Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Centra operací zabezpečení (SOC) čelí konstantnímu proudu výstrah zabezpečení a incidentů. Efektivní správa těchto řešení je důležitá pro zajištění silného zabezpečení vaší organizace. Playbooky Microsoft Sentinel jsou automatizované pracovní postupy, které vám pomůžou rychle a konzistentně reagovat na hrozby. Tento článek ukazuje, jak pomocí playbooků v Microsoft Sentinelu automatizovat reakci na hrozby, snížit ruční úsilí a umožnit týmu zaměřit se na hlubší šetření.
Pomocí playbooků Microsoft Sentinel můžete spouštět předkonfigurované sady akcí nápravy a automatizovat a orchestrovat reakci na hrozby. Playbooky můžete spouštět automaticky v reakci na konkrétní výstrahy a incidenty, které aktivují nakonfigurované pravidlo automatizace, nebo je spustit ručně pro konkrétní entitu nebo výstrahu.
Například pokud dojde k ohrožení zabezpečení účtu a počítače, příručka může počítač automaticky odpojit od sítě a zablokovat účet před tím, než tým SOC dostane upozornění na incident.
Poznámka:
Vzhledem k tomu, že playbooky používají Azure Logic Apps, můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps .
Důležité
Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.
Doporučené případy použití
Následující tabulka uvádí běžné případy použití, kdy playbooky Microsoft Sentinel pomáhají automatizovat reakci na hrozby:
| Případ použití | Popis |
|---|---|
| Obohacení | Shromážděte data a připojte je k incidentu, aby váš tým mohl lépe rozhodovat. |
| Obousměrná synchronizace | Synchronizujte incidenty Microsoft Sentinelu s jinými systémy lístků. Například vytvořte pravidlo automatizace pro všechny nové incidenty a přiřaďte plán, který otevře lístek v systému ServiceNow. |
| Orchestrace | Ke správě fronty incidentů použijte chatovací platformu týmu SOC. Odešlete například zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku, aby o incidentu věděli vaši analytici zabezpečení. |
| Odpověď | Okamžitě reagovat na hrozby s minimálním zásahem člověka, například při zjištění ohroženého uživatele nebo počítače. Nebo můžete ručně aktivovat automatizované kroky během vyšetřování nebo při proaktivním vyhledávání. |
Další informace najdete v tématu Doporučené případy použití playbooku, šablony a příklady.
Požadavky
Potřebujete následující role, abyste mohli vytvořit a spustit playbooky v Microsoft Sentinelu pomocí Azure Logic Apps.
| Role | Popis |
|---|---|
| Vlastník | Umožňuje poskytnout přístup k playbookům v rámci skupiny prostředků. |
| Přispěvatel Microsoft Sentinelu | Umožňuje připojit scénář k analytickému nebo automatizačnímu pravidlu. |
| Microsoft Sentinel Responder | Umožňuje přístup k incidentu, abyste mohli playbook ručně spustit, ale systém neumožňuje jeho automatické spuštění. |
| Operátor playbooku Microsoft Sentinel | Umožňuje ruční spuštění skriptu. |
| Přispěvatel služby Microsoft Sentinel Automation | Umožňuje pravidlům automatizace spouštět playbooky. Tato role se nepoužívá pro žádný jiný účel. |
Následující tabulka popisuje požadované role na základě toho, jestli k vytvoření playbooku vyberete aplikaci logiky Consumption nebo Standard:
| Aplikace logiky | Role v Azure | Popis |
|---|---|---|
| Spotřeba | Přispěvatel aplikace logiky | Upravte a spravujte aplikace logiky. Spusťte playbooky. Neumožňuje udělit přístup k playbookům. |
| Spotřeba | Operátor aplikace logiky | Čtení, povolení a zakázání logických aplikací Neumožňuje upravovat nebo aktualizovat aplikace logiky. |
| Standard | Standardní operátor Logic Apps | Povolte, znovu odešlete a zakažte pracovní postupy v aplikaci logiky. |
| Standard | Standardní vývojář pro Logic Apps | Vytváření a úpravy aplikací logiky |
| Standard | Standardní přispěvatel Logic Apps | Správa všech aspektů aplikace logiky |
Karta Aktivní playbooky na stránce Automation zobrazuje všechny aktivní playbooky dostupné napříč všemi vybranými předplatnými. Ve výchozím nastavení je možné playbook používat pouze v rámci předplatného, do kterého patří, pokud výslovně neudělíte oprávnění Microsoft Sentinelu ke skupině prostředků playbooku.
Pro spuštění playbooků v Microsoft Sentinelu jsou vyžadována další oprávnění.
Microsoft Sentinel používá účet služby ke spuštění playbooků na incidentech, pro zvýšení zabezpečení a zprovoznění rozhraní API pravidel automatizace, aby podporovalo případy použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidenty nebo při ručním spuštění playbooku u konkrétního incidentu.
Kromě vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role Přispěvatel služby Microsoft Sentinel Automation . Jakmile má Microsoft Sentinel tuto roli, může provést libovolný playbook v příslušné skupině prostředků, a to ručně nebo pravidlem automatizace.
Pokud chcete službě Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů . Ke spuštění playbooků budete také potřebovat roli Přispěvatel Logic App ve skupině prostředků, která obsahuje playbooky, jež chcete spustit.
Šablony playbooku (náhled)
Důležité
Šablony playbooků jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Šablony playbooků jsou předem připravené, otestované a připravené pracovní postupy, které nejsou použitelné jako samotné playbooky, ale jsou připravené k přizpůsobení tak, aby vyhovovaly vašim potřebám. Doporučujeme také používat šablony playbooků jako referenci na osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.
Získejte šablony manuálů z těchto zdrojů:
| Umístění | Popis |
|---|---|
| Stránka Microsoft Sentinel Automation | Na kartě Šablony playbooků se zobrazují všechny nainstalované playbooky. Vytvořte jeden nebo více aktivních playbooků pomocí stejné šablony. Když se publikuje nová verze šablony, všechny aktivní playbooky vytvořené z této šablony získají na kartě Aktivní playbooky další popisek, který ukazuje, že je k dispozici aktualizace. |
| Stránka centra obsahu služby Microsoft Sentinel | Šablony playbooků jsou součástí produktových řešení nebo samostatného obsahu, který instalujete z centra obsahu. Další informace najdete tady: . Informace o obsahu a řešeních služby Microsoft Sentinel Objevujte a spravujte připravený obsah služby Microsoft Sentinel |
| GitHub | Úložiště Microsoft Sentinel Na GitHubu má mnoho dalších šablon playbooků. Výběrem možnosti Nasadit do Azure nasadíte šablonu do předplatného Azure. |
Šablona playbooku je šablona Azure Resource Manageru (ARM), která obsahuje několik prostředků: pracovní postup Azure Logic Apps a připojení rozhraní API pro jednotlivá připojení.
Další informace naleznete v tématu:
- Vytvořte a přizpůsobte playbooky Microsoft Sentinelu ze šablon obsahu
- Doporučené šablony playbooků
- Aplikace Azure Logic pro sestavení scénářů v rámci Microsoft Sentinel
Pracovní postup vytvoření playbooku a jeho využití
Při vytváření a spouštění playbooků Microsoft Sentinel postupujte takto:
Definujte svůj scénář automatizace. Projděte si doporučené případy použití playbooků a šablony playbooků , abyste mohli začít.
Pokud šablonu nepoužíváte, vytvořte příručku a sestavte aplikaci Logic App. Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.
Otestujte aplikaci logiky tím, že ji spustíte ručně. Další informace naleznete v tématu Ruční spuštění playbooku podle potřeby.
Nastavte playbook tak, aby se automaticky spustil při vytvoření nové výstrahy nebo nového incidentu, nebo jej podle potřeby spusťte ručně. Další informace najdete v tématu Reakce na hrozby pomocí playbooků Microsoft Sentinel.