Vytváření a provádění úloh incidentů v Microsoft Sentinelu pomocí playbooků

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak pomocí playbooků vytvářet a volitelně provádět úlohy incidentů ke správě složitých procesů pracovních postupů analytiků v Microsoft Sentinelu.

Pomocí akce Přidat úkol v playbooku v konektoru Microsoft Sentinelu můžete automaticky přidat úkol k incidentu, který playbook aktivoval. Podporují se pracovní postupy Standard i Consumption.

Tip

Úkoly incidentů je možné vytvářet automaticky nejen playbooky, ale také pravidly automatizace, a také ručně, ad hoc, z incidentu.

Další informace najdete v tématu Použití úloh ke správě incidentů v Microsoft Sentinelu.

Požadavky

• K zobrazení a úpravám incidentů je potřeba role Responder služby Microsoft Sentinel, která je nutná k přidání, zobrazení a úpravám úkolů.

• K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Pro Logic Apps.

Další informace najdete v požadavcích playbooku Microsoft Sentinel.

Přidání úkolu a jeho provedení pomocí playbooku

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která provede následující akce:

• Přidá do incidentu úkol a resetuje ohrožené heslo uživatele.
• Přidá další akci playbooku pro odeslání signálu službě Microsoft Entra ID Protection (AADIP), která skutečně resetuje heslo.
• Přidá poslední akci playbooku, která označí úkol v incidentu jako dokončený.

Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:

1. Z konektoru Microsoft Sentinel přidejte úlohu Přidat do akce incidentu a pak:

   1. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.

   2. Jako název zadejte Resetovat uživatelské heslo.

   3. Přidejte volitelný popis.

   Příklad:

   

2. Přidání akce Entity – Získání účtů (Preview) Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit. Příklad:

   

3. Přidejte smyčku For each z knihovny akcí ovládacích prvků . Přidejte položku dynamického obsahu Účty z entit – Získání výstupu účtů do pole Vybrat výstup z předchozího postupu. Příklad:

   

4. Uvnitř smyčky Pro každou smyčku vyberte Přidat akci. Potom:

   1. Vyhledejte a vyberte konektor Microsoft Entra ID Protection .
   2. Vyberte akci Potvrdit rizikového uživatele jako ohroženého uživatele (Preview).
   3. Do pole UserIds Item – 1 přidejte položku dynamického obsahu ID uživatele Microsoft Entra.

   Tato akce se nastavuje v procesech pohybu uvnitř microsoft Entra ID Protection k resetování hesla uživatele.

   

   Poznámka:

   Pole ID uživatele Microsoft Entra účtů je jedním ze způsobů, jak identifikovat uživatele v AADIP. Nemusí to být nutně nejlepší způsob v každém scénáři, ale je zde uveden jako příklad.

   Pokud potřebujete pomoc, obraťte se na další playbooky, které zpracovávají ohrožené uživatele, nebo dokumentaci k Microsoft Entra ID Protection.

5. Přidejte úkol jako dokončenou akci z konektoru Microsoft Sentinelu a přidejte položku dynamického obsahu ID úkolu incidentu do pole ID ARM úkolu. Příklad:

   

Použití playbooku k podmíněnému přidání úkolu

Tato část obsahuje ukázkový postup pro přidání akce playbooku, která zkoumá IP adresu, která se zobrazí v incidentu.

• Pokud jsou výsledky tohoto výzkumu v tom, že IP adresa je škodlivá, playbook vytvoří pro analytika úkol, aby zakázal uživatele, který tuto IP adresu používá.
• Pokud IP adresa není známá škodlivá adresa, playbook vytvoří jiný úkol, aby analytik kontaktoval uživatele a ověřil aktivitu.

Pokud chcete přidat a nakonfigurovat tyto akce, proveďte následující kroky:

1. Z konektoru Microsoft Sentinel přidejte akci Entity – Získat IP adresy . Přidejte položku dynamického obsahu entity (ze schématu incidentu Služby Microsoft Sentinel) do pole Seznam entit. Příklad:

   

2. Přidejte smyčku For each z knihovny akcí ovládacích prvků . Přidejte položku dynamického obsahu IP z entit – Získání výstupu IP adres do pole Vybrat výstup z předchozího postupu. Příklad:

   

3. Uvnitř smyčky Pro každou smyčku vyberte Přidat akci a pak:

   1. Vyhledejte a vyberte konektor Virus Total .
   2. Vyberte akci Získat sestavu IP adres (Preview).
   3. Přidejte položku dynamického obsahu IP adresy z entit – Získání výstupu IP adres do pole IP adresa.

   Příklad:

   

4. Uvnitř smyčky Pro každou smyčku vyberte Přidat akci a pak:

   1. Přidejte podmínku z knihovny akcí ovládacího prvku.
   2. Přidejte položku dynamického dynamického obsahu poslední analýzy ze výstupu získání sestavy PROTOKOLU IP. Možná budete muset vybrat Zobrazit více , abyste ho našli.
   3. Vyberte operátor je větší než a zadejte 0 jako hodnotu.

   Tato podmínka položí otázku "Má zpráva o celkovém počtu IP virů nějaké výsledky?" Příklad:

   

5. Uvnitř možnosti True vyberte Přidat akci a pak:

   1. V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
   2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
   3. Zadejte Označit uživatele jako ohrožený jako název.
   4. Přidejte volitelný popis.

   Příklad:

   

6. V možnosti Nepravda vyberte Přidat akci a pak:

   1. V konektoru Microsoft Sentinelu vyberte akci Přidat úkol k incidentu.
   2. Vyberte položku dynamického obsahu ID ARM incidentu pro pole ID ARM incidentu.
   3. Zadejte Kontaktovat uživatele a potvrďte aktivitu jako název.
   4. Přidejte volitelný popis.

   Příklad:

   

Související obsah

Další informace naleznete v tématu:

• Vyšetřování incidentů s využitím služby Microsoft Sentinel
• Vytváření úloh incidentů v Microsoft Sentinelu pomocí pravidel automatizace
• Práce s úkoly incidentů v Microsoft Sentinelu