Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sicherheitsbetriebszentren (SOCs) sehen sich einem ununterbrochenen Strom von Sicherheitswarnungen und Vorfällen ausgesetzt. Die effiziente Verwaltung dieser Daten ist entscheidend, um die Sicherheit Ihrer Organisation stark zu halten. Microsoft Sentinel-Playbooks sind automatisierte Workflows, mit denen Sie schnell und konsistent auf Bedrohungen reagieren können. In diesem Artikel wird gezeigt, wie Sie Playbooks in Microsoft Sentinel verwenden, um die Reaktion auf Bedrohungen zu automatisieren, manuelle Anstrengungen zu reduzieren und Ihr Team sich auf eingehendere Untersuchungen konzentrieren zu lassen.
Verwenden Sie Microsoft Sentinel-Playbooks, um vorkonfigurierte Gruppen von Wartungsaktionen auszuführen und Ihre Bedrohungsreaktion zu automatisieren und zu koordinieren. Führen Sie Playbooks automatisch als Reaktion auf bestimmte Warnungen und Vorfälle aus, die eine konfigurierte Automatisierungsregel auslösen, oder führen Sie sie manuell für eine bestimmte Entität oder Warnung aus.
Wenn beispielsweise ein Konto und ein Computer kompromittiert sind, kann ein Playbook den Computer automatisch vom Netzwerk isolieren und das Konto blockieren, bevor das SOC-Team über den Vorfall benachrichtigt wird.
Hinweis
Da Playbooks Azure Logic Apps verwenden, können zusätzliche Gebühren anfallen. Weitere Details finden Sie auf der Azure Logic Apps-Preisseite .
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 wird Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure-Portal verwenden, werden automatisch umgeleitet.
Es wird empfohlen, alle Kunden, die Microsoft Sentinel in Azure verwenden, mit der Planung des Übergangs zum Defender-Portal für die vollständige einheitliche Sicherheitsoperationserfahrung von Microsoft Defender zu beginnen. Weitere Informationen finden Sie unter Planen Ihres Wechsels zum Microsoft Defender-Portal für alle Microsoft Sentinel-Kunden.
Empfohlene Anwendungsfälle
In der folgenden Tabelle sind häufige Anwendungsfälle aufgeführt, in denen Microsoft Sentinel-Playbooks zur Automatisierung der Bedrohungsreaktion beitragen:
| Anwendungsfall | Beschreibung |
|---|---|
| Anreicherung | Sammeln Sie Daten, und fügen Sie sie an einen Vorfall an, damit Ihr Team bessere Entscheidungen treffen kann. |
| Bidirektionale Synchronisierung | Synchronisieren Sie Microsoft Sentinel-Incidents mit anderen Ticketausstellungssystemen. Erstellen Sie beispielsweise eine Automatisierungsregel für alle neuen Vorfälle, und fügen Sie ein Playbook an, das ein Ticket in ServiceNow öffnet. |
| Orchestrierung | Verwenden Sie die Chatplattform des SOC-Teams, um die Vorfallwarteschlange zu verwalten. Senden Sie beispielsweise eine Nachricht an Ihren Kanal für Sicherheitsvorgänge in Microsoft Teams oder Slack, damit Ihre Sicherheitsanalysten über den Vorfall informiert sind. |
| Antwort | Reagieren Sie sofort auf Bedrohungen mit minimalem menschlichen Engagement, z. B. wenn ein kompromittierter Benutzer oder ein Computer erkannt wird. Oder lösen Sie automatisierte Schritte während einer Untersuchung oder während der Suche manuell aus. |
Weitere Informationen finden Sie unter Empfohlene Anwendungsfälle, Vorlagen und Beispiele für Playbooks.
Voraussetzungen
Sie benötigen die folgenden Rollen, um Azure Logic Apps zum Erstellen und Ausführen von Playbooks in Microsoft Sentinel zu verwenden.
| Rolle | Beschreibung |
|---|---|
| Besitzer | Ermöglicht Ihnen das Gewähren des Zugriffs auf Playbooks in der Ressourcengruppe. |
| Microsoft Sentinel-Mitwirkender | Ermöglicht das Anfügen eines Playbooks an eine Analyse- oder Automatisierungsregel. |
| Microsoft Sentinel-Antwortender | Ermöglicht den Zugriff auf einen Vorfall, um ein Playbook manuell auszuführen, aber nicht die Ausführung des Playbooks. |
| Microsoft Sentinel-Playbookoperator | Ermöglicht die manuelle Ausführung eines Playbooks. |
| Microsoft Sentinel Automation-Mitarbeiter | Ermöglicht die Ausführung von Playbooks durch Automatisierungsregeln. Diese Regel wird für keinen anderen Zweck genutzt. |
In der folgenden Tabelle werden die erforderlichen Rollen beschrieben, je nachdem, ob Sie eine Verbrauchs- oder Standard-Logik-App auswählen, um Ihr Playbook zu erstellen:
| Logik-App | Azure-Rollen | Beschreibung |
|---|---|---|
| Verbrauch | Logik-App-Mitwirkender | Erstellen und Verwalten von Logik-Apps. Ausführen von Playbooks Ermöglicht keine Gewährung von Zugriff auf Playbooks. |
| Verbrauch | Logik-App-Operator | Lesen, Aktivieren und Deaktivieren von Logik-Apps. Ermöglicht keine Bearbeitung oder Aktualisierung von Logik-Apps. |
| Norm | Logic Apps-Standard-Operator | Aktivieren, erneutes Übermitteln und Deaktivieren von Workflows in einer Logik-App. |
| Norm | Logic Apps-Standard-Entwickler | Erstellen und Bearbeiten von Logik-Apps. |
| Norm | Logic Apps-Standard-Mitwirkender | Verwalten aller Aspekte einer Logik-App. |
Auf der Registerkarte Aktive Playbooks der Seite Automatisierung werden alle aktiven Playbooks angezeigt, die für alle ausgewählten Abonnements verfügbar sind. Standardmäßig kann ein Playbook nur innerhalb des Abonnements verwendet werden, zu dem es gehört, es sei denn, Sie erteilen Microsoft Sentinel-Berechtigungen für die Ressourcengruppe des Playbooks.
Zusätzliche Berechtigungen, die Microsoft Sentinel zum Ausführen von Playbooks benötigt
Microsoft Sentinel verwendet ein Dienstkonto, um Playbooks bei Vorfällen auszuführen, die Sicherheit zu verbessern und die Automatisierungsregeln-API zur Unterstützung von CI/CD-Anwendungsfällen zu aktivieren. Dieses Dienstkonto wird für durch Vorfälle ausgelöste Playbooks sowie beim manuellen Ausführen eines Playbooks für einen bestimmten Vorfall verwendet.
Zusätzlich zu Ihren eigenen Rollen und Berechtigungen muss dieses Microsoft Sentinel-Dienstkonto über einen eigenen Satz von Berechtigungen für die Ressourcengruppe verfügen, in der sich das Playbook befindet. Hierfür wird die Rolle Microsoft Sentinel Automation-Mitarbeiter verwendet. Wenn Microsoft Sentinel über diese Rolle verfügt, kann Sentinel jedes Playbook in der relevanten Ressourcengruppe ausführen – sowohl manuell als auch über eine Automatisierungsregel.
Um Microsoft Sentinel die erforderlichen Berechtigungen zu gewähren, müssen Sie über die Rolle Besitzer oder Benutzerzugriffsadministrator verfügen. Um die Playbooks auszuführen, benötigen Sie auch die Rolle Mitwirkender für Logik-Apps in der Ressourcengruppe mit den Playbooks, die Sie ausführen möchten.
Playbook-Vorlagen (Vorschau)
Wichtig
Playbookvorlagen befinden sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Playbook-Vorlagen sind vorgefertigte, getestete und einsatzbereite Workflows, die nicht als Playbooks selbst verwendet werden können, aber bereit für Die Anpassung an Ihre Anforderungen sind. Außerdem wird empfohlen, Playbook-Vorlagen als Referenz für Best Practices bei der Entwicklung von Playbooks von Grund auf oder als Inspiration für neue Automatisierungsszenarien zu verwenden.
Playbook-Vorlagen aus diesen Quellen beziehen:
| Standort | Beschreibung |
|---|---|
| Seite „Microsoft Sentinel-Automatisierung“ | Auf der Registerkarte " Playbook-Vorlagen " werden alle installierten Playbooks angezeigt. Erstellen Sie ein oder mehrere aktive Playbooks mit derselben Vorlage. Wenn eine neue Version einer Vorlage veröffentlicht wird, erhalten alle mit dieser Vorlage erstellten aktiven Playbooks eine zusätzliche Bezeichnung auf der Registerkarte "Aktive Playbooks ", um anzuzeigen, dass ein Update verfügbar ist. |
| Seite „Microsoft Sentinel Content Hub“ | Playbook-Vorlagen sind Teil von Produktlösungen oder eigenständigen Inhalten, die Sie über den Inhaltshub installieren. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalten und -Lösungen Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte |
| GitHub (Englisch) | Das Microsoft Sentinel GitHub-Repository verfügt über viele andere Playbook-Vorlagen. Wählen Sie In Azure bereitstellen, um eine Vorlage für Ihr Abonnement bereitzustellen. |
Eine Playbookvorlage ist eine Arm-Vorlage (Azure Resource Manager), die mehrere Ressourcen enthält: einen Azure Logic Apps-Workflow und API-Verbindungen für jede erforderliche Verbindung.
Weitere Informationen finden Sie unter:
- Erstellen und Anpassen von Microsoft Sentinel-Playbooks über Inhaltsvorlagen
- Empfohlene Playbook-Vorlagen
- Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks
Workflow für Playbook-Erstellung und Nutzung
Führen Sie die folgenden Schritte aus, um Microsoft Sentinel-Playbooks zu erstellen und auszuführen:
Definieren Sie Ihr Automatisierungsszenario. Überprüfen Sie die empfohlenen Playbooks-Anwendungsfälle und Playbook-Vorlagen , um zu beginnen.
Wenn Sie keine Vorlage verwenden, erstellen Sie Ihr Playbook und Ihre Logik-App. Weitere Informationen finden Sie unter Erstellen und Verwalten von Microsoft Sentinel-Playbooks.
Testen Sie Ihre Logik-App, indem Sie sie manuell ausführen. Weitere Informationen finden Sie unter Manuelles Ausführen eines Playbooks nach Bedarf.
Richten Sie Ihr Playbook so ein, dass es automatisch ausgeführt wird, wenn eine neue Warnung oder ein neuer Vorfall erstellt wird, oder führen Sie es manuell nach Bedarf für Ihren Prozess aus. Weitere Informationen finden Sie unter Reagieren auf Bedrohungen mit Microsoft Sentinel-Playbooks.