Sdílet prostřednictvím

Vytvoření a provádění úkolů týkajících se incidentů v Microsoft Sentinelu pomocí scénářů.

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tento článek vysvětluje, jak pomocí playbooků vytvářet a volitelně provádět úlohy incidentů ke správě složitých procesů pracovních postupů analytiků v Microsoft Sentinelu.

Pomocí akce Přidat úkol v playbooku v konektoru Microsoft Sentinelu můžete automaticky přidat úkol k incidentu, který playbook aktivoval. Podporují se pracovní postupy Standard i Consumption.

Návod

Úkoly incidentů je možné vytvářet automaticky nejen pomocí playbooků, ale také pomocí pravidel automatizace, a také ručně, podle potřeby, v rámci incidentu.

Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu.

Požadavky

  • K zobrazení a úpravám incidentů je potřeba role Responder služby Microsoft Sentinel , která je nutná k přidání, zobrazení a úpravám úkolů.

  • K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Pro Logic Apps .

Další informace najdete v požadavcích playbooku Microsoft Sentinel.

Přidání úkolu a jeho provedení pomocí playbooku

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která provede následující:

  • Přidá do incidentu úkol a resetuje ohrožené heslo uživatele.
  • Přidá další akci playbooku pro odeslání signálu službě Microsoft Entra ID Protection (AADIP), která skutečně resetuje heslo.
  • Přidá poslední akci playbooku, která označí úkol v incidentu jako dokončený.

Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:

  1. Z konektoru Microsoft Sentinel přidejte akci Přidat úlohu k incidentu a pak:

    1. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.

    2. Jako název zadejte Resetovat uživatelské heslo.

    3. Přidejte volitelný popis.

    Například:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu pro resetování hesla uživatele

  2. Přidejte akci Entity – Získání účtů (Preview) Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit . Například:

    Tento snímek obrazovky znázorňuje akce playbooku k získání entit účtu v incidentu.

  3. Přidejte smyčku For each z knihovny ovládacích akcí. Přidejte položku dynamického obsahu Účty z výstupu Entit – Získat účty do pole Vybrat výstup z předchozích kroků. Například:

    Snímek obrazovky ukazuje, jak přidat smyčku pro každou položku do plánu, aby bylo možné provést akci u každého zjištěného účtu.

  4. Uvnitř smyčky Pro každou vyberte Přidat akci. Potom:

    1. Vyhledejte a vyberte konektor Microsoft Entra ID Protection .
    2. Vyberte akci Potvrdit rizikového uživatele jako ohroženého uživatele (Preview).
    3. Do pole UserIds Item – 1 přidejte položku dynamického obsahu ID uživatele Microsoft Entra.

    Tato akce spouští procesy v rámci Microsoft Entra ID Protection k obnovení hesla uživatele.

    Snímek obrazovky znázorňující odesílání entit do AADIP k potvrzení ohrožení zabezpečení

    Poznámka:

    Pole ID uživatele účtů Microsoft Entra je jedním ze způsobů, jak identifikovat uživatele v AADIP. Nemusí to být nutně nejlepší způsob v každém scénáři, ale je zde uveden jako příklad.

    Pokud potřebujete pomoc, obraťte se na další playbooky, které zpracovávají ohrožené uživatele, nebo dokumentaci k Microsoft Entra ID Protection.

  5. Přidejte akci označit úkol jako dokončený z konektoru Microsoft Sentinelu a přidejte položku dynamického obsahu ID úkolu incidentu do pole ARM ID úkolu. Například:

    Snímek obrazovky ukazuje, jak přidat akci playbooku pro označení úkolu incidentu jako dokončeného.

Použití playbooku k podmíněnému přidání úkolu

Tato část obsahuje ukázkový postup pro přidání akce v rámci playbooku, která zkoumá IP adresu, jež se vyskytne v incidentu.

  • Pokud výsledky tohoto výzkumu ukazují, že IP adresa je škodlivá, playbook vytvoří úkol pro analytika, aby zakázal uživatele využívajícího tuto IP adresu.
  • Pokud IP adresa není známá škodlivá adresa, playbook vytvoří další úkol, aby analytik mohl kontaktovat uživatele a ověřit aktivitu.

Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:

  1. Z konektoru Microsoft Sentinel přidejte akci Entity – Získat IP adresy . Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit . Například:

    Snímek obrazovky znázorňuje akce playbooku k získání IP adres entit v incidentu.

  2. Přidejte smyčku For each z knihovny ovládacích akcí. Přidejte položku dynamického obsahu IP z výstupu Entities - Get IPs do pole Vyberte výstup z předchozích kroků. Například:

    Snímek obrazovky ukazuje, jak přidat akci typu for-each smyčku do pracovního plánu, aby se provedla akce na každou zjištěnou IP adresu.

  3. Uvnitř smyčky Pro každou vyberte Přidat akci a pak:

    1. Vyhledejte a vyberte konektor Virus Total .
    2. Vyberte akci Získat sestavu IP adres (Preview).
    3. Přidejte položku dynamického obsahu IP adresy z entit – Získání výstupu IP adres do pole IP adresa .

    Například:

    Snímek obrazovky ukazuje odeslání požadavku na Virus Total pro report IP adresy.

  4. Uvnitř smyčky Pro každou vyberte Přidat akci a pak:

    1. Přidejte podmínku z knihovny akcí ovládacího prvku .
    2. Přidejte položku Statistiky poslední analýzy Malicious dynamického obsahu ze výstupu Získat sestavu IP. Možná budete muset vybrat Zobrazit více , abyste ho našli.
    3. Vyberte operátor větší než a zadejte 0 jako hodnotu.

    Tato podmínka položí otázku "Má zpráva o celkovém počtu IP virů nějaké výsledky?" Například:

    Snímek obrazovky ukazuje, jak v playbooku nastavit podmínku true-false.

  5. Uvnitř možnosti True vyberte Přidat akci a pak:

    1. V konektoru Microsoft Sentinel vyberte akci Přidat úkol k incidentu.
    2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
    3. Zadejte Označit uživatele jako kompromitovaného jako Název.
    4. Přidejte volitelný popis.

    Například:

    Snímek obrazovky znázorňující akce playbooku pro přidání úkolu pro označení uživatele jako ohroženého

  6. V možnosti False vyberte Přidat akci a pak:

    1. V konektoru Microsoft Sentinel vyberte akci Přidat úkol k incidentu.
    2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
    3. Zadejte Oslovit uživatele k potvrzení aktivity jako Název.
    4. Přidejte volitelný popis.

    Například:

    Snímek obrazovky, který znázorňuje akce playbooku pro přidání úkolu uživateli k potvrzení aktivity.

Související obsah

Další informace najdete tady:

  • Last updated on