Reakce na aktéry hrozeb při vyšetřování nebo proaktivního vyhledávání hrozeb v Microsoft Sentinelu

  • Článek

V tomto článku se dozvíte, jak na místě provést akce reakce na aktéry hrozeb, a to během vyšetřování incidentu nebo vyhledávání hrozeb, aniž byste museli přecházet z vyšetřování nebo vyhledávání kontextu. Toho dosáhnete pomocí playbooků založených na triggeru nové entity.

Trigger entity aktuálně podporuje následující typy entit:

Důležité

Trigger entity je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Spouštění playbooků pomocí triggeru entity

Když prošetřujete incident a zjistíte, že daná entita – uživatelský účet, hostitel, IP adresa, soubor atd., představuje hrozbu, můžete na tuto hrozbu provést okamžité nápravné akce spuštěním playbooku na vyžádání. Můžete to udělat také v případě, že narazíte na podezřelé entity a proaktivně proaktivně proaktivní vyhledávání hrozeb mimo kontext incidentů.

  1. Vyberte entitu v jakémkoli kontextu, který na ni narazíte, a zvolte vhodné prostředky pro spuštění playbooku následujícím způsobem:

    • Ve widgetu Entity na kartě Přehled incidentu na nové stránce s podrobnostmi incidentu (nyní ve verzi Preview) nebo na kartě Entity vyberte entitu ze seznamu, vyberte tři tečky vedle entity a v místní nabídce vyberte Spustit playbook (Preview).

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Na kartě Entity incidentu vyberte entitu ze seznamu a vyberte odkaz Spustit playbook (Preview) na konci řádku v seznamu.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • V grafu Šetření vyberte entitu a na bočním panelu entity vyberte tlačítko Spustit playbook (Preview).

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Na stránce Chování entity vyberte entitu. Na stránce výsledné entity vyberte na levém panelu tlačítko Spustit playbook (Preview ).

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Všechny tyto možnosti otevřou playbook Spustit na <panelu typů> entit.

    Screenshot of Run playbook on entity panel.

    Na některém z těchto panelů uvidíte dvě karty: Playbooky a Spuštění.

  3. Na kartě Playbooky se zobrazí seznam všech playbooků, ke kterým máte přístup, a který používá trigger entity Služby Microsoft Sentinel pro daný typ entity (v tomto případě uživatelské účty). Vyberte tlačítko Spustit pro playbook, který chcete spustit okamžitě.

    Poznámka:

    Pokud playbook, který chcete v seznamu spustit, nevidíte, znamená to, že Microsoft Sentinel nemá oprávnění ke spouštění playbooků v této skupině prostředků (další informace). Pokud chcete těmto oprávněním udělit, vyberte Nastavení v hlavní nabídce, zvolte kartu Nastavení, rozbalte rozbalení oprávnění playbooku a vyberte Konfigurovat oprávnění. Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

  4. Aktivitu playbooků triggerů entity můžete auditovat na kartě Spuštění . Zobrazí se seznam všech dob, kdy se na vybrané entitě spustil libovolný playbook. Může trvat několik sekund, než se v tomto seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění se v Azure Logic Apps otevře úplný protokol spuštění.

Další kroky

V tomto článku jste se dozvěděli, jak ručně spouštět playbooky pro nápravu hrozeb z entit, zatímco uprostřed vyšetřování incidentu nebo proaktivního vyhledávání hrozeb.