Vytváření a provádění úloh incidentů v Microsoft Sentinelu pomocí playbooků
Tento článek vysvětluje, jak pomocí playbooků vytvářet (a volitelně provádět) úlohy incidentů, aby bylo možné spravovat složité procesy pracovních postupů analytiků v Microsoft Sentinelu.
Úkoly incidentů je možné vytvářet automaticky nejen playbooky, ale také pravidly automatizace, a také ručně, ad hoc, z incidentu.
Případy použití pro různé role
Tento článek se zabývá následujícími scénáři, které platí pro manažery SOC, vedoucí analytiky a techniky automatizace:
Další scénáře pro tuto cílovou skupinu jsou řešeny v následujícím doprovodném článku:
- Zobrazení pravidel automatizace pomocí akcí úkolů incidentů
- Přidání úkolů do incidentů pomocí pravidel automatizace
Další článek na následujících odkazech se zabývá scénáři, které se týkají analytiků SOC:
Požadavky
K zobrazení a úpravám incidentů je potřeba role Responder služby Microsoft Sentinel, která je nutná k přidání, zobrazení a úpravám úkolů.
K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Pro Logic Apps.
Přidání úkolů do incidentů pomocí playbooků
Pomocí akce Přidat úkol v playbooku (v konektoru Microsoft Sentinel) můžete automaticky přidat úkol do incidentu, který playbook aktivoval.
Podle těchto pokynů vytvořte playbook založený na triggeru incidentu. (Můžete použít standardní pracovní postup nebo pracovní postup Consumption.)
S playbooky můžete pracovat dvěma způsoby, jak generovat úkoly:
Přidání úkolu a jeho provedení pomocí playbooku
V tomto příkladu přidáme akci playbooku, která do incidentu přidá úkol k resetování hesla ohroženého uživatele, a přidáme další akci playbooku, která odešle signál microsoftu Entra ID Protection (AADIP), aby se heslo skutečně resetoval. Pak přidáme poslední akci playbooku, která označí úkol v incidentu jako dokončený.
Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:
Z konektoru Microsoft Sentinel přidejte úlohu Přidat do akce incidentu .
Zvolte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu. Jako název zadejte Resetovat uživatelské heslo. Pokud chcete, přidejte popis.
Přidání akce Entity – Získání účtů (Preview)
Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit.
Přidejte smyčku For each z knihovny akcí ovládacích prvků .
Přidejte položku dynamického obsahu Účty z entit – Získání výstupu účtů do pole Vybrat výstup z předchozího postupu.
Uvnitř smyčky Pro každou smyčku vyberte Přidat akci.
Vyhledejte a vyberte konektor Microsoft Entra ID Protection a vyberte akci Potvrdit rizikového uživatele jako ohroženého uživatele (Preview).
Do pole UserIds Item – 1 přidejte položku dynamického obsahu ID uživatele Microsoft Entra.Poznámka:
Toto pole (účty Microsoft Entra ID uživatele) je jedním ze způsobů, jak identifikovat uživatele v AADIP. Nemusí to být nutně nejlepší způsob v každém scénáři, ale je zde uveden jako příklad. Pokud potřebujete pomoc, obraťte se na další playbooky, které zpracovávají ohrožené uživatele, nebo dokumentaci k Microsoft Entra ID Protection.
Tato akce se nastavuje v procesech pohybu uvnitř microsoft Entra ID Protection, která resetuje heslo uživatele.
Přidejte označit úkol jako dokončenou akci z konektoru Microsoft Sentinelu.
Přidejte položku dynamického obsahu ID úkolu incidentu do pole ID ARM úkolu.
Použití playbooku k podmíněnému přidání úkolu
V tomto příkladu přidáme akci playbooku, která zkoumá IP adresu, která se zobrazí v incidentu. Pokud jsou výsledky tohoto výzkumu v tom, že IP adresa je škodlivá, playbook vytvoří pro analytika úkol, aby zakázal uživatele, který tuto IP adresu používá. Pokud IP adresa není známá škodlivá adresa, playbook vytvoří jiný úkol, aby analytik kontaktoval uživatele a ověřil aktivitu.
Z konektoru Microsoft Sentinel přidejte akci Entity – Získat IP adresy .
Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit.
Přidejte smyčku For each z knihovny akcí ovládacích prvků .
Přidejte položku dynamického obsahu IP z entit – Získání výstupu IP adres do pole Vybrat výstup z předchozího postupu.
Uvnitř smyčky Pro každou smyčku vyberte Přidat akci.
Vyhledejte a vyberte konektor Virus Total a vyberte akci Získat sestavu IP (Preview).
Přidejte položku dynamického obsahu IP adresy z entit – Získání výstupu IP adres do pole IP adresa.
Uvnitř smyčky Pro každou smyčku vyberte Přidat akci.
Přidejte podmínku z knihovny akcí ovládacího prvku.
Přidejte položku dynamického dynamického obsahu poslední analýzy ze výstupu získání sestavy PROTOKOLU IP (možná budete muset vybrat Možnost Zobrazit více, abyste ji našli), vyberte operátor větší než operátor a jako hodnotu zadejte0hodnotu. Tato podmínka položí otázku "Má zpráva o celkovém počtu IP virů nějaké výsledky?"
Uvnitř možnosti True vyberte Přidat akci.
V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
Zvolte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
Zadejte Označit uživatele jako ohrožený jako název. Pokud chcete, přidejte popis.
V možnosti Nepravda vyberte Přidat akci.
V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
Zvolte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
Zadejte Kontaktovat uživatele a potvrďte aktivitu jako název. Pokud chcete, přidejte popis.
Další kroky
- Přečtěte si další informace o úkolech incidentů.
- Zjistěte, jak vyšetřovat incidenty.
- Naučte se přidávat úkoly do skupin incidentů automaticky pomocí pravidel automatizace.
- Naučte se používat úlohy ke zpracování pracovního postupu incidentů v Microsoft Sentinelu.
- Přečtěte si další informace o playbookech, o tom, jak je vytvořit, a hlavně o práci s akcemi.