Share via

Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Šablona playbooku je předem připravený, otestovaný a připravený pracovní postup automatizace pro Microsoft Sentinel, který se dá přizpůsobit vašim potřebám. Šablony můžou sloužit také jako referenční informace pro osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.

Šablony playbooků nejsou samotné aktivní playbooky a musíte vytvořit upravitelnou kopii podle svých potřeb.

Mnoho šablon playbooků vyvíjí komunita Microsoft Sentinelu, nezávislí dodavatelé softwaru (ISV) a vlastní odborníci Microsoftu na základě oblíbených scénářů automatizace používaných bezpečnostními centry po celém světě.

Důležité

Šablony playbooků jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

K vytváření a správě playbooků potřebujete přístup k Microsoft Sentinelu pomocí jedné z následujících rolí Azure:

  • Přispěvatel aplikací logiky pro úpravy a správu aplikací logiky
  • Operátor aplikace logiky pro čtení, povolení a zakázání aplikací logiky

Další informace najdete v požadavcích playbooku Microsoft Sentinel.

Před vytvořením playbooku doporučujeme přečíst si playbooky Azure Logic Apps pro Microsoft Sentinel.

Přístup k šablonům playbooků

Přístup k šablonům playbooků z následujících zdrojů:

Umístění Popis
Stránka Microsoft Sentinel Automation Na kartě Šablony playbooku jsou uvedeny všechny nainstalované playbooky. Vytvořte jeden nebo více aktivních playbooků pomocí stejné šablony.

Když publikujeme novou verzi šablony, všechny aktivní playbooky vytvořené z této šablony mají na kartě Aktivní playbooky přidaný další popisek, který indikuje, že je k dispozici aktualizace.
Stránka centra obsahu služby Microsoft Sentinel Šablony playbooků jsou k dispozici jako součást produktových řešení nebo samostatného obsahu nainstalovaného z centra obsahu.

Další informace najdete tady: .
Informace o obsahu a řešeních služby Microsoft Sentinel
Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
GitHub Úložiště Microsoft Sentinel Na GitHubu obsahuje mnoho dalších šablon playbooků. Výběrem možnosti Nasadit do Azure nasadíte šablonu do předplatného Azure.

Šablona playbooku je technicky vzato šablona Azure Resource Manageru (ARM), která se skládá z několika prostředků: pracovního postupu Azure Logic Apps a připojení rozhraní API pro jednotlivá připojení.

Tento článek se zaměřuje na nasazení šablony playbooku z karty Šablony playbooku v části Automatizace.

Prozkoumání šablon playbooků

Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Centra obsahu pro správu>obsahu. Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

Na stránce Centrum obsahu vyberte Typ obsahu, který chcete filtrovat pro Playbook. Toto filtrované zobrazení obsahuje všechna řešení a samostatný obsah, který obsahuje jednu nebo více šablon playbooků. Nainstalujte řešení nebo samostatný obsah, abyste získali šablonu.

Pak vyberte kartu Šablony playbooku Pro automatizaci>konfigurace>a zobrazte nainstalované šablony. Příklad:

Snímek obrazovky galerie šablon playbooků

Pokud chcete najít šablonu playbooku, která vyhovuje vašim požadavkům, vyfiltrujte seznam podle následujících kritérií:

Filtr Popis
Trigger Filtrujte podle toho, jak se playbook aktivuje, včetně incidentů, výstrah nebo entit. Další informace najdete v tématu Podporované triggery služby Microsoft Sentinel.
Konektory Logic Apps Filtrujte podle externích služeb, se kterými playbooky pracují. Během procesu nasazení musí každý konektor předpokládat identitu, která se má ověřit v externí službě.
Entity Vyfiltrujte podle typů entit, které playbook očekává, že se v incidentu najde.

Například playbook, který bráně firewall říká, aby blokoval IP adresu, očekává, že v incidentu najde IP adresy. Takové incidenty mohou být vytvořeny analytickým pravidlem útoku hrubou silou.
Značky Filtrujte podle popisků použitých u playbooku, souvisejícího playbooku s konkrétním scénářem nebo indikující zvláštní charakteristiku. Příklad:

- Obohacení – playbooky, které načítají informace z jiné služby a přidají do incidentu kontext. Tyto informace se obvykle přidají jako komentář k incidentu nebo se odesílají do SOC.
- Náprava – Playbooky, které podniknou akci s ovlivněnými entitami a eliminují potenciální hrozbu.
- Synchronizace – Playbook, který pomáhá udržovat externí službu, například službu správy incidentů, aktualizovat pomocí vlastností incidentu.
- Oznámení – Playbooky, které posílají e-mail nebo zprávu
- Odpověď z Teams – Playbooky, které analytikům umožňují provést ruční akci z Teams pomocí interaktivních karet.

Příklad:

Snímek obrazovky znázorňuje, jak filtrovat seznam šablon playbooků

Přizpůsobení playbooku ze šablony

Tento postup popisuje, jak nasadit šablony playbooků a je možné je opakovat, aby se vytvořilo více playbooků ze stejné šablony.

I když se většina šablon playbooků dá použít tak, jak jsou, doporučujeme je podle potřeby upravit tak, aby vyhovovaly vašim potřebám SOC.

  1. Na kartě Šablony playbooku vyberte playbook, ze které chcete začít.

  2. Pokud má playbook nějaké požadavky, nezapomeňte postupovat podle pokynů. Příklad:

    • Některé playbooky volají jiné playbooky jako akce. Tento druhý playbook se označuje jako vnořený playbook. V takovém případě je jedním z předpokladů nasazení vnořeného playbooku.

    • Některé playbooky vyžadují nasazení vlastního konektoru Logic Apps nebo funkce Azure Functions. V takových případech existuje odkaz Nasadit do Azure , který vás zavede do obecného procesu nasazení šablony ARM.

  3. Výběrem možnosti Vytvořit playbook otevřete průvodce vytvořením playbooku na základě vybrané šablony. Průvodce má čtyři karty:

    • Základy: Vyhledejte nový playbook, což je prostředek Logic Apps, a pojmenujte ho. Můžete použít výchozí nastavení. Příklad:

      Snímek obrazovky s průvodcem vytvořením playbooku, kartou Základy

    • Parametry: Zadejte hodnoty specifické pro zákazníky, které playbook používá. Pokud například playbook odešle e-mail na SOC, definujte adresu příjemce. Pokud playbook používá vlastní konektor, musí být nasazen ve stejné skupině prostředků a zobrazí se výzva k zadání názvu na kartě Parametry .

      Karta Parametry se zobrazuje jenom v případě, že playbook obsahuje parametry. Příklad:

      Snímek obrazovky s průvodcem vytvořením playbooku, kartou parametry

    • Připojení iony: Rozbalte každou akci, abyste viděli existující připojení, která jste vytvořili pro předchozí playbooky. Můžete použít existující připojení nebo vytvořit nové. Příklad:

      Snímek obrazovky s průvodcem vytvořením playbooku, kartou Připojení

      • Pokud chcete vytvořit nové připojení, vyberte Po nasazení vytvořit nové připojení. Tato možnost vás po dokončení procesu nasazení přenese do návrháře Logic Apps.

      • Vlastní konektory jsou uvedené podle názvu vlastního konektoru zadaného na kartě Parametry .

      • Pro konektory, které podporují připojení pomocí spravované identity, jako je Microsoft Sentinel, je spravovaná identita výchozí metodou připojení.

      Další informace najdete v tématu Ověřování playbooků v Microsoft Sentinelu.

    • Kontrola a vytvoření: Před vytvořením playbooku zobrazíte souhrn procesu a před vytvořením playbooku očekáváte ověření vstupu.

  4. Po provedení kroků v průvodci vytvořením playbooku na konec přejdete do návrhu pracovního postupu nového playbooku v návrháři Logic Apps. Příklad:

    Snímek obrazovky playbooku v návrháři Logic Apps

  5. Pro každý konektor, který jste zvolili, vytvořte nové připojení pro po nasazení:

    1. V navigační nabídce vyberte připojení rozhraní API a pak vyberte název připojení. Příklad:

      Snímek obrazovky znázorňující, jak zobrazit připojení P I

    2. V navigační nabídce vyberte Upravit připojení rozhraní API.

    3. Vyplňte požadované parametry a vyberte Uložit. Příklad:

      Snímek obrazovky znázorňující, jak upravit připojení P I

    Další možností je vytvořit nové připojení z příslušných kroků v návrháři Logic Apps:

    1. Pro každý krok, který se zobrazí s chybovým symbolem, ho vyberte, pokud chcete rozbalit a pak vybrat Přidat nový.

    2. Ověřte se podle příslušných pokynů. Další informace najdete v tématu Ověřování playbooků v Microsoft Sentinelu.

    3. Pokud existují další kroky, které používají stejný konektor, rozbalte jejich pole. V seznamu připojení, která se zobrazí, vyberte připojení, které jste právě vytvořili.

  6. Pokud jste se rozhodli použít připojení spravované identity pro Microsoft Sentinel nebo pro jiná podporovaná připojení, nezapomeňte udělit oprávnění k novému playbooku v pracovním prostoru Microsoft Sentinelu nebo relevantním cílovým prostředkům pro jiné konektory.

  7. Uložte playbook. Playbook se zobrazí na kartě Aktivní playbooky .

Pokud chcete playbook spustit, nastavte automatizovanou odpověď nebo ji spusťte ručně. Další informace najdete v tématu Reakce na hrozby pomocí playbooků Microsoft Sentinel.

Nahlášení problému v šabloně playbooku

Pokud chcete nahlásit chybu nebo požádat o vylepšení playbooku, vyberte v podokně podrobností playbooku odkaz Podporováno . Pokud se jedná o playbook podporovaný komunitou, odkaz vás přestěhuje k otevření problému Na GitHubu. Jinak vás nasměruje na stránku pracovníka podpory s informacemi o tom, jak poslat svůj názor.

Související obsah