Vytváření a provádění úloh incidentů v Microsoft Sentinelu pomocí playbooků
Tento článek vysvětluje, jak pomocí playbooků vytvářet a volitelně provádět úlohy incidentů ke správě složitých procesů pracovních postupů analytiků v Microsoft Sentinelu.
Pomocí akce Přidat úkol v playbooku v konektoru Microsoft Sentinelu můžete automaticky přidat úkol k incidentu, který playbook aktivoval. Podporují se pracovní postupy Standard i Consumption.
Tip
Úkoly incidentů je možné vytvářet automaticky nejen playbooky, ale také pravidly automatizace, a také ručně, ad hoc, z incidentu.
Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu.
Požadavky
K zobrazení a úpravám incidentů je potřeba role Responder služby Microsoft Sentinel, která je nutná k přidání, zobrazení a úpravám úkolů.
K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Pro Logic Apps.
Další informace najdete v požadavcích playbooku Microsoft Sentinel.
Přidání úkolu a jeho provedení pomocí playbooku
Tato část obsahuje ukázkový postup pro přidání akce playbooku, která provede následující akce:
- Přidá do incidentu úkol a resetuje ohrožené heslo uživatele.
- Přidá další akci playbooku pro odeslání signálu službě Microsoft Entra ID Protection (AADIP), která skutečně resetuje heslo.
- Přidá poslední akci playbooku, která označí úkol v incidentu jako dokončený.
Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:
Z konektoru Microsoft Sentinel přidejte úlohu Přidat do akce incidentu a pak:
Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
Jako název zadejte Resetovat uživatelské heslo.
Přidejte volitelný popis.
Příklad:
Přidání akce Entity – Získání účtů (Preview) Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit. Příklad:
Přidejte smyčku For each z knihovny akcí ovládacích prvků . Přidejte položku dynamického obsahu Účty z entit – Získání výstupu účtů do pole Vybrat výstup z předchozího postupu. Příklad:
Uvnitř smyčky Pro každou smyčku vyberte Přidat akci. Potom:
- Vyhledejte a vyberte konektor Microsoft Entra ID Protection .
- Vyberte akci Potvrdit rizikového uživatele jako ohroženého uživatele (Preview).
- Do pole UserIds Item – 1 přidejte položku dynamického obsahu ID uživatele Microsoft Entra.
Tato akce se nastavuje v procesech pohybu uvnitř microsoft Entra ID Protection k resetování hesla uživatele.
Poznámka:
Pole ID uživatele Microsoft Entra účtů je jedním ze způsobů, jak identifikovat uživatele v AADIP. Nemusí to být nutně nejlepší způsob v každém scénáři, ale je zde uveden jako příklad.
Pokud potřebujete pomoc, obraťte se na další playbooky, které zpracovávají ohrožené uživatele, nebo dokumentaci k Microsoft Entra ID Protection.
Přidejte úkol jako dokončenou akci z konektoru Microsoft Sentinelu a přidejte položku dynamického obsahu ID úkolu incidentu do pole ID ARM úkolu. Příklad:
Použití playbooku k podmíněnému přidání úkolu
Tato část obsahuje ukázkový postup pro přidání akce playbooku, která zkoumá IP adresu, která se zobrazí v incidentu.
- Pokud jsou výsledky tohoto výzkumu v tom, že IP adresa je škodlivá, playbook vytvoří pro analytika úkol, aby zakázal uživatele, který tuto IP adresu používá.
- Pokud IP adresa není známá škodlivá adresa, playbook vytvoří jiný úkol, aby analytik kontaktoval uživatele a ověřil aktivitu.
Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:
Z konektoru Microsoft Sentinel přidejte akci Entity – Získat IP adresy . Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit. Příklad:
Přidejte smyčku For each z knihovny akcí ovládacích prvků . Přidejte položku dynamického obsahu IP z entit – Získání výstupu IP adres do pole Vybrat výstup z předchozího postupu. Příklad:
Uvnitř smyčky Pro každou smyčku vyberte Přidat akci a pak:
- Vyhledejte a vyberte konektor Virus Total .
- Vyberte akci Získat sestavu IP adres (Preview).
- Přidejte položku dynamického obsahu IP adresy z entit – Získání výstupu IP adres do pole IP adresa.
Příklad:
Uvnitř smyčky Pro každou smyčku vyberte Přidat akci a pak:
- Přidejte podmínku z knihovny akcí ovládacího prvku.
- Přidejte položku dynamického dynamického obsahu poslední analýzy ze výstupu získání sestavy PROTOKOLU IP. Možná budete muset vybrat Zobrazit více , abyste ho našli.
- Vyberte operátor je větší než a zadejte
0
jako hodnotu.
Tato podmínka položí otázku "Má zpráva o celkovém počtu IP virů nějaké výsledky?" Příklad:
Uvnitř možnosti True vyberte Přidat akci a pak:
- V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
- Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
- Zadejte Označit uživatele jako ohrožený jako název.
- Přidejte volitelný popis.
Příklad:
V možnosti Nepravda vyberte Přidat akci a pak:
- V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
- Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
- Zadejte Kontaktovat uživatele a potvrďte aktivitu jako název.
- Přidejte volitelný popis.
Příklad:
Související obsah
Další informace naleznete v tématu: