Reakce na aktéry hrozeb při vyšetřování nebo proaktivního vyhledávání hrozeb v Microsoft Sentinel v Azure Portal

  • Platí pro: Microsoft Sentinel in the Azure portal

V tomto článku se dozvíte, jak provádět akce reakce proti aktérům hrozeb na místě, během vyšetřování incidentu nebo vyhledávání hrozeb, aniž byste museli vyšetřování nebo vyhledávání vyměšovat z kontextu. Dosáhnete toho pomocí playbooků na základě triggeru nové entity.

Trigger entity aktuálně podporuje následující typy entit:

Důležité

Trigger entity je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.

Spuštění playbooků s triggerem entity

Když vyšetřujete incident a zjistíte, že daná entita – uživatelský účet, hostitel, IP adresa, soubor atd. – představuje hrozbu, můžete u této hrozby provést okamžité nápravné akce spuštěním playbooku na vyžádání. Můžete to udělat také v případě, že při proaktivním vyhledávání hrozeb mimo kontext incidentů narazíte na podezřelé entity.

  1. Vyberte entitu v jakémkoli kontextu, ve kterém se setkáte, a zvolte vhodný způsob spuštění playbooku následujícím způsobem:

    • Ve widgetu Entity na kartě Přehled incidentu na nové stránce podrobností incidentu (nyní v náhledu) nebo na kartě Entity zvolte entitu ze seznamu, vyberte tři tečky vedle entity a v místní nabídce vyberte Spustit playbook (Preview).

      Snímek obrazovky se stránkou s podrobnostmi o incidentu

      Snímek obrazovky s kartou entit na stránce s podrobnostmi incidentu

    • Na kartě Entity incidentu zvolte entitu ze seznamu a na konci jejího řádku v seznamu vyberte odkaz Spustit playbook (Preview ).

      Snímek obrazovky s výběrem entity ze stránky s podrobnostmi incidentu, na které se má spustit playbook

    • V grafu Šetření vyberte entitu a na bočním panelu entity vyberte tlačítko Spustit playbook (Preview).

      Snímek obrazovky s výběrem entity z grafu šetření, na které se má spustit playbook

    • Na stránce Chování entity vyberte entitu. Na stránce výsledné entity vyberte na levém panelu tlačítko Spustit playbook (Preview ).

      Snímek obrazovky s výběrem entity ze stránky chování entity a spuštěním playbooku

      Snímek obrazovky se stránkou vybrané entity pro spuštění playbooku na entitě

  2. Všechny tyto možnosti otevřou playbook Spustit na <panelu typu> entity.

    Snímek obrazovky se spuštěním playbooku na panelu entit

    Na některém z těchto panelů uvidíte dvě karty: Playbooky a Spuštění.

  3. Na kartě Playbooky se zobrazí seznam všech playbooků, ke kterým máte přístup a které pro daný typ entity (v tomto případě uživatelské účty) používají trigger entity Microsoft Sentinel. Vyberte tlačítko Spustit u playbooku, který chcete spustit okamžitě.

    Pokud v seznamu nevidíte playbook, který chcete spustit, znamená to, že Microsoft Sentinel nemá oprávnění ke spouštění playbooků v této skupině prostředků.

    Pokud chcete tato oprávnění udělit, vyberte Nastavení > Nastavení > Oprávnění > Playbooků Konfigurovat oprávnění. Na panelu Spravovat oprávnění zaškrtněte políčka u skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

    Další informace najdete v tématu Další oprávnění vyžadovaná pro Microsoft Sentinel ke spouštění playbooků.

  4. Aktivitu playbooků s triggerem entit můžete auditovat na kartě Spuštění . Zobrazí se seznam všech spuštění playbooku pro vybranou entitu. Může trvat několik sekund, než se v tomto seznamu zobrazí jakékoli právě dokončené spuštění. Když vyberete konkrétní spuštění, otevře se úplný protokol spuštění v Azure Logic Apps.

Další kroky

V tomto článku jste se dozvěděli, jak ručně spouštět playbooky, abyste napravovali hrozby od entit, zatímco se vyšetřuje incident nebo hledá hrozby.

  • Last updated on