Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Centra pro operace zabezpečení (SOC) čelí neustálému proudu výstrah a incidentů zabezpečení. Jejich efektivní správa je důležitá pro zajištění silného zabezpečení vaší organizace. Microsoft Sentinel playbooky jsou automatizované pracovní postupy, které vám pomůžou rychle a konzistentně reagovat na hrozby. Tento článek ukazuje, jak používat playbooky v Microsoft Sentinel k automatizaci reakce na hrozby, snížení ručního úsilí a k tomu, aby se váš tým zaměřil na hlubší šetření.
Pomocí Microsoft Sentinel playbooků můžete spouštět předkonfigurované sady nápravných akcí a automatizovat a orchestrovat reakce na hrozby. Spouštět playbooky automaticky v reakci na konkrétní výstrahy a incidenty, které aktivují nakonfigurované pravidlo automatizace, nebo je spustit ručně pro konkrétní entitu nebo výstrahu.
Například pokud dojde k ohrožení zabezpečení účtu a počítače, může playbook automaticky izolovat počítač od sítě a zablokovat účet předtím, než tým SOC obdrží oznámení o incidentu.
Poznámka
Vzhledem k tomu, že playbooky používají Azure Logic Apps, můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Doporučené případy použití
Následující tabulka uvádí běžné případy použití, kdy Microsoft Sentinel playbooky pomáhají automatizovat reakci na hrozby:
| Případ použití | Popis |
|---|---|
| Obohacení | Shromážděte data a připojte je k incidentu, aby váš tým mohl dělat lepší rozhodnutí. |
| Obousměrná synchronizace | Synchronizujte incidenty Microsoft Sentinel s jinými systémy lístků. Vytvořte například pravidlo automatizace pro všechny nové incidenty a připojte playbook, který otevře lístek v ServiceNow. |
| Orchestraci | Ke správě fronty incidentů použijte chatovací platformu týmu SOC. Můžete například odeslat zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku, aby analytici zabezpečení věděli o incidentu. |
| Reakce | Okamžitě reagovat na hrozby s minimálním zásahem člověka, například při zjištění ohroženého uživatele nebo počítače. Nebo můžete ručně aktivovat automatizované kroky během vyšetřování nebo při proaktivním vyhledávání. |
Další informace najdete v tématu Doporučené případy použití playbooku, šablony a příklady.
Požadavky
K vytváření a spouštění playbooků v Microsoft Sentinel pomocí Azure Logic Apps potřebujete následující role.
| Role | Popis |
|---|---|
| Vlastník | Umožňuje udělit přístup k playbookům ve skupině prostředků. |
| Přispěvatel Microsoft Sentinel | Umožňuje připojit playbook k analytickému nebo automatizačnímu pravidlu. |
| Microsoft Sentinel Respondér | Umožňuje přístup k incidentu, abyste mohli playbook spustit ručně, ale neumožňuje spustit playbook. |
| operátor playbooku Microsoft Sentinel | Umožňuje spustit playbook ručně. |
| Přispěvatel služby Microsoft Sentinel Automation | Umožňuje pravidelm automatizace spouštět playbooky. Tato role se nepoužívá k žádným jiným účelům. |
Následující tabulka popisuje požadované role podle toho, jestli pro vytvoření playbooku vyberete aplikaci logiky Consumption nebo Standard:
| Aplikace logiky | Azure rolí | Popis |
|---|---|---|
| Spotřeby | Přispěvatel aplikace logiky | Úpravy a správa aplikací logiky Spusťte playbooky. Neumožňuje udělit přístup k playbookům. |
| Spotřeby | Operátor aplikace logiky | Čtení, povolení a zakázání aplikací logiky Neumožňuje upravovat ani aktualizovat aplikace logiky. |
| Standard | Standardní operátor Logic Apps | Povolení, opětovné odeslání a zakázání pracovních postupů v aplikaci logiky |
| Standard | Standardní vývojář pro Logic Apps | Vytváření a úpravy aplikací logiky |
| Standard | Přispěvatel služby Logic Apps Úrovně Standard | Správa všech aspektů aplikace logiky |
Na kartě Aktivní playbooky na stránce Automatizace se zobrazí všechny aktivní playbooky dostupné ve všech vybraných předplatných. Ve výchozím nastavení je možné playbook použít pouze v rámci předplatného, do kterého patří, pokud výslovně neudělíte Microsoft Sentinel oprávnění ke skupině prostředků playbooku.
Další oprávnění vyžadovaná pro Microsoft Sentinel ke spouštění playbooků
Microsoft Sentinel používá účet služby ke spouštění playbooků pro incidenty, k přidání zabezpečení a povolení rozhraní API pravidel automatizace pro podporu případů použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidentem nebo při ručním spuštění playbooku pro konkrétní incident.
Kromě vašich vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role přispěvatele služby Microsoft Sentinel Automation. Jakmile má Microsoft Sentinel tuto roli, může spustit libovolný playbook v příslušné skupině prostředků ručně nebo z pravidla automatizace.
Pokud chcete Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů. Ke spuštění playbooků budete také potřebovat roli Přispěvatel aplikací logiky ve skupině prostředků, která obsahuje playbooky, které chcete spustit.
Šablony playbooků (Preview)
Důležité
Šablony playbooků jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.
Šablony playbooků jsou předem připravené, otestované a připravené pracovní postupy, které nejsou použitelné jako samotné playbooky, ale můžete si je přizpůsobit podle svých potřeb. Doporučujeme také používat šablony playbooků jako referenci osvědčených postupů při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.
Získejte šablony playbooků z těchto zdrojů:
| Umístění | Popis |
|---|---|
| stránka Microsoft Sentinel Automation | Na kartě Šablony playbooků se zobrazují všechny nainstalované playbooky. Vytvořte jeden nebo více aktivních playbooků pomocí stejné šablony. Když je publikovaná nová verze šablony, všechny aktivní playbooky vytvořené z této šablony získají na kartě Aktivní playbooky další popisek, který ukazuje, že je k dispozici aktualizace. |
| Microsoft Sentinel stránku centra obsahu | Šablony playbooků jsou součástí produktových řešení nebo samostatného obsahu, který nainstalujete z centra Obsah. Další informace najdete tady: Informace o Microsoft Sentinel obsahu a řešeních Zjišťování a správa Microsoft Sentinel předefinovaný obsah |
| Github | Úložiště Microsoft Sentinel GitHub obsahuje mnoho dalších šablon playbooků. Výběrem možnosti Nasadit Azure nasadit šablonu do předplatného Azure. |
Šablona playbooku je šablona Azure Resource Manager (ARM), která obsahuje několik prostředků: pracovní postup Azure Logic Apps a připojení rozhraní API pro každé připojení.
Další informace najdete tady:
- Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu
- Doporučené šablony playbooků
- playbooky Azure Logic Apps pro Microsoft Sentinel
Pracovní postup vytvoření a použití playbooku
Pokud chcete vytvořit a spustit playbooky Microsoft Sentinel, postupujte takto:
Definujte scénář automatizace. Začněte tím , že si projdete doporučené případy použití playbooků a šablony playbooků .
Pokud nepoužíváte šablonu, vytvořte playbook a sestavte aplikaci logiky. Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.
Otestujte aplikaci logiky tím, že ji spustíte ručně. Další informace najdete v tématu Ruční spuštění playbooku na vyžádání.
Nastavte si, aby se playbook spouštěl automaticky při vytvoření nové výstrahy nebo incidentu, nebo ho spusťte ručně podle potřeby pro váš proces. Další informace najdete v tématu Reakce na hrozby pomocí playbooků Microsoft Sentinel.