Vytváření a provádění úloh incidentů v Microsoft Sentinel pomocí playbooků

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tento článek vysvětluje, jak pomocí playbooků vytvářet a volitelně provádět úlohy incidentů ke správě složitých procesů pracovních postupů analytiků v Microsoft Sentinel.

Pomocí akce Přidat úkol v playbooku v konektoru Microsoft Sentinel můžete automaticky přidat úkol k incidentu, který playbook aktivoval. Podporují se pracovní postupy Standard i Consumption.

Tip

Úlohy incidentů je možné vytvářet automaticky nejen pomocí playbooků, ale také pomocí pravidel automatizace, a také ručně, ad hoc, z incidentu.

Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinel.

Požadavky

  • Role Microsoft Sentinel Respondér se vyžaduje k zobrazení a úpravám incidentů, což je nezbytné k přidávání, zobrazování a úpravám úkolů.

  • K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Logic Apps .

Další informace najdete v tématu požadavky Microsoft Sentinel playbooku.

Přidání úkolu a jeho provedení pomocí playbooku

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která provádí následující akce:

  • Přidá k incidentu úlohu a resetuje heslo napadeného uživatele.
  • Přidá další akci playbooku pro odeslání signálu Microsoft Entra ID Protection (AADIP) pro skutečné resetování hesla.
  • Přidá poslední akci playbooku, která označí úkol v incidentu jako dokončený.

Pokud chcete tyto akce přidat a nakonfigurovat, proveďte následující kroky:

  1. Z konektoru Microsoft Sentinel přidejte akci Přidat úlohu k incidentu a pak:

    1. Vyberte položku dynamického obsahu ID ARM incidentu pro pole Id ARM incidentu .

    2. Jako Název zadejte Resetovat heslo uživatele.

    3. Přidejte volitelný popis.

    Příklady:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu resetování hesla uživatele

  2. Přidejte akci Entity – Získat účty (Preview). Přidejte položku dynamického obsahu Entity (ze schématu incidentu Microsoft Sentinel) do pole seznamu Entity. Příklady:

    Snímek obrazovky znázorňující akce playbooku pro získání entit účtu v incidentu

  3. Přidejte smyčku For each z knihovny Akcí řízení . Přidejte položku dynamického obsahu Accounts z výstupu Entity – Získat účty do pole Vybrat výstup z předchozích kroků . Příklady:

    Snímek obrazovky ukazuje, jak přidat akci smyčky for-each do playbooku, aby bylo možné provést akci s každým zjištěným účtem.

  4. Ve smyčce For each vyberte Přidat akci. Pak:

    1. Vyhledejte a vyberte konektor Microsoft Entra ID Protection.
    2. Vyberte akci Potvrdit rizikového uživatele jako ohroženého uživatele (Preview).
    3. Do pole userIds Item - 1 přidejte položku dynamického obsahu Účty Microsoft Entra ID uživatele.

    Tato akce nastaví do pohybu procesy uvnitř Microsoft Entra ID Protection a resetuje heslo uživatele.

    Snímek obrazovky znázorňující odesílání entit do AADIP za účelem potvrzení ohrožení zabezpečení

    Poznámka

    Jedním ze způsobů, jak identifikovat uživatele v AADIP, je pole Accounts Microsoft Entra ID uživatele. Nemusí to být nutně nejlepší způsob v každém scénáři, ale je zde uveden jen jako příklad.

    Pokud potřebujete pomoc, podívejte se na jiné playbooky, které zpracovávají ohrožené uživatele, nebo v dokumentaci k Microsoft Entra ID Protection.

  5. Přidejte akci Označit úkol jako dokončený z konektoru Microsoft Sentinel a přidejte položku dynamického obsahu ID úkolu incidentu do pole Id ARM úkolu. Příklady:

    Snímek obrazovky ukazuje, jak přidat akci playbooku pro označení úkolu incidentu jako dokončeného.

Podmíněné přidání úkolu pomocí playbooku

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která zkoumá IP adresu, která se objeví v incidentu.

  • Pokud je výsledkem tohoto průzkumu, že IP adresa je škodlivá, playbook vytvoří pro analytika úkol, který uživatele pomocí této IP adresy zakáže.
  • Pokud IP adresa není známou škodlivou adresou, playbook vytvoří jiný úkol, aby analytik kontaktoval uživatele a ověřil aktivitu.

Pokud chcete tyto akce přidat a nakonfigurovat, proveďte následující kroky:

  1. Z konektoru Microsoft Sentinel přidejte akci Entity – Získat IP adresy. Přidejte položku dynamického obsahu Entity (ze schématu incidentu Microsoft Sentinel) do pole seznamu Entity. Příklady:

    Snímek obrazovky znázorňující akce playbooku pro získání entit IP adres v incidentu

  2. Přidejte smyčku For each z knihovny Akcí řízení . Přidejte položku dynamického obsahu IP z výstupu Entity – Získání IP adres do pole Vybrat výstup z předchozích kroků . Příklady:

    Snímek obrazovky ukazuje, jak přidat akci smyčky for-each do playbooku, aby bylo možné provést akci s každou zjištěnou IP adresou.

  3. Ve smyčce For each vyberte Přidat akci a pak:

    1. Vyhledejte a vyberte konektor Virus Total .
    2. Vyberte akci Získat sestavu IP adres (Preview).
    3. Přidejte položku dynamického obsahu IP adresy z výstupu Entity – Získání IP adres do pole IP adresa .

    Příklady:

    Snímek obrazovky znázorňuje odeslání žádosti do virus Total pro sestavu IP adresy.

  4. Ve smyčce For each vyberte Přidat akci a pak:

    1. Přidejte podmínku z knihovny Akcí řízení .
    2. Přidejte položku Statistika poslední analýzy Škodlivý dynamický obsah z výstupu Sestava získání IP adresy . Možná budete muset vybrat Zobrazit další , abyste ho našli.
    3. Vyberte operátor je větší než a jako hodnotu zadejte 0 .

    Tato podmínka klade otázku "Má zpráva Virus Total IP nějaké výsledky?" Příklad:

    Snímek obrazovky ukazuje, jak v playbooku nastavit podmínku true-false.

  5. Uvnitř možnosti True (Pravda ) vyberte Add an action (Přidat akci) a pak:

    1. V konektoru Microsoft Sentinel vyberte akci Přidat úlohu k incidentu.
    2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole Id ARM incidentu .
    3. Zadejte Označit uživatele jako ohroženého jako název.
    4. Přidejte volitelný popis.

    Příklady:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu, který uživatele označí jako ohroženého

  6. Uvnitř možnosti False (Nepravda ) vyberte Add an action (Přidat akci) a pak:

    1. V konektoru Microsoft Sentinel vyberte akci Přidat úlohu k incidentu.
    2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole Id ARM incidentu .
    3. Zadejte Spojit se s uživatelem a potvrďte aktivitu jako Název.
    4. Přidejte volitelný popis.

    Příklady:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu pro potvrzení aktivity uživatelem

Související obsah

Další informace najdete tady:

  • Last updated on