Doporučené případy použití playbooku, šablony a příklady

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tento článek uvádí ukázkové případy použití Microsoft Sentinel playbooků a také ukázkové playbooky a doporučené šablony playbooků.

Doporučujeme začít Microsoft Sentinel playbooky pro následující scénáře SOC, pro které poskytujeme připravené šablony playbooků.

Rozšiřování: Shromažďování a připojení dat k incidentu za účelem inteligentnějšího rozhodování

Pokud je váš Microsoft Sentinel incident vytvořený z pravidla upozornění a analýzy, které generuje entity IP adres, nakonfigurujte incident tak, aby aktivoval pravidlo automatizace, které spustí playbook a shromáždí další informace.

Nakonfigurujte playbook pomocí následujících kroků:

  1. Po vytvoření incidentu spusťte playbook. Entity reprezentované v incidentu jsou uložené v dynamických polích triggeru incidentu.

  2. Pro každou IP adresu nakonfigurujte playbook tak, aby se dotaz na externího poskytovatele analýzy hrozeb, například Virus Total, načetl další data.

  3. Přidejte vrácená data a přehledy jako komentáře k incidentu, aby se vaše šetření obohatilo.

Obousměrná synchronizace pro incidenty Microsoft Sentinel s jinými systémy lístků

Pokud chcete synchronizovat data incidentu Microsoft Sentinel se systémem lístků, jako je ServiceNow:

  1. Vytvořte pravidlo automatizace pro veškeré vytváření incidentů.

  2. Připojte playbook, který se aktivuje při vytvoření nového incidentu.

  3. Nakonfigurujte playbook tak, aby v ServiceNow pomocí konektoru ServiceNow vytvořil nový lístek.

    Ujistěte se, že vaše týmy můžou snadno přejít z lístku ServiceNow zpět na Microsoft Sentinel incident tím, že nakonfigurujete playbook tak, aby obsahoval název incidentu, důležitá pole a adresu URL incidentu Microsoft Sentinel v lístku ServiceNow.

Orchestrace: Řízení fronty incidentů z chatovací platformy SOC

Pokud je váš Microsoft Sentinel incident vytvořený z pravidla upozornění a analýzy, které generuje entity uživatelského jména a IP adresy, nakonfigurujte incident tak, aby aktivoval pravidlo automatizace, které spustí playbook, a prostřednictvím standardních komunikačních kanálů se obraťte na svůj tým.

Nakonfigurujte playbook pomocí následujících kroků:

  1. Po vytvoření incidentu spusťte playbook. Entity reprezentované v incidentu jsou uložené v dynamických polích triggeru incidentu.

  2. Nakonfigurujte playbook tak, aby odesílal zprávu do komunikačního kanálu operací zabezpečení, například v Microsoft Teams nebo Slacku , a ujistěte se, že analytici zabezpečení o incidentu vědí.

  3. Nakonfigurujte playbook tak, aby se všechny informace v upozornění odesílaly e-mailem vedoucímu správci sítě a správci zabezpečení. E-mailová zpráva obsahuje přepínače Blokovat a Ignorovat uživatele.

  4. Nakonfigurujte playbook tak, aby počkal na přijetí odpovědi od správců, a pak pokračujte ve spuštění.

  5. Pokud správci vyberou Blokovat, nakonfigurujte playbook tak, aby odeslal do brány firewall příkaz, který zablokuje IP adresu ve výstraze, a další příkaz, který Microsoft Entra ID zakázat uživatele.

Okamžitá reakce na hrozby s minimálními lidskými závislostmi

Tato část obsahuje dva příklady, reakce na hrozby ohroženého uživatele a ohroženého počítače.

V případě ohroženého uživatele, například zjištěného službou Microsoft Entra ID Protection:

  1. Playbook spusťte při vytvoření nového incidentu Microsoft Sentinel.

  2. Pro každou entitu uživatele v incidentu, u které existuje podezření na ohrožení zabezpečení, nakonfigurujte playbook tak, aby:

    1. Odešlete uživateli zprávu aplikace Teams s žádostí o potvrzení, že uživatel provedl podezřelou akci.

    2. Zkontrolujte u Microsoft Entra ID Protection a ověřte stav uživatele jako ohrožený. Microsoft Entra ID Protection označí uživatele jako rizikového a použije všechny zásady vynucení, které už jsou nakonfigurované, například k tomu, aby uživatel při příštím přihlášení použil vícefaktorové ověřování.

    Poznámka

    Tato konkrétní Microsoft Entra akce neiniciuje u uživatele žádnou aktivitu vynucení ani neiniciuje žádnou konfiguraci zásad vynucení. Microsoft Entra ID Protection jenom informuje, aby podle potřeby použil všechny už definované zásady. Každé vynucování zcela závisí na vhodných zásadách definovaných v Microsoft Entra ID Protection.

V případě ohroženého počítače, například zjištěného Microsoft Defender for Endpoint:

  1. Playbook spusťte při vytvoření nového incidentu Microsoft Sentinel.

  2. Nakonfigurujte playbook pomocí akce Entity – Získat hostitele , která parsuje podezřelé počítače, které jsou součástí entit incidentu.

  3. Nakonfigurujte playbook tak, aby vystavil příkaz k Microsoft Defender for Endpoint k izolaci počítačů v upozornění.

Odpovědět ručně během vyšetřování nebo při proaktivním vyhledávání bez opuštění kontextu

Pomocí triggeru entity můžete provést okamžitou akci s jednotlivými aktéry hrozeb, které během vyšetřování objevíte, a to jeden po druhém, přímo v rámci vyšetřování. Tato možnost je k dispozici také v kontextu proaktivního vyhledávání hrozeb bez připojení k žádnému konkrétnímu incidentu.

Vyberte entitu v kontextu a proveďte s ní akce přímo tam, což šetří čas a snižuje složitost.

Playbooky s triggery entit podporují akce, jako jsou:

  • Blokování ohroženého uživatele
  • Blokování provozu ze škodlivé IP adresy v bráně firewall
  • Izolace ohroženého hostitele ve vaší síti
  • Přidání IP adresy do seznamu bezpečných/nebezpečných adres ke zhlédnutí nebo do externí databáze pro správu konfigurace (CMDB)
  • Získání sestavy hodnoty hash souboru z externího zdroje analýzy hrozeb a přidání do incidentu jako komentáře

Tato část obsahuje seznam doporučených playbooků a další podobné playbooky jsou dostupné v centru Obsahu nebo v úložišti Microsoft Sentinel GitHub.

Šablony playbooků pro oznámení

Playbooky oznámení se aktivují při vytvoření výstrahy nebo incidentu a odešlou oznámení do nakonfigurovaného cíle:

Scénáře Složka v
Úložiště GitHub		 Řešení v centru obsahu/
Azure Marketplace
Publikování zprávy v kanálu Microsoft Teams Týmy post-message-teams Sentinel řešení SOAR Essentials
Odeslání e-mailového oznámení v Outlooku Odeslat základní e-mail Sentinel řešení SOAR Essentials
Publikování zprávy v kanálu Slacku Post-Message-Slack Sentinel řešení SOAR Essentials
Odeslání adaptivní karty Microsoft Teams při vytváření incidentu Odeslání týmové adaptivní karty při vytvoření incidentu Sentinel řešení SOAR Essentials

Blokující šablony playbooků

Blokující playbooky se aktivují při vytvoření výstrahy nebo incidentu, shromažďují informace o entitách, jako je účet, IP adresa a hostitel, a blokují je v dalších akcích:

Scénáře Složka v
Úložiště GitHub		 Řešení v centru obsahu/
Azure Marketplace
Blokování IP adresy v Azure Firewall AzureFirewall –BlockIP-addNewRule Azure Firewall Řešení pro Sentinel
Blokování uživatele Microsoft Entra Block-AADUser Microsoft Entra řešení
Resetování uživatelského hesla Microsoft Entra Reset-AADUserPassword Microsoft Entra řešení
Izolace nebo izolování zařízení pomocí
Microsoft Defender for Endpoint		 Isolate-MDEMachine
Unisolate-MDEMachine		 Microsoft Defender for Endpoint řešení

Vytvoření, aktualizace nebo zavření šablon playbooků

Vytváření, aktualizace nebo zavírání playbooků může vytvářet, aktualizovat nebo zavírat incidenty v Microsoft Sentinel, službách zabezpečení Microsoft 365 nebo jiných systémech lístků:

Scénáře Složka v
Úložiště GitHub		 Řešení v centru obsahu/
Azure Marketplace
Vytvoření incidentu pomocí Microsoft Forms CreateIncident-MicrosoftForms Sentinel řešení SOAR Essentials
Spojení výstrah s incidenty relateAlertsToIncident-basedOnIP Sentinel řešení SOAR Essentials
Vytvoření incidentu Service Now Vytvoření ServiceNow záznamu ServiceNow řešení

Běžně používané konfigurace playbooku

Tato část obsahuje ukázkové snímky obrazovky pro běžně používané konfigurace playbooku, včetně aktualizace incidentu, použití podrobností incidentu, přidání komentářů k incidentu nebo zakázání uživatele.

Aktualizace incidentu

Tato část obsahuje ukázkové snímky obrazovky, jak můžete pomocí playbooku aktualizovat incident na základě nového incidentu nebo upozornění.

Aktualizace incidentu na základě nového incidentu (triggeru incidentu):

Snímek obrazovky s ukázkou jednoduchého toku aktualizace triggeru incidentu

Aktualizace incidentu na základě nové výstrahy (aktivační událost upozornění):

Snímek obrazovky s ukázkou jednoduchého toku incidentu aktualizace s aktivací upozornění

Použití podrobností incidentů v toku

V této části najdete ukázkové snímky obrazovky, které vám pomůžou použít playbook k použití podrobností incidentů jinde v toku:

Odeslání podrobností o incidentu poštou pomocí playbooku aktivovaného novým incidentem:

Snímek obrazovky s jednoduchým příkladem toku get triggeru incidentu

Odeslání podrobností o incidentu poštou pomocí playbooku aktivovaného novou výstrahou:

Snímek obrazovky s jednoduchým příkladem toku incidentu get

Přidání komentáře k incidentu

V této části najdete ukázkové snímky obrazovky, jak můžete pomocí playbooku přidat komentáře k incidentu:

Přidání komentáře k incidentu pomocí playbooku aktivovaného novým incidentem:

Snímek obrazovky s jednoduchým příkladem přidání komentáře k triggeru incidentu

Přidání komentáře k incidentu pomocí playbooku aktivovaného novou výstrahou:

Snímek obrazovky s jednoduchým příkladem přidání komentáře k triggeru upozornění

Zakázání uživatele

Následující snímek obrazovky ukazuje příklad použití playbooku k zakázání uživatelského účtu na základě triggeru Microsoft Sentinel entity:

Snímek obrazovky znázorňující akce, které je potřeba provést v playbooku s triggerem entity a zakázat uživatele

Související obsah

  • Last updated on