Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon
Šablona playbooku je předem připravený, otestovaný a připravený pracovní postup automatizace pro Microsoft Sentinel, který se dá přizpůsobit vašim potřebám. Šablony můžou sloužit také jako referenční informace pro osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.
Šablony playbooků nejsou samotné aktivní playbooky a musíte vytvořit upravitelnou kopii podle svých potřeb.
Mnoho šablon playbooků vyvíjí komunita Microsoft Sentinelu, nezávislí dodavatelé softwaru (ISV) a vlastní odborníci Microsoftu na základě oblíbených scénářů automatizace používaných bezpečnostními centry po celém světě.
Důležité
Šablony playbooků jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
K vytváření a správě playbooků potřebujete přístup k Microsoft Sentinelu pomocí jedné z následujících rolí Azure:
- Přispěvatel aplikací logiky pro úpravy a správu aplikací logiky
- Operátor aplikace logiky pro čtení, povolení a zakázání aplikací logiky
Další informace najdete v požadavcích playbooku Microsoft Sentinel.
Před vytvořením playbooku doporučujeme přečíst si playbooky Azure Logic Apps pro Microsoft Sentinel.
Přístup k šablonům playbooků z následujících zdrojů:
Umístění | Popis |
---|---|
Stránka Microsoft Sentinel Automation | Na kartě Šablony playbooku jsou uvedeny všechny nainstalované playbooky. Vytvořte jeden nebo více aktivních playbooků pomocí stejné šablony. Když publikujeme novou verzi šablony, všechny aktivní playbooky vytvořené z této šablony mají na kartě Aktivní playbooky přidaný další popisek, který indikuje, že je k dispozici aktualizace. |
Stránka centra obsahu služby Microsoft Sentinel | Šablony playbooků jsou k dispozici jako součást produktových řešení nebo samostatného obsahu nainstalovaného z centra obsahu. Další informace najdete tady: . Informace o obsahu a řešeních služby Microsoft Sentinel Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel |
GitHub | Úložiště Microsoft Sentinel Na GitHubu obsahuje mnoho dalších šablon playbooků. Výběrem možnosti Nasadit do Azure nasadíte šablonu do předplatného Azure. |
Šablona playbooku je technicky vzato šablona Azure Resource Manageru (ARM), která se skládá z několika prostředků: pracovního postupu Azure Logic Apps a připojení rozhraní API pro jednotlivá připojení.
Tento článek se zaměřuje na nasazení šablony playbooku z karty Šablony playbooku v části Automatizace.
Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Centra obsahu pro správu>obsahu. Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.
Na stránce Centrum obsahu vyberte Typ obsahu, který chcete filtrovat pro Playbook. Toto filtrované zobrazení obsahuje všechna řešení a samostatný obsah, který obsahuje jednu nebo více šablon playbooků. Nainstalujte řešení nebo samostatný obsah, abyste získali šablonu.
Pak vyberte kartu Šablony playbooku Pro automatizaci>konfigurace>a zobrazte nainstalované šablony. Příklad:
Pokud chcete najít šablonu playbooku, která vyhovuje vašim požadavkům, vyfiltrujte seznam podle následujících kritérií:
Filtr | Popis |
---|---|
Trigger | Filtrujte podle toho, jak se playbook aktivuje, včetně incidentů, výstrah nebo entit. Další informace najdete v tématu Podporované triggery služby Microsoft Sentinel. |
Konektory Logic Apps | Filtrujte podle externích služeb, se kterými playbooky pracují. Během procesu nasazení musí každý konektor předpokládat identitu, která se má ověřit v externí službě. |
Entity | Vyfiltrujte podle typů entit, které playbook očekává, že se v incidentu najde. Například playbook, který bráně firewall říká, aby blokoval IP adresu, očekává, že v incidentu najde IP adresy. Takové incidenty mohou být vytvořeny analytickým pravidlem útoku hrubou silou. |
Značky | Filtrujte podle popisků použitých u playbooku, souvisejícího playbooku s konkrétním scénářem nebo indikující zvláštní charakteristiku. Příklad: - Obohacení – playbooky, které načítají informace z jiné služby a přidají do incidentu kontext. Tyto informace se obvykle přidají jako komentář k incidentu nebo se odesílají do SOC. - Náprava – Playbooky, které podniknou akci s ovlivněnými entitami a eliminují potenciální hrozbu. - Synchronizace – Playbook, který pomáhá udržovat externí službu, například službu správy incidentů, aktualizovat pomocí vlastností incidentu. - Oznámení – Playbooky, které posílají e-mail nebo zprávu - Odpověď z Teams – Playbooky, které analytikům umožňují provést ruční akci z Teams pomocí interaktivních karet. |
Příklad:
Tento postup popisuje, jak nasadit šablony playbooků a je možné je opakovat, aby se vytvořilo více playbooků ze stejné šablony.
I když se většina šablon playbooků dá použít tak, jak jsou, doporučujeme je podle potřeby upravit tak, aby vyhovovaly vašim potřebám SOC.
Na kartě Šablony playbooku vyberte playbook, ze které chcete začít.
Pokud má playbook nějaké požadavky, nezapomeňte postupovat podle pokynů. Příklad:
Některé playbooky volají jiné playbooky jako akce. Tento druhý playbook se označuje jako vnořený playbook. V takovém případě je jedním z předpokladů nasazení vnořeného playbooku.
Některé playbooky vyžadují nasazení vlastního konektoru Logic Apps nebo funkce Azure Functions. V takových případech existuje odkaz Nasadit do Azure , který vás zavede do obecného procesu nasazení šablony ARM.
Výběrem možnosti Vytvořit playbook otevřete průvodce vytvořením playbooku na základě vybrané šablony. Průvodce má čtyři karty:
Základy: Vyhledejte nový playbook, což je prostředek Logic Apps, a pojmenujte ho. Můžete použít výchozí nastavení. Příklad:
Parametry: Zadejte hodnoty specifické pro zákazníky, které playbook používá. Pokud například playbook odešle e-mail na SOC, definujte adresu příjemce. Pokud playbook používá vlastní konektor, musí být nasazen ve stejné skupině prostředků a zobrazí se výzva k zadání názvu na kartě Parametry .
Karta Parametry se zobrazuje jenom v případě, že playbook obsahuje parametry. Příklad:
Připojení: Rozbalte každou akci, abyste viděli existující připojení, která jste vytvořili pro předchozí playbooky. Můžete použít existující připojení nebo vytvořit nové. Příklad:
Pokud chcete vytvořit nové připojení, vyberte Po nasazení vytvořit nové připojení. Tato možnost vás po dokončení procesu nasazení přenese do návrháře Logic Apps.
Vlastní konektory jsou uvedené podle názvu vlastního konektoru zadaného na kartě Parametry .
Pro konektory, které podporují připojení pomocí spravované identity, jako je Microsoft Sentinel, je spravovaná identita výchozí metodou připojení.
Další informace najdete v tématu Ověřování playbooků v Microsoft Sentinelu.
Kontrola a vytvoření: Před vytvořením playbooku zobrazíte souhrn procesu a před vytvořením playbooku očekáváte ověření vstupu.
Po provedení kroků v průvodci vytvořením playbooku na konec přejdete do návrhu pracovního postupu nového playbooku v návrháři Logic Apps. Příklad:
Pro každý konektor, který jste zvolili, vytvořte nové připojení pro po nasazení:
V navigační nabídce vyberte připojení rozhraní API a pak vyberte název připojení. Příklad:
V navigační nabídce vyberte Upravit připojení rozhraní API.
Vyplňte požadované parametry a vyberte Uložit. Příklad:
Další možností je vytvořit nové připojení z příslušných kroků v návrháři Logic Apps:
Pro každý krok, který se zobrazí s chybovým symbolem, ho vyberte, pokud chcete rozbalit a pak vybrat Přidat nový.
Ověřte se podle příslušných pokynů. Další informace najdete v tématu Ověřování playbooků v Microsoft Sentinelu.
Pokud existují další kroky, které používají stejný konektor, rozbalte jejich pole. V seznamu připojení, která se zobrazí, vyberte připojení, které jste právě vytvořili.
Pokud jste se rozhodli použít připojení spravované identity pro Microsoft Sentinel nebo pro jiná podporovaná připojení, nezapomeňte udělit oprávnění k novému playbooku v pracovním prostoru Microsoft Sentinelu nebo relevantním cílovým prostředkům pro jiné konektory.
Uložte playbook. Playbook se zobrazí na kartě Aktivní playbooky .
Pokud chcete playbook spustit, nastavte automatizovanou odpověď nebo ji spusťte ručně. Další informace najdete v tématu Reakce na hrozby pomocí playbooků Microsoft Sentinel.
Pokud chcete nahlásit chybu nebo požádat o vylepšení playbooku, vyberte v podokně podrobností playbooku odkaz Podporováno . Pokud se jedná o playbook podporovaný komunitou, odkaz vás přestěhuje k otevření problému Na GitHubu. Jinak vás nasměruje na stránku pracovníka podpory s informacemi o tom, jak poslat svůj názor.