Automatizace a spouštění playbooků Microsoft Sentinel

Playbooky jsou kolekce procedur, které je možné spustit od Microsoft Sentinel v reakci na celý incident, jednotlivou výstrahu nebo konkrétní entitu. Playbook může pomoct automatizovat a orchestrovat vaši odpověď a dá se nastavit tak, aby se automaticky spouštěl při vygenerování konkrétních výstrah nebo při vytváření nebo aktualizaci incidentů tím, že se připojí k pravidlu automatizace. Můžete ho také spustit ručně na vyžádání pro konkrétní incidenty, výstrahy nebo entity.

Tento článek popisuje, jak připojit playbooky k analytickým nebo automatizačním pravidlům nebo jak playbooky spouštět ručně pro konkrétní incidenty, výstrahy nebo entity.

Poznámka

Playbooky v Microsoft Sentinel jsou založené na pracovních postupech integrovaných v Azure Logic Apps, což znamená, že získáte všechny možnosti, přizpůsobitelnost a předdefinované šablony Logic Apps. Můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Než začnete, ujistěte se, že máte k dispozici playbook pro automatizaci nebo spuštění s definovaným triggerem, podmínkami a akcemi. Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.

Požadované role Azure ke spouštění playbooků

Ke spouštění playbooků potřebujete následující Azure role:

Role	Popis
Vlastník	Umožňuje udělit přístup k playbookům ve skupině prostředků.
Přispěvatel Microsoft Sentinel	Připojení playbooku k analytickému pravidlu nebo pravidlu automatizace
Microsoft Sentinel Respondér	Přístup k incidentu za účelem ručního spuštění playbooku Ke skutečnému spuštění playbooku potřebujete také následující role: - Microsoft Sentinel operátor playbooku pro ruční spuštění playbooku - Microsoft Sentinel roli Přispěvatel služby Automation, aby pravidla automatizace mohla spouštět playbooky.

Další informace najdete v tématu Požadavky playbooku.

Další oprávnění požadovaná ke spouštění playbooků pro incidenty

Microsoft Sentinel používá účet služby ke spouštění playbooků pro incidenty, k přidání zabezpečení a povolení rozhraní API pravidel automatizace pro podporu případů použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidentem nebo při ručním spuštění playbooku pro konkrétní incident.

Kromě vašich vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role přispěvatele služby Microsoft Sentinel Automation. Jakmile má Microsoft Sentinel tuto roli, může spustit libovolný playbook v příslušné skupině prostředků ručně nebo z pravidla automatizace.

Pokud chcete Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů. Ke spuštění playbooků budete také potřebovat roli Přispěvatel aplikací logiky ve skupině prostředků, která obsahuje playbooky, které chcete spustit.

Konfigurace oprávnění playbooku pro incidenty ve víceklientských nasazeních

Pokud je ve víceklientské nasazení playbook, který chcete spustit, v jiném tenantovi, musíte účtu služby Microsoft Sentinel udělit oprávnění ke spuštění playbooku v tenantovi playbooku.

1. V navigační nabídce Microsoft Sentinel v tenantovi playbooků vyberte Nastavení.

2. Na stránce Nastavení vyberte kartu Nastavení a pak rozbalte oprávnění playbooku .

3. Výběrem tlačítka Konfigurovat oprávnění otevřete panel Spravovat oprávnění .

4. Zaškrtněte políčka u skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít. Příklady:

   

Vy sami musíte mít oprávnění vlastníka pro každou skupinu prostředků, které chcete udělit oprávnění Microsoft Sentinel, a roli operátora Microsoft Sentinel Playbooku musíte mít u každé skupiny prostředků obsahující playbooky, které chcete spustit.

Pokud ve scénáři MSSP chcete spustit playbook v tenantovi zákazníka z pravidla automatizace vytvořeného při přihlášení k tenantovi poskytovatele služeb, musíte Microsoft Sentinel udělit oprávnění ke spuštění playbooku v obou tenantech:

• V tenantovi zákazníka postupujte podle standardních pokynů pro víceklientského nasazení.

• V tenantovi poskytovatele služeb přidejte aplikaci Azure Security Insights do šablony onboardingu Azure Lighthouse následujícím způsobem:

  1. V Azure Portal přejděte na Microsoft Entra ID a vyberte Podnikové aplikace.
  2. Vyberte Typ aplikace a vyfiltrujte aplikace Microsoftu.
  3. Do vyhledávacího pole zadejte Azure Přehledy zabezpečení.
  4. Zkopírujte pole ID objektu . Tuto dodatečnou autorizaci musíte přidat ke stávajícímu delegování Azure Lighthouse.

Role přispěvatele služby Microsoft Sentinel Automation má pevný identifikátor GUID f4c81013-99ee-4d62-a7ee-b3f1f648599a. Ukázková autorizace Azure Lighthouse by v šabloně parametrů vypadala takto:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatizace reakcí na incidenty a výstrahy

Pokud chcete automaticky reagovat na celé incidenty nebo jednotlivé výstrahy pomocí playbooku, vytvořte pravidlo automatizace, které se spustí při vytvoření nebo aktualizaci incidentu nebo při vygenerování výstrahy. Toto pravidlo automatizace zahrnuje krok, který volá playbook, který chcete použít.

Vytvoření pravidla automatizace:

1. Na stránce Automation v navigační nabídce Microsoft Sentinel vyberte Vytvořit v horní nabídce a pak pravidlo automatizace. Příklady:

   

2. Otevře se panel Vytvořit nové pravidlo automatizace . Zadejte název pravidla. Vaše možnosti se liší v závislosti na tom, jestli je váš pracovní prostor onboardovaný na portálu Microsoft Defender. Příklady:

   Nasazené pracovní prostory

   

   Pracovní prostory, které nejsou onboardované

   

3. Aktivační událost: Vyberte příslušný trigger podle okolností, pro které vytváříte pravidlo automatizace – Při vytvoření incidentu, Při aktualizaci incidentu nebo Při vytvoření upozornění.

4. Podmínky:

   1. Pokud váš pracovní prostor ještě není onboardovaný na portálu Defender, můžou mít incidenty dva možné zdroje:

      • Incidenty je možné vytvářet uvnitř Microsoft Sentinel
      • Incidenty je možné importovat z Microsoft Defender XDR a synchronizovat s.

      Pokud jste vybrali jeden z aktivačních událostí incidentu a chcete, aby se pravidlo automatizace projevilo pouze u incidentů z Microsoft Sentinel nebo alternativně v Microsoft Defender XDR, zadejte zdroj v podmínce Pokud se poskytovatel incidentu rovná.

      Tato podmínka se zobrazí jenom v případě, že je vybraná aktivační událost incidentu a váš pracovní prostor není onboardovaný na portálu Defender.

   2. Pokud chcete, aby se pravidlo automatizace projevilo pouze u určitých analytických pravidel, určete u všech typů triggerů, které z nich upravíte úpravou podmínky If Analytics rule name (Pokud název pravidla analýzy obsahuje ).

   3. Přidejte všechny další podmínky, které chcete určit, jestli se toto pravidlo automatizace spustí. Vyberte + Přidat a v rozevíracím seznamu vyberte podmínky nebo skupiny podmínek . Seznam podmínek se naplní podrobnostmi výstrahy a poli identifikátoru entity.

5. Akce:

   1. Vzhledem k tomu, že toto pravidlo automatizace používáte ke spuštění playbooku, vyberte v rozevíracím seznamu akci Spustit playbook . Pak budete vyzváni k výběru z druhého rozevíracího seznamu, který zobrazuje dostupné playbooky. Pravidlo automatizace může spouštět jenom ty playbooky, které se spouští se stejným triggerem (incidentem nebo výstrahou) jako trigger definovaný v pravidle, takže se v seznamu zobrazí jenom tyto playbooky.

      Pokud se playbook v rozevíracím seznamu zobrazuje šedě, znamená to, že Microsoft Sentinel nemá oprávnění ke skupině prostředků daného playbooku. Výběrem odkazu Spravovat oprávnění playbooku přiřaďte oprávnění.

      Na panelu Spravovat oprávnění , který se otevře, zaškrtněte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít. Příklady:

      

      Vy sami musíte mít oprávnění vlastníka pro každou skupinu prostředků, které chcete udělit oprávnění Microsoft Sentinel, a roli operátora Microsoft Sentinel Playbooku musíte mít u každé skupiny prostředků obsahující playbooky, které chcete spustit.

      Další informace najdete v tématu Další oprávnění požadovaná ke spouštění playbooků u incidentů.

   2. Přidejte všechny další akce, které chcete pro toto pravidlo použít. Pořadí provádění akcí můžete změnit tak, že vyberete šipku nahoru nebo dolů napravo od libovolné akce.

6. Pokud chcete, aby pravidlo automatizace mělo datum vypršení platnosti, nastavte ho.

7. V části Pořadí zadejte číslo, abyste zjistili, kde se v posloupnosti pravidel automatizace toto pravidlo spouští.

8. Vyberte Použít a dokončete automatizaci.

Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.

Reakce na upozornění – starší metoda

Dalším způsobem, jak automaticky spouštět playbooky v reakci na upozornění, je jejich volání z analytického pravidla. Když pravidlo vygeneruje upozornění, playbook se spustí.

Tato metoda bude od března 2026 zastaralá.

Od června 2023 už tímto způsobem nemůžete do analytických pravidel přidávat playbooky. Stále ale uvidíte stávající playbooky volané z analytických pravidel a tyto playbooky poběží až do března 2026. Důrazně doporučujeme , abyste vytvořili pravidla automatizace, která budou tyto playbooky volat dříve .

Ruční spuštění playbooku na vyžádání

Playbook můžete také spustit ručně na vyžádání, ať už v reakci na výstrahy, incidenty nebo entity. To může být užitečné v situacích, kdy potřebujete více lidského vstupu do procesů orchestrace a odezvy a kontrolu nad nimi.

Ruční spuštění playbooku pro výstrahu

Tento postup není na portálu Defender podporován.

V Azure Portal vyberte jednu z následujících karet podle potřeby pro vaše prostředí:

Stránka s podrobnostmi incidentu

1. Na stránce Incidenty vyberte incident a pak výběrem možnosti Zobrazit úplné podrobnosti otevřete stránku podrobností incidentu.

2. Na stránce s podrobnostmi incidentu vyberte ve widgetu Časová osa incidentu výstrahu, pro kterou chcete playbook spustit. Vyberte tři tečky na konci řádku upozornění a v místní nabídce vyberte Spustit playbook .

   

3. Otevře se podokno Playbooky upozornění . Zobrazí se seznam všech playbooků nakonfigurovaných pomocí triggeru Microsoft Sentinel Alert Logic Apps, ke kterému máte přístup.

4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

Graf šetření

1. Na stránce Incidenty vyberte incident a pak výběrem možnosti Zobrazit úplné podrobnosti otevřete stránku podrobností incidentu.

2. Na stránce s podrobnostmi incidentu vyberte kartu Výstrahy , vyberte výstrahu, pro kterou chcete playbook spustit, a na konci řádku této výstrahy vyberte odkaz Zobrazit playbooky .

3. Otevře se podokno Playbooky upozornění . Zobrazí se seznam všech playbooků nakonfigurovaných pomocí triggeru Microsoft Sentinel Alert Logic Apps, ke kterému máte přístup.

4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

Historii spuštění playbooků v upozornění můžete zobrazit tak, že v podokně Playbooky upozornění vyberete kartu Spuštění. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Když vyberete konkrétní spuštění, otevře se v Logic Apps úplný protokol spuštění.

Ruční spuštění playbooku u incidentu

Tento postup se liší podle toho, jestli pracujete na Azure Portal nebo na portálu Defender. Vyberte příslušnou kartu pro vaše prostředí:

Azure Portal

1. Na stránce Incidenty vyberte incident.

2. V podokně podrobností incidentu, které se zobrazí na straně, vyberte Playbook Spustit akce>.

   Když vyberete tři tečky na konci řádku incidentu v mřížce nebo kliknete pravým tlačítkem na incident, zobrazí se stejný seznam jako tlačítko Akce .

3. Na bočním panelu se otevře playbook Spustit na incidentu . Zobrazí se seznam všech playbooků nakonfigurovaných pomocí triggeru Microsoft Sentinel Incident Logic Apps, ke kterému máte přístup.

   Pokud v seznamu nevidíte playbook, který chcete spustit, znamená to, že Microsoft Sentinel nemá oprávnění ke spouštění playbooků v této skupině prostředků.

   Pokud chcete tato oprávnění udělit, vyberte Nastavení>Nastavení> Oprávnění >PlaybookuKonfigurovat oprávnění. Na panelu Spravovat oprávnění , který se otevře, zaškrtněte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

   Informace najdete v tématu Další oprávnění požadovaná ke spouštění playbooků u incidentů.

4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

   U jakékoli skupiny prostředků obsahující playbooky, které chcete spustit, musíte mít roli operátora Microsoft Sentinel playbooku. Pokud nemůžete playbook spustit kvůli chybějícím oprávněním, doporučujeme kontaktovat správce a udělit vám příslušná oprávnění. Další informace najdete v tématu požadavky Microsoft Sentinel playbooku.

Portál Microsoft Defender

1. Na stránce Incidenty vyberte incident.

2. V podokně podrobností incidentu, které se zobrazí na straně, vyberte Spustit playbook.

3. Na straně se otevře panel Spustit playbook na incidentu se všemi souvisejícími playbooky pro vybraný incident. Ve sloupci Akce vyberte Spustit playbook pro playbook, který chcete spustit okamžitě.

Ve sloupci Akce se také může zobrazit jeden z následujících stavů:

Stav	Vyžaduje se popis a akce.
Chybějící oprávnění	U jakékoli skupiny prostředků obsahující playbooky, které chcete spustit, musíte mít roli operátora Microsoft Sentinel Playbook. Pokud vám chybí oprávnění, doporučujeme kontaktovat správce a udělit vám příslušná oprávnění. Další informace najdete v tématu požadavky Microsoft Sentinel playbooku.
Udělení oprávnění	Microsoft Sentinel chybí role přispěvatele Microsoft Sentinel Automation, která se vyžaduje ke spouštění playbooků pro incidenty. V takových případech vyberte Udělit oprávnění a otevřete podokno Spravovat oprávnění . Podokno Spravovat oprávnění se ve výchozím nastavení filtruje na skupinu prostředků vybraného playbooku. Vyberte skupinu prostředků a pak výběrem možnosti Použít udělte požadovaná oprávnění. Ve skupině prostředků, které chcete udělit oprávnění k Microsoft Sentinel, musíte být vlastníkem nebo správcem uživatelských přístupů. Pokud vám chybí oprávnění, skupina prostředků se zobrazí šedě a nemůžete ji vybrat. V takových případech doporučujeme kontaktovat správce a udělit vám příslušná oprávnění. Další informace najdete v tématu Další oprávnění požadovaná ke spouštění playbooků u incidentů.

Historii spuštění playbooků pro incident zobrazíte tak, že na panelu Spustit playbook na incidentu vyberete kartu Spuštění. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Když vyberete konkrétní spuštění, otevře se v Logic Apps úplný protokol spuštění.

Ruční spuštění playbooku na entitě

Tento postup není na portálu Defender podporován.

V závislosti na kontextu původu vyberte entitu jedním z následujících způsobů:

Stránka s podrobnostmi incidentu (nová)

Pokud jste na stránce s podrobnostmi o incidentu (nová verze):

Ve widgetu Entity na kartě Přehled vyhledejte svoji entitu a udělejte jednu z těchto věcí:

• Nevybírejte entitu. Místo toho vyberte tři tečky napravo od entity a pak vyberte Spustit playbook. Vyhledejte playbook, který chcete spustit, a v řádku daného playbooku vyberte Spustit .

• Výběrem entity otevřete kartu Entity na stránce s podrobnostmi incidentu. Vyhledejte entitu v seznamu a vyberte tři tečky napravo. Vyhledejte playbook, který chcete spustit, a v řádku daného playbooku vyberte Spustit .

• Vyberte entitu a přejděte k podrobnostem o entitě. Pak na levém panelu vyberte tlačítko Spustit playbook . Vyhledejte playbook, který chcete spustit, a v řádku daného playbooku vyberte Spustit .

Stránka s podrobnostmi o incidentu (starší verze)

Pokud jste na stránce s podrobnostmi o incidentu (starší verze):

1. Vyberte kartu Entity incidentu a vyhledejte entitu v seznamu.

2. Udělejte jedno z následujícího:

   • Na konci řádku entity v seznamu vyberte odkaz Spustit playbook .
   • Výběrem entity přejděte na stránku podrobností entity a na levém panelu vyberte tlačítko Spustit playbook .

3. Vyhledejte playbook, který chcete spustit, a v řádku daného playbooku vyberte Spustit .

Graf šetření

Pokud jste v grafu Šetření:

1. Vyberte entitu v grafu a pak na bočním panelu entity vyberte tlačítko Spustit playbook .

   U některých typů entit možná budete muset vybrat tlačítko Akce entity a ve výsledné nabídce vybrat Spustit playbook.

2. Vyhledejte playbook, který chcete spustit, a v řádku daného playbooku vyberte Spustit .

Aktivní proaktivní proaktivní vyhledávání

Pokud aktivně vyhledáváte hrozby:

1. Na obrazovce Chování entity vyberte entitu ze seznamů na stránce nebo vyhledejte a vyberte jinou entitu.
2. Na stránce entity vyberte tlačítko Spustit playbook na levém panelu.
3. Vyhledejte playbook, který chcete spustit, a v řádku daného playbooku vyberte Spustit .

Bez ohledu na kontext, ze kterých jste pochází, je posledním krokem v tomto postupu playbook Spustit na <panelu typu> entity. Tento panel zobrazuje seznam všech playbooků, ke kterým máte přístup a které byly nakonfigurované pomocí triggeru Microsoft Sentinel Entity Logic Apps pro vybraný typ entity.

V podokně *Spustit playbook pro <typ> entity vyberte kartu Spuštění a zobrazte historii spuštění playbooku pro danou entitu. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Když vyberete konkrétní spuštění, otevře se v Logic Apps úplný protokol spuštění.

Související obsah

Další informace najdete tady:

• Vytváření a správa playbooků Microsoft Sentinel
• Automatizace reakce na hrozby v Microsoft Sentinel pomocí pravidel automatizace