor atd., představuje hrozbu, můžete na tuto hrozbu provést okamžité nápravné akce spuštěním playbooku na vyžádání. Můžete to udělat také v případě, že narazíte na podezřelé entity a proaktivně proaktivně proaktivní vyhledávání hrozeb mimo kontext incidentů.

  1. Vyberte entitu v jakémkoli kontextu, který na ni narazíte, a zvolte vhodné prostředky pro spuštění playbooku následujícím způsobem:

    • Ve widgetu Entity na kartě Přehled incidentu na nové stránce s podrobnostmi incidentu (nyní ve verzi Preview) nebo na kartě Entity vyberte entitu ze seznamu, vyberte tři tečky vedle entity a v místní nabídce vyberte Spustit playbook (Preview).

      Snímek obrazovky se stránkou podrobností incidentu

      Snímek obrazovky s kartou Entity na stránce s podrobnostmi incidentu

    • Na kartě Entity incidentu vyberte entitu ze seznamu a vyberte odkaz Spustit playbook (Preview) na konci řádku v seznamu.

      Snímek obrazovky s výběrem entity ze stránky s podrobnostmi incidentu pro spuštění playbooku

    • V grafu Šetření vyberte entitu a na bočním panelu entity vyberte tlačítko Spustit playbook (Preview).

      Snímek obrazovky s výběrem entity z grafu šetření pro spuštění playbooku

    • Na stránce Chování entity vyberte entitu. Na stránce výsledné entity vyberte na levém panelu tlačítko Spustit playbook (Preview ).

      Snímek obrazovky s výběrem entity ze stránky chování entity ke spuštění playbooku

      Snímek obrazovky se stránkou vybrané entity pro spuštění playbooku u entity

  2. Všechny tyto možnosti otevřou playbook Spustit na <panelu typů> entit.

    Snímek obrazovky playbooku Spustit na panelu entit

    Na některém z těchto panelů uvidíte dvě karty: Playbooky a Spuštění.

  3. Na kartě Playbooky se zobrazí seznam všech playbooků, ke kterým máte přístup, a který používá trigger entity Služby Microsoft Sentinel pro daný typ entity (v tomto případě uživatelské účty). Vyberte tlačítko Spustit pro playbook, který chcete spustit okamžitě.

    Pokud playbook, který chcete v seznamu spustit, nevidíte, znamená to, že Microsoft Sentinel nemá oprávnění ke spouštění playbooků v této skupině prostředků.

    Pokud chcete těmto oprávněním udělit, vyberte Nastavení Nastavení >> Oprávnění Konfigurovat playbooky>. Na panelu Spravovat oprávnění označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

    Další informace najdete v tématu Další oprávnění požadovaná pro microsoft Sentinel ke spouštění playbooků.

  4. Aktivitu playbooků triggerů entity můžete auditovat na kartě Spuštění . Zobrazí se seznam všech dob, kdy se na vybrané entitě spustil libovolný playbook. Může trvat několik sekund, než se v tomto seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění se v Azure Logic Apps otevře úplný protokol spuštění.

Další kroky

V tomto článku jste se dozvěděli, jak ručně spouštět playbooky pro nápravu hrozeb z entit, zatímco uprostřed vyšetřování incidentu nebo proaktivního vyhledávání hrozeb.