Erstellen und Verwalten von Microsoft Sentinel-Playbooks

• Gilt für:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbooks sind Sammlungen von Prozeduren, die von Microsoft Sentinel als Reaktion auf einen gesamten Vorfall, auf eine einzelne Warnung oder auf eine bestimmte Entität ausgeführt werden können. Ein Playbook kann Ihnen dabei helfen, Ihre Reaktion zu automatisieren und zu orchestrieren, und es kann an eine Automatisierungsregel angefügt werden, damit es automatisch ausgeführt wird, wenn bestimmte Warnungen generiert oder Vorfälle erstellt oder aktualisiert werden. Playbooks kann bei Bedarf auch manuell für bestimmte Vorfälle, Warnungen oder Entitäten ausgeführt werden.

In diesem Artikel erfahren Sie, wie Sie Microsoft Sentinel-Playbooks erstellen und verwalten. Diese Playbooks können Sie dann später an Analyseregeln oder Automatisierungsregeln anfügen oder sie manuell für bestimmte Vorfälle, Warnungen oder Entitäten ausführen.

Hinweis

Da Playbooks in Microsoft Sentinel auf in Azure Logic Apps erstellten Workflows basieren, stehen Ihnen die Leistung, Anpassbarkeit und integrierten Vorlagen zur Verfügung, die Sie von Logic Apps gewohnt sind. Gegebenenfalls fallen zusätzliche Gebühren an. Ausführlichere Informationen finden Sie auf der Preisseite von Azure Logic Apps.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Produktionsverwendung unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Um Playbooks erstellen und verwalten zu können, benötigen Sie Zugriff auf Microsoft Sentinel mit einer der folgenden Azure-Rollen:

• Mitwirkender für Logik-Apps, um Logik-Apps zu bearbeiten und zu verwalten
• Logik-App-Operator zum Lesen, Aktivieren und Deaktivieren von Logik-Apps

Weitere Informationen finden Sie in den Voraussetzungen für Microsoft Sentinel-Playbooks.

Es empfiehlt sich, vor dem Erstellen Ihres Playbooks den Artikel Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks zu lesen.

Erstellen eines Playbooks

Gehen Sie wie folgt vor, um in Microsoft Sentinel ein neues Playbook zu erstellen:

1. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfiguration>Automatisierung aus. Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel >Konfiguration>Automatisierung aus.

   Azure portal

   

   Defender-Portal

   

2. Wählen Sie im oberen Menü die Option Erstellen und anschließend eine der folgenden Optionen aus:

   1. Wenn Sie ein Playbook vom Typ Standard erstellen möchten, wählen Sie Leeres Playbook aus, und führen Sie anschließend die Schritte für den Logik-App-Typ Standard aus.

   2. Wenn Sie ein Playbook vom Typ Verbrauch erstellen möchten, wählen Sie je nach gewünschtem Trigger eine der folgenden Optionen aus, und führen Sie anschließend weiter unten die Schritte auf der Registerkarte Verbrauch aus:

      • Playbook mit Incidenttrigger
      • Playbook mit Warnungstrigger
      • Playbook mit Entitätstrigger

   Weitere Informationen finden Sie unter Unterstützte Logik-App-Typen bzw. unter Unterstützte Trigger und Aktionen in Microsoft Sentinel-Playbooks.

Vorbereiten der Logik-App Ihres Playbooks

Wählen Sie je nach verwendetem Workflow (Verbrauch oder Standard) eine der folgenden Registerkarten aus, um Details zum Erstellen einer Logik-App für Ihr Playbook zu erhalten. Weitere Informationen finden Sie unter Unterstützte Logik-App-Typen.

Verbrauch

Der Assistent Playbook erstellen wird angezeigt, nachdem Sie den gewünschten Trigger (Incident-, Warnungs- oder Entitätstrigger) ausgewählt haben. Zum Beispiel:

Gehen Sie wie folgt vor, um Ihr Playbook zu erstellen:

1. Auf der Registerkarte Grundlagen:

   1. Treffen Sie in den entsprechenden Dropdownlisten die gewünschte Auswahl für Abonnement, Ressourcengruppe und Region. Ihre Logik-App-Informationen werden in der ausgewählten Region gespeichert.

   2. Geben Sie unter Playbook-Name einen Namen für Ihr Playbook ein.

   3. Wenn Sie die Aktivität dieses Playbooks zu Diagnosezwecken überwachen möchten, aktivieren Sie das Kontrollkästchen Diagnoseprotokolle in Log Analytics aktivieren, und wählen Sie in der Dropdownliste Ihren Log Analytics-Arbeitsbereich aus.

   4. Wenn Ihre Playbooks Zugriff auf geschützte Ressourcen benötigen, die sich in einem virtuellen Azure-Netzwerk befinden oder damit verbunden sind, müssen Sie möglicherweise eine Integrationsdienstumgebung (Integration Service Environment, ISE) verwenden. Aktivieren Sie in diesem Fall das Kontrollkästchen Einer Integrationsdienstumgebung zuordnen, und wählen Sie in der Dropdownliste die gewünschte ISE aus.

   5. Wählen Sie Weiter: Verbindungen > aus.

2. Auf der Registerkarte Verbindungen empfiehlt es sich, die Standardwerte beizubehalten und Logic Apps so zu konfigurieren, dass eine Verbindung mit Microsoft Sentinel mit verwalteter Identität hergestellt wird. Weitere Informationen finden Sie unter Authentifizieren von Playbooks bei Microsoft Sentinel.

   Wählen Sie zum Fortfahren Weiter: Überprüfen und erstellen > aus.

3. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen die von Ihnen ausgewählten Konfigurationsoptionen, und wählen Sie anschließend Erstellen und zum Designer fortfahren aus.

   Die Erstellung und Bereitstellung Ihres Playbooks dauert einige Minuten. Anschließend wird die Meldung „Ihre Bereitstellung wurde abgeschlossen.“ angezeigt, und Sie werden zum Logik-App-Designer Ihres neuen Playbooks weitergeleitet. Der am Anfang ausgewählte Trigger wurde automatisch als erster Schritt hinzugefügt, und Sie können von dort aus mit der Gestaltung des Workflows fortfahren.

   

4. Wählen Sie bei Verwendung des Triggers Microsoft Sentinel-Entität den Entitätstyp aus, den dieses Playbook als Eingabe empfangen soll.

   

Standard

Da Playbooks, die auf dem Standard-Workflow basieren, keine Playbookvorlagen unterstützen, müssen Sie zuerst Ihre Logik-App und dann Ihr Playbook erstellen und schließlich den Trigger für Ihr Playbook auswählen.

Nachdem Sie die Option Leeres Playbook ausgewählt haben, wird ein neuer Browsertab mit dem Assistenten Logik-App erstellen geöffnet. Zum Beispiel:

Erstellen einer Logik-App

1. Geben Sie auf der Registerkarte Grundeinstellungen die folgenden Informationen ein:

   1. Treffen Sie in den entsprechenden Dropdownlisten die gewünschte Auswahl für Abonnement und Ressourcengruppe.
   2. Geben Sie einen Namen für Ihre Logik-App ein. Wählen Sie unter Veröffentlichen die Option Workflow aus. Wählen Sie die Region aus, in der Sie die Logik-App bereitstellen möchten.
   3. Wählen Sie unter Plantyp die Option Standard aus.
   4. Wählen Sie Weiter: Hosting > aus.

2. Auf der Registerkarte Hosting:

   1. Wählen Sie unter Speichertyp die Option Azure Storage und dann ein Speicherkonto aus, oder erstellen Sie ein Speicherkonto.
   2. Wählen Sie einen Windows-Plan aus.

3. Gehen Sie auf der Registerkarte Überwachung wie folgt vor:

   1. Wenn Sie die Leistungsüberwachung in Azure Monitor für diese Anwendung aktivieren möchten, lassen Sie den Umschalter auf Ja festgelegt. Legen Sie ihn andernfalls auf Nein fest.

      Hinweis

      Diese Überwachung ist für Microsoft Sentinel nicht erforderlich und verursacht zusätzliche Kosten.

   2. Wählen Sie optional Weiter: Tags > aus, um Tags zur Ressourcenkategorisierung und zu Abrechnungszwecken auf diese Logik-App anzuwenden. Wählen Sie andernfalls Überprüfen und erstellen aus.

4. Überprüfen Sie auf der Registerkarte Überprüfen + Erstellen die von Ihnen ausgewählten Konfigurationsoptionen, und wählen Sie anschließend Erstellen aus.

   Die Erstellung und Bereitstellung Ihres Playbooks dauert einige Minuten. Während dieser Zeit werden einige Bereitstellungsnachrichten angezeigt. Am Ende des Prozesses werden Sie zum letzten Bereitstellungsbildschirm weitergeleitet, auf dem die Meldung „Ihre Bereitstellung wurde abgeschlossen.“ angezeigt wird.

5. Wählen Sie Zu Ressource wechseln aus. Sie werden zur Hauptseite Ihrer neuen Logik-App weitergeleitet.

   Im Gegensatz zu klassischen Verbrauchsplaybooks sind Sie noch nicht fertig. Nun müssen Sie einen Workflow erstellen.

Erstellen eines Workflows für Ihr Playbook

1. Wählen Sie auf der Detailseite Ihrer Logik-App Workflows > + Hinzufügen aus. Es kann etwas dauern, bis die Schaltfläche + Hinzufügen aktiviert wird.

2. Gehen Sie im Bereich Neuer Workflow wie folgt vor:

   1. Geben Sie einen aussagekräftigen Namen für Ihren Workflow ein.
   2. Wählen Sie unter Zustandstyp die Option Zustandsbehaftet aus. Die Verwendung zustandsloser Workflows als Playbooks wird von Microsoft Sentinel nicht unterstützt.
   3. Klicken Sie auf Erstellen.

   Ihr Workflow wird gespeichert und in Ihrer Logik-App in der Liste der Workflows angezeigt.

3. Wählen Sie den neuen Workflow aus, um fortzufahren und auf die Detailseite Ihres Workflows zuzugreifen. Hier werden alle Informationen zu Ihrem Workflow angezeigt – einschließlich aller Ausführungszeiten.

4. Wählen Sie auf der Detailseite des Workflows die Option Designer aus.

5. Daraufhin wird die Seite Designer geöffnet, und Sie werden aufgefordert, einen Trigger hinzuzufügen und mit der Gestaltung des Workflows fortzufahren. Zum Beispiel:

   

Hinzufügen Ihres Triggers

1. Wählen Sie auf der Seite Designer die Registerkarte Azure aus, und geben Sie Sentinel in das Suchfeld ein. Auf der Registerkarte Trigger werden die von Microsoft Sentinel unterstützten Trigger angezeigt, einschließlich:

   • Microsoft Sentinel-Warnung
   • Microsoft Sentinel-Entität
   • Microsoft Sentinel-Vorfall

   Zum Beispiel:

   

2. Wählen Sie bei Verwendung des Triggers Microsoft Sentinel-Entität den Entitätstyp aus, den dieses Playbook als Eingabe empfangen soll. Zum Beispiel:

   

Weitere Informationen finden Sie unter Unterstützte Trigger und Aktionen in Microsoft Sentinel-Playbooks.

Hinzufügen von Aktionen zu Ihrem Playbook

Nachdem Sie nun über eine Logik-App verfügen, definieren Sie als Nächstes, was passieren soll, wenn Sie das Playbook aufrufen. Wählen Sie Neuer Schritt aus, um logische Bedingungen, Schleifen oder Parameterbedingungen hinzufügen. Nach dem Auswählen dieser Option wird im Designer ein neuer Rahmen geöffnet, in dem Sie ein System oder eine Anwendung für die Interaktion oder eine festzulegende Bedingung auswählen können. Geben Sie am oberen Rand des Frames den Namen des Systems oder der Anwendung in die Suchleiste ein, und wählen Sie anschließend eines der verfügbaren Ergebnisse aus.

In jedem dieser Schritte wird nach dem Klicken auf ein beliebiges Feld ein Bereich mit den folgenden Menüs angezeigt:

• Dynamischer Inhalt: Hier können Sie Verweise auf die Attribute der Warnung oder des Vorfalls hinzufügen, die bzw. der an das Playbook übergeben wurde, einschließlich der Werte und Attribute aller zugeordneten Entitäten und benutzerdefinierten Details, die in der Warnung bzw. in dem Vorfall enthalten sind. Beispiele für die Verwendung dynamischer Inhalte finden Sie hier:

  • Verwenden von Entitätsplaybooks ohne Vorfalls-ID
  • Arbeiten mit benutzerdefinierten Details

• Ausdruck: Hier steht eine umfangreiche Bibliothek mit Funktionen zur Verfügung, mit denen Sie Ihren Schritten weitere Logik hinzufügen können.

Weitere Informationen finden Sie unter Unterstützte Trigger und Aktionen in Microsoft Sentinel-Playbooks.

Authentifizierungsaufforderungen

Wenn Sie einen Trigger oder eine nachfolgende Aktion auswählen, werden Sie aufgefordert, sich bei dem Ressourcenanbieter zu authentifizieren, mit dem Sie interagieren. In diesem Fall ist der Anbieter Microsoft Sentinel, und es gibt mehrere Authentifizierungsoptionen. Weitere Informationen finden Sie unter:

• Authentifizieren von Playbooks bei Microsoft Sentinel
• Unterstützte Trigger und Aktionen in Microsoft Sentinel-Playbooks

Dynamischer Inhalt: Verwenden von Entitätsplaybooks ohne Vorfalls-ID

Mit dem Entitätstrigger erstellte Playbooks verwenden häufig das Feld Incident-ARM-ID, um beispielsweise einen Vorfall zu aktualisieren, nachdem für die Entität eine Aktion ausgeführt wurde.

Wenn ein solches Playbook in einem Kontext ausgelöst wird, der nicht mit einem Vorfall zusammenhängt (etwa bei der Bedrohungssuche), gibt es keinen Vorfall, mit dessen ID dieses Feld aufgefüllt werden kann. In diesem Fall wird das Feld mit einem NULL-Wert aufgefüllt.

Dies hat zur Folge, dass das Playbook möglicherweise nicht bis zum Abschluss ausgeführt werden kann. Um diesen Fehler zu vermeiden, wird empfohlen, eine Bedingung zu erstellen, die vor dem Ausführen von Aktionen nach einem Wert im Feld „Vorfalls-ID“ sucht, und andere Aktionen vorzusehen, wenn das Feld einen NULL-Wert enthält und das Playbook somit nicht aufgrund eines Vorfalls ausgeführt wird.

Führen Sie die folgenden Schritte aus:

1. Fügen Sie vor der ersten Aktion, die auf das Feld Incident-ARM-ID verweist, einen Schritt vom Typ Bedingung hinzu.

2. Wählen Sie auf der Seite das Feld Wählen Sie einen Wert aus, um das Dialogfeld Dynamischen Inhalt hinzufügen einzugeben.

3. Wählen Sie Incident ARM ID (Optional) aus, und ist nicht gleich dem -Operator.

4. Wählen Sie Erneut Wert auswählen aus, um das Dialogfeld Dynamischen Inhalt hinzufügen einzugeben.

5. Wählen Sie die Registerkarte Ausdruck und Null-Funktion aus.

Zum Beispiel:

Dynamischer Inhalt: Arbeiten mit benutzerdefinierten Details

Das dynamische Feld Benutzerdefinierte Warnungsdetails, das im Incidenttrigger verfügbar ist, ist ein Array von JSON-Objekten, von denen jedes ein benutzerdefiniertes Detail einer Warnung darstellt. Benutzerdefinierte Details sind Schlüssel-Wert-Paare, die es Ihnen ermöglichen, Informationen aus Ereignissen in der Warnung sichtbar zu machen, damit sie als Teil des Vorfalls dargestellt, nachverfolgt und analysiert werden können.

Da dieses Feld in der Warnung anpassbar ist, hängt das Schema vom Typ des sichtbar gemachten Ereignisses ab. Stellen Sie Daten aus einer Instanz dieses Ereignisses bereit, um das Schema zu generieren, das bestimmt, wie das Feld für benutzerdefinierte Details analysiert wird.

Zum Beispiel:

Für diese Schlüssel-Wert-Paare gilt Folgendes:

• Der Schlüssel in der linken Spalte stellt die benutzerdefinierten Felder dar, die Sie erstellen.
• Der Wert in der rechten Spalte stellt die Felder aus den Ereignisdaten dar, die die benutzerdefinierten Felder auffüllen.

Stellen Sie den folgenden JSON-Code bereit, um das Schema zu generieren. Der Code zeigt die Schlüsselnamen als Arrays und die Werte als Elemente in den Arrays an. Werte werden als tatsächliche Werte angezeigt (nicht als die Spalte, die die Werte enthält).

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

So verwenden Sie benutzerdefinierte Felder für Incidenttrigger

1. Fügen Sie einen neuen Schritt mit der integrierten Aktion JSON analysieren hinzu. Geben Sie ggf. „JSON analysieren“ in das Feld Suche ein, um sie zu finden.

2. Suchen Sie Benutzerdefinierte Warnungsdetails in der Liste Dynamischer Inhalt unter dem Incidenttrigger, und wählen Sie sie aus. Zum Beispiel:

   

   Dadurch wird eine For each-Schleife erstellt, da ein Vorfall ein Array mit Warnungen enthält.

3. Wählen Sie den Link Beispielnutzdaten zum Generieren eines Schemas verwenden aus. Zum Beispiel:

   

4. Geben Sie Beispielnutzdaten an. Exemplarische Nutzdaten finden Sie beispielsweise, wenn Sie in Log Analytics nach einer anderen Instanz dieser Warnung suchen und das Objekt für benutzerdefinierte Details (unter Erweiterte Eigenschaften) kopieren. Greifen Sie auf Log Analytics-Daten entweder auf der Seite Protokolle im Azure-Portal oder auf der Seite Erweiterte Suche im Defender-Portal zu. Im folgenden Screenshot haben wir den oben gezeigten JSON-Code verwendet.

   

Die benutzerdefinierten Felder können nun als dynamische Felder vom Typ Array verwendet werden. Der folgende Screenshot zeigt beispielsweise ein Array und dessen Elemente, sowohl im Schema als auch in der Liste, die unter Dynamischer Inhalt angezeigt wird, wie in diesem Abschnitt beschrieben:

Verwalten Ihrer Playbooks

Wählen Sie Automatisierung > Aktive Playbooks (Registerkarte) aus, um alle Playbooks anzuzeigen, auf die Sie Zugriff haben (gefiltert nach Ihrer Abonnementansicht).

Nach dem Onboarding auf der einheitlichen Security Operations-Plattform wird auf der Registerkarte Aktive Playbooks standardmäßig ein vordefinierter Filter mit dem Abonnement des integrierten Arbeitsbereichs angezeigt. Bearbeiten Sie im Azure-Portal die angezeigten Abonnements im Menü Verzeichnis + Abonnement im globalen Azure-Seitenkopf.

Auf der Registerkarte Aktive Playbooks werden zwar alle aktiven Playbooks angezeigt, die in allen ausgewählten Abonnements verfügbar sind, ein Playbook kann jedoch standardmäßig nur innerhalb des Abonnements verwendet werden, zu dem es gehört, es sei denn, Sie erteilen Microsoft Sentinel ausdrücklich Berechtigungen für die Ressourcengruppe des Playbooks.

Auf der Registerkarte Aktive Playbooks werden Ihre Playbooks mit folgenden Details angezeigt:

Spaltenname	Beschreibung
Status	Gibt an, ob das Playbook aktiviert oder deaktiviert ist.
Planen	Gibt an, ob das Playbook den Azure Logic Apps-Ressourcentyp Standard oder Verbrauch verwendet. Bei Playbooks vom Typ Standard wird die Namenskonvention LogicApp/Workflow verwendet. Diese Konvention spiegelt die Tatsache wider, dass ein Standard-Playbook einen Workflow darstellt, der neben anderen Workflows in einer einzelnen Logik-App vorhanden ist. Weitere Informationen finden Sie unter Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks.
Art des Triggers	Gibt den Azure Logic Apps-Trigger an, der dieses Playbook startet: - Microsoft Sentinel-Vorfall/-Warnung/-Entität: Das Playbook wird mit einem der Sentinel-Trigger (Vorfall, Warnung oder Entität) gestartet. - Verwendung einer Microsoft Sentinel-Aktion: Das Playbook wird mit einem Microsoft Sentinel-fremden Trigger gestartet, verwendet aber eine Microsoft Sentinel-Aktion. - Andere: Das Playbook enthält keine Microsoft Sentinel-Komponenten. - Nicht initialisiert: Das Playbook wurde erstellt, enthält aber keine Komponenten (also weder Trigger noch Aktionen).

Wählen Sie ein Playbook aus, um die zugehörige Azure Logic Apps-Seite zu öffnen. Dort werden weitere Details zum Playbook angezeigt. Auf der Azure Logic Apps-Seite haben Sie folgende Möglichkeiten:

• Anzeigen eines Protokolls aller Ausführungen des Playbooks
• Anzeigen von Ausführungsergebnissen wie Erfolgen, Fehlern und anderen Details
• Öffnen des Workflow-Designers in Azure Logic Apps und direktes Bearbeiten des Playbooks (sofern Sie über die erforderlichen Berechtigungen verfügen)

Zugehöriger Inhalt

Nachdem Sie Ihr Playbook erstellt haben, können Sie es an Regeln anfügen, sodass es durch Ereignisse in Ihrer Umgebung ausgelöst wird. Alternativ können Sie Ihre Playbooks manuell für bestimmte Vorfälle, Warnungen oder Entitäten ausführen.

Weitere Informationen finden Sie unter:

• Automatisieren und Ausführen von Microsoft Sentinel-Playbooks
• Authentifizieren von Playbooks bei Microsoft Sentinel
• Verwenden eines Microsoft Sentinel-Playbooks, um potenziell kompromittierte Benutzer zu blockieren