Sdílet prostřednictvím


Vytváření a provádění úloh incidentů v Microsoft Sentinelu pomocí playbooků

Tento článek vysvětluje, jak pomocí playbooků vytvářet a volitelně provádět úlohy incidentů ke správě složitých procesů pracovních postupů analytiků v Microsoft Sentinelu.

Pomocí akce Přidat úkol v playbooku v konektoru Microsoft Sentinelu můžete automaticky přidat úkol k incidentu, který playbook aktivoval. Podporují se pracovní postupy Standard i Consumption.

Tip

Úkoly incidentů je možné vytvářet automaticky nejen playbooky, ale také pravidly automatizace, a také ručně, ad hoc, z incidentu.

Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu.

Požadavky

  • K zobrazení a úpravám incidentů je potřeba role Responder služby Microsoft Sentinel, která je nutná k přidání, zobrazení a úpravám úkolů.

  • K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Pro Logic Apps.

Další informace najdete v požadavcích playbooku Microsoft Sentinel.

Přidání úkolu a jeho provedení pomocí playbooku

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která provede následující akce:

  • Přidá do incidentu úkol a resetuje ohrožené heslo uživatele.
  • Přidá další akci playbooku pro odeslání signálu službě Microsoft Entra ID Protection (AADIP), která skutečně resetuje heslo.
  • Přidá poslední akci playbooku, která označí úkol v incidentu jako dokončený.

Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:

  1. Z konektoru Microsoft Sentinel přidejte úlohu Přidat do akce incidentu a pak:

    1. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.

    2. Jako název zadejte Resetovat uživatelské heslo.

    3. Přidejte volitelný popis.

    Příklad:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu pro resetování hesla uživatele

  2. Přidání akce Entity – Získání účtů (Preview) Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit. Příklad:

    Snímek obrazovky znázorňující akce playbooku pro získání entit účtu v incidentu

  3. Přidejte smyčku For each z knihovny akcí ovládacích prvků . Přidejte položku dynamického obsahu Účty z entit – Získání výstupu účtů do pole Vybrat výstup z předchozího postupu. Příklad:

    Snímek obrazovky ukazuje, jak přidat akci smyčky for-each do playbooku, aby bylo možné provést akci u každého zjištěného účtu.

  4. Uvnitř smyčky Pro každou smyčku vyberte Přidat akci. Potom:

    1. Vyhledejte a vyberte konektor Microsoft Entra ID Protection .
    2. Vyberte akci Potvrdit rizikového uživatele jako ohroženého uživatele (Preview).
    3. Do pole UserIds Item – 1 přidejte položku dynamického obsahu ID uživatele Microsoft Entra.

    Tato akce se nastavuje v procesech pohybu uvnitř microsoft Entra ID Protection k resetování hesla uživatele.

    Snímek obrazovky znázorňující odesílání entit do AADIP k potvrzení ohrožení zabezpečení

    Poznámka:

    Pole ID uživatele Microsoft Entra účtů je jedním ze způsobů, jak identifikovat uživatele v AADIP. Nemusí to být nutně nejlepší způsob v každém scénáři, ale je zde uveden jako příklad.

    Pokud potřebujete pomoc, obraťte se na další playbooky, které zpracovávají ohrožené uživatele, nebo dokumentaci k Microsoft Entra ID Protection.

  5. Přidejte úkol jako dokončenou akci z konektoru Microsoft Sentinelu a přidejte položku dynamického obsahu ID úkolu incidentu do pole ID ARM úkolu. Příklad:

    Snímek obrazovky ukazuje, jak přidat akci playbooku pro označení dokončeného úkolu incidentu.

Použití playbooku k podmíněnému přidání úkolu

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která zkoumá IP adresu, která se zobrazí v incidentu.

  • Pokud jsou výsledky tohoto výzkumu v tom, že IP adresa je škodlivá, playbook vytvoří pro analytika úkol, aby zakázal uživatele, který tuto IP adresu používá.
  • Pokud IP adresa není známá škodlivá adresa, playbook vytvoří jiný úkol, aby analytik kontaktoval uživatele a ověřil aktivitu.

Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:

  1. Z konektoru Microsoft Sentinel přidejte akci Entity – Získat IP adresy . Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit. Příklad:

    Snímek obrazovky znázorňující akce playbooku pro získání entit IP adres v incidentu

  2. Přidejte smyčku For each z knihovny akcí ovládacích prvků . Přidejte položku dynamického obsahu IP z entit – Získání výstupu IP adres do pole Vybrat výstup z předchozího postupu. Příklad:

    Snímek obrazovky ukazuje, jak přidat akci smyčky for-each do playbooku, aby bylo možné provést akci pro každou zjištěnou IP adresu.

  3. Uvnitř smyčky Pro každou smyčku vyberte Přidat akci a pak:

    1. Vyhledejte a vyberte konektor Virus Total .
    2. Vyberte akci Získat sestavu IP adres (Preview).
    3. Přidejte položku dynamického obsahu IP adresy z entit – Získání výstupu IP adres do pole IP adresa.

    Příklad:

    Snímek obrazovky ukazuje odeslání požadavku na virus Total pro sestavu IP adres.

  4. Uvnitř smyčky Pro každou smyčku vyberte Přidat akci a pak:

    1. Přidejte podmínku z knihovny akcí ovládacího prvku.
    2. Přidejte položku dynamického dynamického obsahu poslední analýzy ze výstupu získání sestavy PROTOKOLU IP. Možná budete muset vybrat Zobrazit více , abyste ho našli.
    3. Vyberte operátor je větší než a zadejte 0 jako hodnotu.

    Tato podmínka položí otázku "Má zpráva o celkovém počtu IP virů nějaké výsledky?" Příklad:

    Snímek obrazovky ukazuje, jak v playbooku nastavit podmínku true-false.

  5. Uvnitř možnosti True vyberte Přidat akci a pak:

    1. V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
    2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
    3. Zadejte Označit uživatele jako ohrožený jako název.
    4. Přidejte volitelný popis.

    Příklad:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu pro označení uživatele jako ohroženého

  6. V možnosti Nepravda vyberte Přidat akci a pak:

    1. V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
    2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
    3. Zadejte Kontaktovat uživatele a potvrďte aktivitu jako název.
    4. Přidejte volitelný popis.

    Příklad:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu, aby uživatel potvrdil aktivitu

Další informace naleznete v tématu: