Teilen über

Reagieren auf Bedrohungsakteure bei der Untersuchung oder Bedrohungssuche in Microsoft Sentinel

  • Artikel

In diesem Artikel erfahren Sie, wie Sie während der Untersuchung eines Vorfalls oder einer Bedrohungssuche umgehend Maßnahmen gegen Bedrohungsakteure ergreifen können, ohne die Ermittlungsarbeit unterbrechen oder den Kontext verlassen zu müssen. Dies erreichen Sie mithilfe von Playbooks, die auf dem neuen Entitätstrigger basieren.

Der Entitätstrigger unterstützt derzeit die folgenden Entitätstypen:

Wichtig

Der Entitätstrigger befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Ausführen von Playbooks mit dem Entitätstrigger

Wenn Sie einen Vorfall untersuchen und feststellen, dass eine bestimmte Entität – Benutzerkonto, Host, IP-Adresse, Datei usw. – eine Bedrohung darstellt, können Sie sofort Abhilfemaßnahmen für diese Bedrohung einleiten, indem Sie ein Playbook bedarfsgesteuert ausführen. Sie können dies auch tun, wenn Sie auf verdächtige Entitäten stoßen, während Sie proaktiv nach Bedrohungen außerhalb des Kontexts von Vorfällen suchen.

  1. Wählen Sie die Entität in dem Kontext aus, in dem sie auftritt, und die geeigneten Mittel zum Ausführen eines Playbooks wie folgt aus:

    • Wählen Sie im Widget Entitäten auf der Registerkarte Übersicht eines Incidents auf der Seite Neue Incidentdetails (jetzt in der Vorschau) oder auf der Registerkarte Entitäten eine Entität aus der Liste aus, wählen Sie die drei Punkte neben der Entität aus und wählen Sie Playbook ausführen (Vorschau) aus dem Popup-Menü aus.

      Screenshot: Seite „Incidentdetails“.

      Screenshot: Registerkarte „Entitäten“ auf der Seite „Incidentdetails“.

    • Wählen Sie auf der Registerkarte Entitäten eines Vorfalls in der Liste eine Entität und am Ende ihrer Zeile in der Liste den Link Playbook ausführen (Vorschau) aus.

      Screenshot der Auswahl der Entität auf der Seite mit den Vorfalldetails, um ein Playbook dafür auszuführen.

    • Wählen Sie im Untersuchungsdiagramm eine Entität und im Seitenbereich der Entität die Schaltfläche Playbook ausführen (Vorschau) aus.

      Screenshot der Auswahl einer Entität im Graphen „Untersuchung“, um ein Playbook dafür auszuführen.

    • Wählen Sie auf der Seite Entitätsverhalten eine Entität aus. Wählen Sie auf der resultierenden Entitätsseite im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.

      Screenshot: Auswählen einer Entität auf der Seite „Entitätsverhalten“, um ein Playbook dafür auszuführen.

      Screenshot der ausgewählten Entitätsseite zum Ausführen eines Playbooks für eine Entität.

  2. Dadurch wird der Bereich Playbook für <Entitätstyp> ausführen geöffnet.

    Screenshot: Ausführen des Playbooks im Entitätsbereich.

    In jedem dieser Bereiche gibt es zwei Registerkarten: Playbooks und Ausführungen.

  3. Auf der Registerkarte Playbooks sehen Sie eine Liste aller Playbooks, auf die Sie Zugriff haben und die den Trigger Microsoft Sentinel-Entität für diesen Entitätstyp (in diesem Fall Benutzerkonten) verwenden. Wählen Sie die Schaltfläche Ausführen für das Playbook aus, das Sie sofort ausführen möchten.

    Wenn das Playbook, das Sie ausführen möchten, nicht in der Liste angezeigt wird, bedeutet dies, dass Microsoft Sentinel nicht über die Berechtigungen zum Ausführen von Playbooks in dieser Ressourcengruppe verfügt.

    Um diese Berechtigungen zu erteilen, wählen Sie Einstellungen > Einstellungen > Playbook-Berechtigungen > Berechtigungen konfigurieren aus. Aktivieren Sie im Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus.

    Weitere Informationen finden Sie unter Zusätzliche Berechtigungen, die Microsoft Sentinel zum Ausführen von Playbooks benötigt.

  4. Sie können die Aktivität Ihrer Playbooks mit Entitätstrigger auf der Registerkarte Ausführungen überprüfen. Dort sehen Sie eine Liste aller Ausführungszeiten eines Playbooks für die von Ihnen ausgewählte Entität. Es kann ein paar Sekunden dauern, bis ein gerade abgeschlossene Ausführung in dieser Liste erscheint. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Azure Logic Apps geöffnet.

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie Playbooks manuell ausführen, um Bedrohungen von Entitäten zu beseitigen, während Sie gerade einen Vorfall untersuchen oder nach Bedrohungen suchen.