Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje ukázkový scénář použití playbooku a pravidla automatizace k automatizaci reakce na incidenty a nápravě bezpečnostních hrozeb. Pravidla automatizace pomáhají při třídění incidentů v Microsoft Sentinel a používají se také ke spouštění playbooků v reakci na incidenty nebo výstrahy. Další informace najdete v tématu Automatizace v Microsoft Sentinel: Orchestrace, automatizace a reakce zabezpečení (SOAR).
Ukázkový scénář popsaný v tomto článku popisuje, jak pomocí pravidla automatizace a playbooku zastavit potenciálně ohroženého uživatele při vytvoření incidentu.
Poznámka
Vzhledem k tomu, že playbooky využívají Azure Logic Apps, můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Požadavky
K vytváření a spouštění playbooků v Microsoft Sentinel pomocí Azure Logic Apps se vyžadují následující role.
| Role | Popis |
|---|---|
| Vlastník | Umožňuje udělit přístup k playbookům ve skupině prostředků. |
| Přispěvatel Microsoft Sentinel | Umožňuje připojit playbook k analytickému nebo automatizačnímu pravidlu. |
| Microsoft Sentinel Respondér | Umožňuje přístup k incidentu, abyste mohli playbook spustit ručně, ale neumožňuje spustit playbook. |
| operátor playbooku Microsoft Sentinel | Umožňuje spustit playbook ručně. |
| Přispěvatel služby Microsoft Sentinel Automation | Umožňuje pravidelm automatizace spouštět playbooky. Tato role se nepoužívá k žádným jiným účelům. |
Následující tabulka popisuje požadované role podle toho, jestli pro vytvoření playbooku vyberete aplikaci logiky Consumption nebo Standard:
| Aplikace logiky | Azure rolí | Popis |
|---|---|---|
| Spotřeby | Přispěvatel aplikace logiky | Úpravy a správa aplikací logiky Spusťte playbooky. Neumožňuje udělit přístup k playbookům. |
| Spotřeby | Operátor aplikace logiky | Čtení, povolení a zakázání aplikací logiky Neumožňuje upravovat ani aktualizovat aplikace logiky. |
| Standard | Standardní operátor Logic Apps | Povolení, opětovné odeslání a zakázání pracovních postupů v aplikaci logiky |
| Standard | Standardní vývojář pro Logic Apps | Vytváření a úpravy aplikací logiky |
| Standard | Přispěvatel služby Logic Apps Úrovně Standard | Správa všech aspektů aplikace logiky |
Na kartě Aktivní playbooky na stránce Automatizace se zobrazí všechny aktivní playbooky dostupné ve všech vybraných předplatných. Ve výchozím nastavení je možné playbook použít pouze v rámci předplatného, do kterého patří, pokud výslovně neudělíte Microsoft Sentinel oprávnění ke skupině prostředků playbooku.
Další oprávnění požadovaná ke spouštění playbooků pro incidenty
Microsoft Sentinel používá účet služby ke spouštění playbooků pro incidenty, k přidání zabezpečení a povolení rozhraní API pravidel automatizace pro podporu případů použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidentem nebo při ručním spuštění playbooku pro konkrétní incident.
Kromě vašich vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role přispěvatele služby Microsoft Sentinel Automation. Jakmile má Microsoft Sentinel tuto roli, může spustit libovolný playbook v příslušné skupině prostředků ručně nebo z pravidla automatizace.
Pokud chcete Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů. Ke spuštění playbooků budete také potřebovat roli Přispěvatel aplikací logiky ve skupině prostředků, která obsahuje playbooky, které chcete spustit.
Zastavení potenciálně ohrožených uživatelů
Týmy SOC chtějí zajistit, aby se potenciálně ohrožení uživatelé nemohli pohybovat v síti a krást informace. Doporučujeme vytvořit automatizovanou, mnohostrannou reakci na incidenty generované pravidly, která detekují ohrožené uživatele, aby bylo možné takové scénáře zpracovat.
Nakonfigurujte pravidlo automatizace a playbook tak, aby používaly následující tok:
Pro potenciálně ohroženého uživatele se vytvoří incident a aktivuje se pravidlo automatizace, které zavolá váš playbook.
Playbook otevře lístek ve vašem systému it lístků, například ServiceNow.
Playbook také odešle zprávu do vašeho kanálu operací zabezpečení v Microsoft Teams nebo Slacku, aby se ujistili, že analytici zabezpečení o incidentu vědí.
Playbook také odešle všechny informace v incidentu v e-mailové zprávě vašemu vedoucímu správci sítě a správci zabezpečení. E-mailová zpráva obsahuje přepínače Blokovat a Ignorovat uživatele.
Playbook počká, až dostane odpověď od správců, a pak pokračuje v dalších krocích.
Pokud správci zvolí Blokovat, playbook odešle příkaz Microsoft Entra ID k zakázání uživatele a jeden do brány firewall, aby zablokoval IP adresu.
Pokud správci zvolí Ignorovat, playbook zavře incident v Microsoft Sentinel a lístek v ServiceNow.
Následující snímek obrazovky ukazuje akce a podmínky, které byste přidali při vytváření tohoto ukázkového playbooku:
