Teilen über

Empfohlene Playbook-Anwendungsfälle, Vorlagen und Beispiele

  • Artikel
  • Gilt für:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel werden Beispielanwendungsfälle für Microsoft Sentinel-Playbooks sowie Beispiel-Playbooks und empfohlene Playbook-Vorlagen aufgeführt.

Wir empfehlen, mit Microsoft Sentinel Playbooks für die folgenden SOC-Szenarien zu beginnen, für die wir vorgefertigte Playbookvorlagen sofort bereitstellen.

Anreicherung: Sammeln und Anfügen von Daten an einen Vorfall, um intelligentere Entscheidungen zu treffen

Wenn Ihr Microsoft Sentinel-Vorfall aus einer Warnungs- und Analyseregel erstellt wird, die IP-Adressentitäten generiert, konfigurieren Sie den Vorfall so, dass eine Automatisierungsregel ausgelöst wird, um ein Playbook auszuführen und weitere Informationen zu sammeln.

Konfigurieren Sie Ihr Playbook mit den folgenden Schritten:

  1. Starten Sie das Playbook, wenn der Vorfall erstellt wird. Die im Vorfall dargestellten Entitäten werden in den dynamischen Feldern des Incident-Triggers gespeichert.

  2. Konfigurieren Sie für jede IP-Adresse das Playbook, um einen externen Threat Intelligence-Anbieter wie Virus Total abzufragen, um weitere Daten abzurufen.

  3. Fügen Sie die zurückgegebenen Daten und Erkenntnisse als Kommentare des Vorfalls hinzu, um Ihre Untersuchung zu bereichern.

Bidirektionale Synchronisierung für Microsoft Sentinel-Vorfälle mit anderen Ticketingsystemen

So synchronisieren Sie Ihre Microsoft Sentinel-Vorfalldaten mit einem Ticketsystem, z. B. ServiceNow:

  1. Erstellen Sie eine Automatisierungsregel für die erstellung von Vorfällen.

  2. Fügen Sie ein Playbook an, das ausgelöst wird, wenn ein neuer Vorfall erstellt wird.

  3. Konfigurieren Sie das Playbook, um ein neues Ticket in ServiceNow mithilfe des ServiceNow-Connectors zu erstellen.

    Stellen Sie sicher, dass Ihre Teams problemlos vom ServiceNow-Ticket zurück zu Ihrem Microsoft Sentinel-Vorfall springen können, indem Sie das Playbook so konfigurieren, dass er den Vorfallnamen, wichtige Felder und eine URL zum Microsoft Sentinel-Vorfall im ServiceNow-Ticket enthält.

Orchestrierung: Steuern der Vorfallwarteschlange von Ihrer SOC-Chatplattform

Wenn Ihr Microsoft Sentinel-Vorfall aus einer Warnungs- und Analyseregel erstellt wird, die Benutzernamen- und IP-Adressentitäten generiert, konfigurieren Sie den Vorfall, um eine Automatisierungsregel auszulösen, um ein Playbook auszuführen, und wenden Sie sich an Ihr Team über Ihre Standardkommunikationskanäle.

Konfigurieren Sie Ihr Playbook mit den folgenden Schritten:

  1. Starten Sie das Playbook, wenn der Vorfall erstellt wird. Die im Vorfall dargestellten Entitäten werden in den dynamischen Feldern des Incident-Triggers gespeichert.

  2. Konfigurieren Sie das Playbook, um eine Nachricht an Ihren Kommunikationskanal für Sicherheitsvorgänge zu senden, z. B. in Microsoft Teams oder Slack , um sicherzustellen, dass Ihre Sicherheitsanalysten den Vorfall kennen.

  3. Konfigurieren Sie das Playbook, um alle Informationen in der Warnung per E-Mail an Ihren senioren Netzwerkadministrator und Sicherheitsadministrator zu senden. Die E-Mail-Nachricht enthält schaltflächen "Benutzer blockieren" und "Benutzeroption ignorieren".

  4. Konfigurieren Sie das Playbook so, dass gewartet wird, bis eine Antwort von den Administratoren empfangen wird, und fahren Sie dann mit der Ausführung fort.

  5. Wenn die Administratoren "Blockieren" auswählen, konfigurieren Sie das Playbook, um einen Befehl an die Firewall zu senden, um die IP-Adresse in der Warnung zu blockieren, und eine weitere zu Microsoft Entra-ID, um den Benutzer zu deaktivieren.

Reaktion auf Bedrohungen sofort mit minimalen menschlichen Abhängigkeiten

Dieser Abschnitt enthält zwei Beispiele, die auf Bedrohungen eines kompromittierten Benutzers und eines kompromittierten Computers reagieren.

Im Falle eines kompromittierten Benutzers, z. B. von Microsoft Entra ID Protection entdeckt:

  1. Starten Sie Ihr Playbook, wenn ein neuer Microsoft Sentinel-Vorfall erstellt wird.

  2. Konfigurieren Sie für jede Benutzerentität im Vorfall, die als kompromittiert vermutet wird, das Playbook wie folgt:

    1. Senden Sie eine Teams-Nachricht an den Benutzer, in der Sie um Bestätigung bitten, dass der Benutzer die verdächtige Aktion durchgeführt hat.

    2. Prüfen Sie mit Microsoft Entra ID Protection, ob der Status des Benutzers als kompromittiert gilt. Microsoft Entra ID Protection bezeichnet den Benutzer als riskant und wendet alle bereits konfigurierten Erzwingungsrichtlinien an, um beispielsweise die Verwendung von MFA beim nächsten Anmelden durch den Benutzer zu verlangen.

    Hinweis

    Diese spezifische Microsoft Entra-Aktion leitet weder eine Erzwingungsaktivität für den Benutzer noch eine Konfiguration der Erzwingungsrichtlinie ein. Microsoft Entra ID Protection wird lediglich angewiesen, bereits definierte Richtlinien entsprechend anzuwenden. Die Durchsetzung hängt vollständig davon ab, dass die entsprechenden Richtlinien in Microsoft Entra ID Protection definiert sind.

Bei einem kompromittierten Computer, z. B. von Microsoft Defender für Endpunkt entdeckt:

  1. Starten Sie Ihr Playbook, wenn ein neuer Microsoft Sentinel-Vorfall erstellt wird.

  2. Konfigurieren Sie Ihr Playbook mit den Entitäten – Abrufen der Hosts-Aktion , um die verdächtigen Computer zu analysieren, die in den Vorfallentitäten enthalten sind.

  3. Konfigurieren Sie Ihr Playbook, um einen Befehl an Microsoft Defender für Endpunkt auszugeben, um die Computer in der Warnung zu isolieren.

Während einer Untersuchung oder während der Suche manuell reagieren, ohne den Kontext zu verlassen

Verwenden Sie den Entitätsauslöser, um sofortige Maßnahmen für einzelne Bedrohungsakteure zu ergreifen, die Sie während einer Untersuchung direkt innerhalb Ihrer Untersuchung entdeckt haben. Diese Option ist auch im Kontext des Huntings nach Bedrohungen ohne Zusammenhang mit einem bestimmten Vorfall verfügbar.

Wählen Sie eine Entität im Kontext aus, und führen Sie dort Aktionen aus, wodurch Zeit gespart und komplexität reduziert wird.

Playbooks mit Entitätstriggern unterstützen Aktionen wie:

  • Blockieren eines kompromittierten Benutzers
  • Blockieren von Datenverkehr von einer schädlichen IP-Adresse in Ihrer Firewall
  • Isolieren eines kompromittierten Hosts in Ihrem Netzwerk
  • Hinzufügen einer IP-Adresse zu einer Überwachungsliste für sichere/unsichere Adressen oder zur externen Konfigurationsverwaltungsdatenbank (CMDB).
  • Abrufen eines Dateihashberichts aus einer externen Threat Intelligence-Quelle und Hinzufügen eines Dateihashberichts zu einem Vorfall als Kommentar

In diesem Abschnitt werden empfohlene Playbooks aufgeführt, und andere ähnliche Playbooks stehen Ihnen im Content Hub oder im Microsoft Sentinel GitHub-Repository zur Verfügung.

Benachrichtigungs-Playbookvorlagen

Benachrichtigungsplaybooks werden ausgelöst, wenn eine Warnung oder ein Incident erstellt wird und eine Benachrichtigung an ein konfiguriertes Ziel gesendet wird:

Playbook Ordner in
GitHub-Repository		 Lösung in Content Hub/
Azure Marketplace
Posten einer Nachricht in einem Microsoft Teamschannel Post-Message-Teams Sentinel SOAR Essentialssolution
Senden einer Outlook-E-Mail-Benachrichtigung Send-basic-email Sentinel SOAR Essentialssolution
Posten einer Nachricht in einem Slack-Kanal Post-Message-Slack Sentinel SOAR Essentialssolution
Adaptive Karte von Microsoft Teams bei der Erstellung von Vorfällen senden Send-Teams-adaptive-card-on-incident-creation Sentinel SOAR Essentials-Lösung

Blockieren von Playbookvorlagen

Blockierende Playbooks werden ausgelöst, wenn eine Warnung oder ein Incident erstellt wird. Sie sammeln Informationen zu Entitäten wie Konto, IP-Adresse und Host und sperren sie für weitere Aktionen:

Playbook Ordner in
GitHub-Repository		 Lösung in Content Hub/
Azure Marketplace
IP-Adresse in Azure Firewall blockieren AzureFirewall-BlockIP-addNewRule Azure Firewall-Lösung für Sentinel
Blockieren von Microsoft Entra-Benutzer*innen Block-AADUser Microsoft Entra-Lösung
Zurücksetzen eines Microsoft Entra-Benutzerkennworts Reset-AADUserPassword Microsoft Entra-Lösung
Gerät isolieren oder seine Isolierung aufheben mithilfe von
Microsoft Defender für den Endpunkt.		 Isolate-MDEMachine
Unisolate-MDEMachine		 Microsoft Defender for Endpoint-Lösung

Erstellen, Aktualisieren oder Schließen von Playbookvorlagen

Playbooks mit Erstellungs-, Aktualisierungs- oder Schließfunktion können Incidents in Microsoft Sentinel, Microsoft 365-Sicherheitsdiensten oder anderen Ticketausstellungssystemen erstellen, aktualisieren oder schließen:

Playbook Ordner in
GitHub-Repository		 Lösung in Content Hub/
Azure Marketplace
Vorfall mithilfe von Microsoft Forms erstellen CreateIncident-MicrosoftForms Sentinel SOAR Essentials-Lösung
Zuordnen von Warnungen zu Vorfällen relateAlertsToIncident-basedOnIP Sentinel SOAR Essentials-Lösung
Erstellen eines ServiceNow-Incidents Create-SNOW-record ServiceNow-Lösung

Häufig verwendete Playbookkonfigurationen

Dieser Abschnitt enthält Beispielfotos für häufig verwendete Playbook-Konfigurationen, einschließlich der Aktualisierung eines Vorfalls, der Verwendung von Vorfalldetails, hinzufügen von Kommentaren zu einem Vorfall oder Deaktivieren eines Benutzers.

Aktualisieren eines Incidents

Dieser Abschnitt enthält Beispielfotos dazu, wie Sie ein Playbook verwenden können, um einen Vorfall basierend auf einem neuen Vorfall oder einer neuen Warnung zu aktualisieren.

Aktualisieren eines Vorfalls basierend auf einem neuen Vorfall (Vorfalltrigger):

Screenshot eines Beispiels für einen Vorfallauslöser für einfachen Updatefluss.

Aktualisieren eines Vorfalls basierend auf einer neuen Warnung (Warnungstrigger):

Screenshot eines Beispiels für einen Warnungsauslöser für einfachen Update-Vorfallfluss.

Verwenden von Vorfalldetails in Ihrem Flow

Dieser Abschnitt enthält Beispielfotos, wie Sie Ihr Playbook verwenden können, um Vorfalldetails an anderer Stelle in Ihrem Flow zu verwenden:

Senden Sie Vorfalldetails per E-Mail, indem Sie ein playbook verwenden, das von einem neuen Vorfall ausgelöst wird:

Screenshot eines Beispiels für einen Vorfallauslöser für einfachen Get-Flow.

Senden Sie Vorfalldetails per E-Mail, indem Sie ein Playbook verwenden, das durch eine neue Warnung ausgelöst wird:

Screenshot eines Beispiels für einen Warnungsauslöser für einfachen Vorfallfluss.

Hinzufügen eines Kommentars zu einem Vorfall

Dieser Abschnitt enthält Beispielfotos, wie Sie Ihr Playbook verwenden können, um einem Vorfall Kommentare hinzuzufügen:

Fügen Sie einem Vorfall einen Kommentar hinzu, indem Sie ein Playbook verwenden, das von einem neuen Vorfall ausgelöst wird:

Screenshot eines Vorfalls löst einfaches Kommentarbeispiel zum Hinzufügen aus.

Fügen Sie einem Vorfall einen Kommentar hinzu, indem Sie ein Playbook verwenden, das durch eine neue Warnung ausgelöst wird:

Screenshot eines Warnungsauslöser-Beispiels für einfaches Hinzufügen eines Kommentars.

Einen Benutzer deaktivieren

Der folgende Screenshot zeigt ein Beispiel dafür, wie Sie Ihr Playbook verwenden können, um ein Benutzerkonto basierend auf einem Microsoft Sentinel-Entitätstrigger zu deaktivieren:

Screenshot: Aktionen, die in einem Entitätstrigger-Playbook zum Deaktivieren eines Benutzers ausgeführt werden sollen

Zugehöriger Inhalt