Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives et eksempelscenarie for, hvordan du kan bruge en playbook og en automatiseringsregel til at automatisere svar på hændelser og afhjælpe sikkerhedstrusler. Automatiseringsregler hjælper dig med at triage hændelser i Microsoft Sentinel og bruges også til at køre playbooks som svar på hændelser eller beskeder. Du kan få flere oplysninger under Automatisering i Microsoft Sentinel: Sikkerhedsorkestrering, automatisering og svar (SOAR).
I det eksempelscenarie, der er beskrevet i denne artikel, beskrives det, hvordan du bruger en automatiseringsregel og en playbook til at stoppe en bruger, der muligvis er kompromitteret, når der oprettes en hændelse.
Bemærk!
Da playbooks gør brug af Azure Logic Apps, kan der blive opkrævet ekstra gebyrer. Besøg siden med priser på Azure Logic Apps for at få flere oplysninger.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Forudsætninger
Følgende roller skal bruge Azure Logic Apps til at oprette og køre playbooks i Microsoft Sentinel.
| Rolle | Beskrivelse |
|---|---|
| Ejer | Giver dig adgang til playbooks i ressourcegruppen. |
| Microsoft Sentinel bidragyder | Gør det muligt at knytte en playbook til en analyse- eller automatiseringsregel. |
| Microsoft Sentinel responder | Giver dig adgang til en hændelse for at køre en playbook manuelt, men tillader ikke, at du kører playbooken. |
| Microsoft Sentinel playbook-operatør | Giver dig mulighed for at køre en playbook manuelt. |
| Microsoft Sentinel Automation Contributor | Gør det muligt for automatiseringsregler at køre playbooks. Denne rolle bruges ikke til andre formål. |
I følgende tabel beskrives de påkrævede roller baseret på, om du vælger en forbrugs- eller Standard logikapp for at oprette din playbook:
| Logic app | Azure roller | Beskrivelse |
|---|---|---|
| Forbrug | Bidragyder til Logic App | Rediger og administrer logikapps. Kør playbooks. Tillader ikke, at du giver adgang til playbooks. |
| Forbrug | Logic App-operator | Læs, aktivér og deaktiver logikapps. Tillader ikke, at du redigerer eller opdaterer logikapps. |
| Standard | Operatoren Logic Apps Standard | Aktivér, send og deaktiver arbejdsprocesser i en logikapp. |
| Standard | Logic Apps Standard Developer | Opret og rediger logikapps. |
| Standard | Logic Apps Standard bidragyder | Administrer alle aspekter af en logikapp. |
Fanen Aktive playbooks på siden Automatisering viser alle aktive playbooks, der er tilgængelige på tværs af alle valgte abonnementer. En playbook kan som standard kun bruges inden for det abonnement, den tilhører, medmindre du specifikt tildeler Microsoft Sentinel tilladelser til ressourcegruppen for playbooken.
Ekstra tilladelser, der kræves for at køre playbooks på hændelser
Microsoft Sentinel bruger en tjenestekonto til at køre playbooks på hændelser, til at tilføje sikkerhed og aktivere API'en for automatiseringsregler til at understøtte CI/CD-use cases. Denne tjenestekonto bruges til hændelsesudløste playbooks, eller når du kører en playbook manuelt på en bestemt hændelse.
Ud over dine egne roller og tilladelser skal denne Microsoft Sentinel tjenestekonto have sit eget sæt tilladelser til den ressourcegruppe, hvor playbooken er placeret, i form af rollen Microsoft Sentinel Automation Contributor. Når Microsoft Sentinel har denne rolle, kan den køre en hvilken som helst playbook i den relevante ressourcegruppe manuelt eller fra en automatiseringsregel.
Hvis du vil tildele Microsoft Sentinel med de påkrævede tilladelser, skal du have administratorrollen Ejer eller Brugeradgang. Hvis du vil køre playbooks, skal du også have rollen Logic App Contributor på den ressourcegruppe, der indeholder de playbooks, du vil køre.
Stop potentielt kompromitterede brugere
SOC-teams vil gerne sikre, at potentielt kompromitterede brugere ikke kan bevæge sig rundt i deres netværk og stjæle oplysninger. Vi anbefaler, at du opretter et automatiseret, flerfacetteret svar på hændelser, der genereres af regler, der registrerer kompromitterede brugere til at håndtere sådanne scenarier.
Konfigurer din automatiseringsregel og din playbook for at bruge følgende flow:
Der oprettes en hændelse for en potentielt kompromitteret bruger, og der udløses en automatiseringsregel for at kalde din playbook.
Playbook åbner en billet i dit it-billetsystem, f.eks. ServiceNow.
Playbooken sender også en meddelelse til din kanal til sikkerhedshandlinger i Microsoft Teams eller Slack for at sikre, at dine sikkerhedsanalytikere er opmærksomme på hændelsen.
Playbook sender også alle oplysninger i hændelsen i en mail til din overordnede netværksadministrator og sikkerhedsadministrator. Mailen indeholder alternativknapperne Bloker og Ignorer bruger.
Playbooken venter, indtil der modtages et svar fra administratorerne, og fortsætter derefter med de næste trin.
Hvis administratorerne vælger Bloker, sender playbooken en kommando for at Microsoft Entra ID til at deaktivere brugeren og en til firewallen for at blokere IP-adressen.
Hvis administratorerne vælger Ignorer, lukker playbooken hændelsen i Microsoft Sentinel og billetten i ServiceNow.
På følgende skærmbillede kan du se de handlinger og betingelser, du vil tilføje, når du opretter denne prøvelegebog:
