Freigeben über

Erstellen und Ausführen von Incidentaufgaben in Microsoft Sentinel mithilfe von Playbooks

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel wird erläutert, wie Sie Mithilfe von Playbooks Incidenttasks erstellen und optional ausführen, um komplexe Analystenworkflowprozesse in Microsoft Sentinel zu verwalten.

Verwenden Sie die Aktion Aufgabe hinzufügen in einem Playbook im Microsoft Sentinel Connector, um dem Incident, der das Playbook ausgelöst hat, automatisch eine Aufgabe hinzuzufügen. Sowohl Standard- als auch Verbrauchsworkflows werden unterstützt.

Tipp

Incidentaufgaben können nicht nur durch Playbooks, sondern auch durch Automatisierungsregeln und auch manuell ad-hoc aus einem Incident erstellt werden.

Weitere Informationen finden Sie unter Verwenden von Aufgaben zum Verwalten von Incidents in Microsoft Sentinel.

Voraussetzungen

  • Die Rolle "Microsoft Sentinel Responder" ist erforderlich, um Incidents anzuzeigen und zu bearbeiten. Dies ist zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich.

  • Die Rolle Mitwirkender für Logik-Apps ist erforderlich, um Playbooks zu erstellen und zu bearbeiten.

Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Sentinel Playbook.

Verwenden eines Playbooks zum Hinzufügen und Ausführen einer Aufgabe

Dieser Abschnitt enthält ein Beispielverfahren zum Hinzufügen einer Playbookaktion, die folgende Aktionen ausführt:

  • Fügt dem Incident eine Aufgabe hinzu und setzt das Kennwort eines kompromittierten Benutzers zurück.
  • Fügt eine weitere Playbookaktion hinzu, um ein Signal an Microsoft Entra ID Protection (AADIP) zu senden, um das Kennwort tatsächlich zurückzusetzen.
  • Fügt eine letzte Playbookaktion hinzu, um die Aufgabe im Incident als abgeschlossen zu markieren.

Führen Sie die folgenden Schritte aus, um diese Aktionen hinzuzufügen und zu konfigurieren:

  1. Fügen Sie über den Microsoft Sentinel Connector die Aktion Aufgabe zu Incident hinzufügen hinzu, und führen Sie dann Folgendes aus:

    1. Wählen Sie das dynamische Inhaltselement Incident ARM ID für das Feld Incident ARM ID aus.

    2. Geben Sie Benutzerkennwort zurücksetzen als Titel ein.

    3. Fügen Sie eine optionale Beschreibung hinzu.

    Zum Beispiel:

    Screenshot: Playbookaktionen zum Hinzufügen einer Aufgabe zum Zurücksetzen des Kennworts eines Benutzers

  2. Fügen Sie die Aktion Entitäten – Konten abrufen (Vorschau) hinzu. Fügen Sie das dynamische Inhaltselement Entitäten (aus dem Microsoft Sentinel Incidentschema) zum Listenfeld Entitäten hinzu. Zum Beispiel:

    Screenshot: Playbookaktionen zum Abrufen der Kontoentitäten im Incident

  3. Fügen Sie eine For each-Schleife aus der Steuerelement-Aktionsbibliothek hinzu. Fügen Sie das dynamische Inhaltselement Konten aus der Ausgabe Entitäten – Konten abrufen zum Feld Ausgabe aus vorherigen Schritten auswählen hinzu. Zum Beispiel:

    Screenshot: Hinzufügen einer for-each-Schleifenaktion zu einem Playbook, um eine Aktion für jedes ermittelte Konto auszuführen.

  4. Wählen Sie in der For each-SchleifeAktion hinzufügen aus. Gehen Sie dann wie folgt vor:

    1. Suchen Sie nach dem connector Microsoft Entra ID Protection, und wählen Sie den Connector aus.
    2. Wählen Sie die Aktion Als gefährdeten Benutzer bestätigen (Vorschau) aus.
    3. Fügen Sie das dynamische Inhaltselement Konten Microsoft Entra Benutzer-ID zum Feld userIds Item - 1 hinzu.

    Diese Aktion setzt Prozesse innerhalb Microsoft Entra ID Protection in Bewegung, um das Kennwort des Benutzers zurückzusetzen.

    Screenshot: Senden von Entitäten an AADIP zur Bestätigung der Kompromittierung

    Hinweis

    Das Feld Konten Microsoft Entra Benutzer-ID ist eine Möglichkeit, einen Benutzer in AADIP zu identifizieren. Es ist möglicherweise nicht unbedingt der beste Weg in jedem Szenario, wird aber hier nur als Beispiel genannt.

    Weitere Informationen finden Sie in anderen Playbooks, die mit kompromittierten Benutzern umgehen, oder in der Microsoft Entra ID Protection-Dokumentation.

  5. Fügen Sie die Aktion Aufgabe als abgeschlossen markieren aus dem Microsoft Sentinel-Connector hinzu, und fügen Sie das dynamische Inhaltselement Incident task ID dem Feld Task ARM id hinzu. Zum Beispiel:

    Screenshot: Hinzufügen einer Playbookaktion zum Markieren einer abgeschlossenen Incidentaufgabe

Verwenden eines Playbooks zum bedingten Hinzufügen einer Aufgabe

Dieser Abschnitt enthält ein Beispielverfahren zum Hinzufügen einer Playbookaktion, die eine IP-Adresse recherchiert, die in einem Incident angezeigt wird.

  • Wenn die Ergebnisse dieser Untersuchung sind, dass die IP-Adresse böswillig ist, erstellt das Playbook eine Aufgabe für den Analysten, den Benutzer mit dieser IP-Adresse zu deaktivieren.
  • Wenn es sich bei der IP-Adresse nicht um eine bekannte schädliche Adresse handelt, erstellt das Playbook eine andere Aufgabe, damit der Analyst den Benutzer kontaktieren kann, um die Aktivität zu überprüfen.

Führen Sie die folgenden Schritte aus, um diese Aktionen hinzuzufügen und zu konfigurieren:

  1. Fügen Sie aus dem Microsoft Sentinel Connector die Aktion Entitäten – IP-Adressen abrufen hinzu. Fügen Sie das dynamische Inhaltselement Entitäten (aus dem Microsoft Sentinel Incidentschema) zum Listenfeld Entitäten hinzu. Zum Beispiel:

    Screenshot: Playbookaktionen zum Abrufen der IP-Adressentitäten im Incident

  2. Fügen Sie eine For each-Schleife aus der Steuerelement-Aktionsbibliothek hinzu. Fügen Sie das dynamische Inhaltselement IP-Adressen aus der Ausgabe Entitäten – Abrufen von IP-Adressen zum Feld Select an output from previous steps (Ausgabe aus vorherigen Schritten auswählen) hinzu . Zum Beispiel:

    Screenshot: Hinzufügen einer for-each-Schleifenaktion zu einem Playbook, um eine Aktion für jede ermittelte IP-Adresse auszuführen.

  3. Wählen Sie in der For each-SchleifeAktion hinzufügen aus, und wählen Sie dann Folgendes aus:

    1. Suchen Sie nach dem Connector Virus Total ( Virus Total ), und wählen Sie den Connector aus.
    2. Wählen Sie die Aktion IP-Bericht abrufen (Vorschau) aus.
    3. Fügen Sie das dynamische Inhaltselement IP-Adresse aus der Ausgabe Entitäten – Ip-Adressen abrufen zum Feld IP-Adresse hinzu.

    Zum Beispiel:

    Screenshot: Senden der Anforderung an den Bericht

  4. Wählen Sie in der For each-SchleifeAktion hinzufügen aus, und wählen Sie dann Folgendes aus:

    1. Fügen Sie eine Bedingung aus der Steuerelementaktionsbibliothek hinzu.
    2. Fügen Sie das Element Letzte Analysestatistik Schädlicher dynamischer Inhalt aus der Ausgabe Abrufen eines IP-Berichts hinzu. Möglicherweise müssen Sie mehr anzeigen auswählen, um es zu finden.
    3. Wählen Sie den Operator ist größer als aus, und geben Sie als Wert ein 0 .

    Diese Bedingung stellt die Frage"Hat der Bericht "Virus Total IP ergebnisse?" Zum Beispiel:

    Screenshot: Festlegen einer True-False-Bedingung in einem Playbook

  5. Wählen Sie in der Option Truedie Option Aktion hinzufügen aus, und wählen Sie dann Folgendes aus:

    1. Wählen Sie im Microsoft Sentinel Connector die Aktion Aufgabe zu Incident hinzufügen aus.
    2. Wählen Sie das dynamische Inhaltselement Incident ARM ID für das Feld Incident ARM ID aus.
    3. Geben Sie Benutzer als gefährdet markieren als Titel ein.
    4. Fügen Sie eine optionale Beschreibung hinzu.

    Zum Beispiel:

    Screenshot: Playbookaktionen zum Hinzufügen einer Aufgabe, um einen Benutzer als gefährdet zu kennzeichnen

  6. Wählen Sie in der Option False die Option Aktion hinzufügen aus, und wählen Sie dann Folgendes aus:

    1. Wählen Sie im Microsoft Sentinel Connector die Aktion Aufgabe zu Incident hinzufügen aus.
    2. Wählen Sie das dynamische Inhaltselement Incident ARM ID für das Feld Incident ARM ID aus.
    3. Geben Sie Den Benutzer erreichen ein, um die Aktivität als Titel zu bestätigen.
    4. Fügen Sie eine optionale Beschreibung hinzu.

    Zum Beispiel:

    Screenshot: Playbookaktionen zum Hinzufügen einer Aufgabe zur Bestätigung der Aktivität durch den Benutzer

Verwandte Inhalte

Weitere Informationen finden Sie unter:

  • Last updated on