Tutorial: Reagieren auf Bedrohungen mithilfe von Playbooks mit Automatisierungsregeln in Microsoft Sentinel

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Tutorial erfahren Sie, wie Sie Playbooks mit Automatisierungsregeln verwenden, um Ihre Reaktion auf Vorfälle zu automatisieren und von Microsoft Sentinel erkannte Sicherheitsbedrohungen zu behandeln. Das Tutorial umfasst Folgendes:

• Erstellen einer Automatisierungsregel
• Erstellen eines Playbooks
• Hinzufügen von Aktionen zu einem Playbook
• Anfügen eines Playbooks an eine Automatisierungs- oder Analyseregel, um die Reaktion auf Bedrohungen zu automatisieren

Hinweis

Dieses Tutorial enthält grundlegende Anleitungen für eine der wichtigsten Kundenaufgaben: Das Einrichten von Automatisierung für die Selektierung von Vorfällen. Weitere Informationen finden Sie in unserem Abschnitt Vorgehensweise, z. B. Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel und Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Was sind Automatisierungsregeln und Playbooks?

Automatisierungsregeln helfen bei der Selektierung von Vorfällen in Microsoft Sentinel. Hiermit können Sie Vorfälle automatisch den richtigen Mitarbeitern zuweisen, überflüssige Vorfälle oder bekannte False Positives schließen, den Schweregrad ändern und Tags hinzufügen. Außerdem sind sie der Mechanismus, mit dem Playbooks als Reaktion auf Vorfälle oder Warnungen ausgeführt werden können.

Playbooks sind Sammlungen von Prozeduren, die von Microsoft Sentinel als Reaktion auf einen gesamten Vorfall, auf eine einzelne Warnung oder auf eine bestimmte Entität ausgeführt werden können. Ein Playbook kann Ihnen dabei helfen, Ihre Reaktion zu automatisieren und zu orchestrieren, und es kann so festgelegt werden, dass es automatisch ausgeführt wird, wenn bestimmte Warnungen generiert oder Vorfälle erstellt oder aktualisiert werden, indem sie an eine Automatisierungsregel angefügt werden. Es kann auch manuell bei Bedarf für bestimmte Vorfälle, Warnungen oder Entitäten ausgeführt werden.

Da Playbooks in Microsoft Sentinel auf in Azure Logic Apps erstellten Workflows basieren, stehen Ihnen die Leistung, Anpassbarkeit und integrierten Vorlagen zur Verfügung, die Sie von Logic Apps gewohnt sind. Jedes Playbook wird zwar speziell für das Abonnement erstellt, zu dem es gehört, unter Playbooks werden jedoch alle Playbooks angezeigt, die für alle ausgewählten Abonnements verfügbar sind.

Hinweis

Da Playbooks Azure Logic Apps nutzen, fallen möglicherweise zusätzliche Gebühren an. Ausführlichere Informationen finden Sie auf der Preisseite von Azure Logic Apps.

Wenn Sie beispielsweise verhindern möchten, dass sich potenziell kompromittierte Benutzer durch Ihr Netzwerk bewegen und Informationen stehlen, können Sie eine automatisierte, vielseitige Reaktion auf Vorfälle erstellen, die durch Regeln zur Erkennung kompromittierter Benutzer generiert werden. Hierzu können Sie ein Playbook mit folgenden Aktionen erstellen:

1. Wenn das Playbook durch eine Automatisierungsregel aufgerufen wird und von ihr einen Vorfall erhält, wird ein Ticket in ServiceNow oder in einem anderen IT-Ticketsystem erstellt.

2. Eine Nachricht wird an Ihren Sicherheitskanal in Microsoft Teams oder Slack gesendet, um Ihre Sicherheitsanalysten auf den Vorfall aufmerksam zu machen.

3. Außerdem werden sämtliche Informationen des Vorfalls per E-Mail an den leitenden Netzwerkadministrator sowie an den Sicherheitsadministrator gesendet. Die E-Mail enthält Optionsschaltflächen zum Blockieren und Ignorieren.

4. Das Playbook wartet auf eine Reaktion der Administratoren und fährt dann mit den nächsten Schritten fort.

5. Wenn die Administratoren die Option Blockieren auswählen, werden Befehle an Microsoft Entra ID und an die Firewall gesendet, um den Benutzer zu deaktivieren bzw. um die IP-Adresse zu blockieren.

6. Wenn die Administratoren die Option Ignorieren auswählen, werden der Vorfall in Microsoft Sentinel und das Ticket in ServiceNow geschlossen.

Erstellen Sie anschließend als Auslöser für das Playbook eine Automatisierungsregel, die ausgeführt wird, wenn diese Vorfälle generiert werden. Diese Regel umfasst folgende Schritte:

1. Sie ändert den Status des Vorfalls in Aktiv.

2. Sie weist den Vorfall dem Analysten zu, der für diese Art von Vorfall zuständig ist.

3. Sie fügt das Tag „Kompromittierter Benutzer“ hinzu.

4. Sie ruft das soeben erstellte Playbook auf. (Für diesen Schritt sind spezielle Berechtigungen erforderlich.)

Playbooks können automatisch als Reaktion auf Vorfälle ausgeführt werden. Hierzu werden Automatisierungsregeln erstellt, die die Playbooks als Aktionen aufrufen, wie im obigen Beispiel gezeigt. Sie können aber auch automatisch als Reaktion auf Warnungen ausgeführt werden. Hierzu wird die Analyseregel so konfiguriert, dass automatisch mindestens ein Playbook aufgerufen wird, wenn die Warnung generiert wird.

Sie können ein Playbook bei Bedarf auch manuell ausführen, um auf eine ausgewählte Warnung zu reagieren.

Eine ausführlichere Einführung in die Automatisierung von Reaktionen auf Bedrohungen mit Automatisierungsregeln und Playbooks in Microsoft Sentinel finden Sie unter Automatisierung der Vorfallbehandlung in Microsoft Sentinel mit Automatisierungsregeln sowie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.

Erstellen eines Playbooks

Gehen Sie wie folgt vor, um in Microsoft Sentinel ein neues Playbook zu erstellen:

Azure portal

Defender-Portal

1. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfiguration>Automatisierung aus. Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel >Konfiguration>Automatisierung aus.

2. Wählen Sie im oberen Menü die Option Erstellen aus.

3. Das unter Erstellen angezeigte Dropdownmenü enthält vier Optionen zum Erstellen von Playbooks:

   1. Wenn Sie ein Playbook vom Typ Standard erstellen (die neue Art, siehe Logik-App-Typen), wählen Sie Leeres Playbook aus und führen dann die Schritte auf der Registerkarte Logic Apps (Standard) weiter unten aus.

   2. Wenn Sie ein Playbook des Typs Verbrauch (ursprüngliche, klassische Art) erstellen, wählen Sie abhängig von dem zu verwendenden Trigger entweder Playbook mit Incidenttrigger, Playbook mit Warnungstrigger oder Playbook mit Entitätstrigger aus. Führen Sie dann die Schritte auf der Registerkarte Logic Apps (Verbrauch) weiter unten aus.

      Weitere Informationen zum zu verwendenden Trigger finden Sie unter Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks.

Logic Apps (Verbrauch)

Vorbereiten des Playbooks und der Logik-App

Unabhängig davon, welchen Trigger Sie im vorherigen Schritt zum Erstellen Ihres Playbooks ausgewählt haben, wird der Assistent zum Erstellen von Playbooks angezeigt.

1. Auf der Registerkarte Grundlagen:

   1. Treffen Sie in den entsprechenden Dropdownlisten die gewünschte Auswahl für Abonnement, Ressourcengruppe und Region. Ihre Logik-App-Informationen werden in der ausgewählten Region gespeichert.

   2. Geben Sie unter Playbook-Name einen Namen für Ihr Playbook ein.

   3. Wenn Sie die Aktivität dieses Playbooks zu Diagnosezwecken überwachen möchten, aktivieren Sie das Kontrollkästchen Diagnoseprotokolle in Log Analytics aktivieren, und wählen Sie in der Dropdownliste Ihren Log Analytics-Arbeitsbereich aus.

   4. Wenn Ihre Playbooks Zugriff auf geschützte Ressourcen benötigen, die sich in einem virtuellen Azure-Netzwerk befinden oder damit verbunden sind, müssen Sie möglicherweise eine Integrationsdienstumgebung (Integration Service Environment, ISE) verwenden. Aktivieren Sie in diesem Fall das Kontrollkästchen Einer Integrationsdienstumgebung zuordnen, und wählen Sie in der Dropdownliste die gewünschte ISE aus.

   5. Wählen Sie Weiter: Verbindungen > aus.

2. Gehen Sie auf der Registerkarte Verbindungen wie folgt vor:

   Idealerweise sollten Sie diesen Abschnitt unverändert verlassen und Logic Apps so konfigurieren, dass mit einer verwalteten Identität eine Verbindung mit Microsoft Sentinel hergestellt wird. Hier finden Sie Informationen zu dieser Authentifizierung und Authentifizierungsalternativen.

   Wählen Sie Weiter: Überprüfen und erstellen > aus.

3. Gehen Sie auf der Registerkarte Überprüfen und erstellen wie folgt vor:

   Überprüfen Sie die von Ihnen ausgewählten Konfigurationsoptionen, und wählen Sie Erstellen und zum Designer fortfahren aus.

4. Die Erstellung und Bereitstellung Ihres Playbooks dauert einige Minuten. Anschließend wird die Meldung „Ihre Bereitstellung wurde abgeschlossen.“ angezeigt, und Sie werden zum Logik-App-Designer Ihres neuen Playbooks weitergeleitet. Der am Anfang ausgewählte Trigger wurde automatisch als erster Schritt hinzugefügt, und Sie können dort das Entwerfen des Workflow fortsetzen.

   

   Wenn Sie den Trigger Microsoft Sentinel-Entität (Vorschau) gewählt haben, wählen Sie den Entitätstyp aus, den dieses Playbook als Eingabe empfangen soll.

   

Logic Apps (Standard)

Vorbereiten der Logik-App und des Workflows

Es gibt drei Schritte, um mit dem Erstellen eines Playbooks vom Typ „Logic Apps (Standard)“ zu beginnen:

1. Erstellen Sie eine Logik-App.
2. Erstellen eines Workflows (Dies ist das tatsächliche Playbook.)
3. Auswählen des Triggers

Erstellen einer Logik-App

Da Sie Leeres Playbook ausgewählt haben, wird eine neue Browserregisterkarte geöffnet, und Sie werden zum Assistenten zum Erstellen einer Logik-App weitergeleitet.

1. Auf der Registerkarte Grundlagen:

   1. Treffen Sie in den entsprechenden Dropdownlisten die gewünschte Auswahl für Abonnement und Ressourcengruppe.

   2. Geben Sie einen Namen für Ihre Logik-App ein. Wählen Sie unter Workflow die Option Veröffentlichen aus. Wählen Sie die Region aus, in der Sie die Logik-App bereitstellen möchten.

   3. Wählen Sie unter Plantyp die Option Standard aus.

   4. Wählen Sie Weiter: Hosting > aus.

2. Auf der Registerkarte Hosting:

   1. Wählen Sie unter Speichertyp die Option Azure Storage und dann ein Speicherkonto aus, oder erstellen Sie ein Speicherkonto.

   2. Wählen Sie einen Windows-Plan aus.

3. Wählen Sie Weiter: Überwachung > aus.

4. Gehen Sie auf der Registerkarte Überwachung wie folgt vor:

   1. Wenn Sie die Leistungsüberwachung in Azure Monitor für diese Anwendung aktivieren möchten, lassen Sie den Umschalter auf „Ja“ festgelegt. Schalten Sie ihn andernfalls auf „Nein“ um.

      Hinweis

      Diese Überwachung ist für Microsoft Sentinel nicht erforderlich und verursacht zusätzliche Kosten.

   2. Sie können Weiter: Tags > auswählen, um zur Ressourcenkategorisierung und zu Abrechnungszwecken Tags auf diese Logik-App anzuwenden. Wählen Sie andernfalls Überprüfen und erstellen aus.

5. Gehen Sie auf der Registerkarte Überprüfen und erstellen wie folgt vor:

   Überprüfen Sie die von Ihnen ausgewählten Konfigurationsoptionen, und wählen Sie Erstellen aus.

6. Die Erstellung und Bereitstellung Ihres Playbooks dauert einige Minuten. Währenddessen werden einige Bereitstellungsnachrichten angezeigt. Am Ende des Prozesses werden Sie zum letzten Bereitstellungsbildschirm weitergeleitet, auf dem die Meldung „Ihre Bereitstellung wurde abgeschlossen.“ angezeigt wird.

   Wählen Sie Zu Ressource wechseln aus. Sie werden zur Hauptseite Ihrer neuen Logik-App weitergeleitet.

   Im Gegensatz zu klassischen Verbrauchsplaybooks sind Sie noch nicht fertig. Nun müssen Sie einen Workflow erstellen.

Erstellen eines Workflows (Playbook)

1. Wählen Sie auf der Seite Ihrer Logik-App im Navigationsmenü die Option Workflows aus.

2. Wählen Sie oben auf der Schaltflächenleiste + Hinzufügen aus. (Es dauert möglicherweise einige Sekunden, bis die Schaltfläche aktiv ist.)

3. Der Bereich Neuer Workflow wird angezeigt. Geben Sie einen Namen für den Workflow ein.

4. Wählen Sie unter Zustandstyp die Option Zustandsbehaftet aus.

   Hinweis

   Microsoft Sentinel unterstützt derzeit nicht die Verwendung von zustandslosen Workflows als Playbooks.

5. Klicken Sie auf Erstellen. Ihr Workflow wird gespeichert und in der Liste der Workflows in Ihrer Logik-App angezeigt. Wählen Sie den Workflow aus, um fortzufahren.

6. Die Seite Ihres Workflows wird angezeigt. Hier können Sie alle Informationen zu Ihrem Workflow anzeigen – einschließlich aller Ausführungszeiten. Wählen Sie im Navigationsmenü Designer aus.

7. Der Designerbildschirm wird geöffnet, und Sie werden sofort aufgefordert, einen Trigger hinzuzufügen und mit dem Entwerfen des Workflows fortzufahren.

   

Auswählen des Triggers

1. Wählen Sie die Registerkarte Azure aus, und geben Sie in der Suchzeile „Sentinel“ ein.

2. Auf der unten gezeigten Registerkarte Trigger finden die drei von Microsoft Sentinel angebotenen Trigger:

   • Microsoft Sentinel-Warnung (Vorschau)
   • Microsoft Sentinel-Entität (Vorschau)
   • Microsoft Sentinel-Vorfall (Vorschau)

   Wählen Sie den passenden Trigger für die Art des Playbooks aus, das Sie erstellen.

   

   Wenn Sie den Trigger Microsoft Sentinel-Entität (Vorschau) gewählt haben, wählen Sie den Entitätstyp aus, den dieses Playbook als Eingabe empfangen soll.

   

Hinweis

Wenn Sie einen Trigger oder eine nachfolgende Aktion auswählen, werden Sie aufgefordert, sich bei dem Ressourcenanbieter zu authentifizieren, mit dem Sie interagieren. In diesem Fall ist der Anbieter Microsoft Sentinel. Sie können verschiedene Ansätze für die Authentifizierung verwenden. Weitere Informationen und Anweisungen finden Sie unter Authentifizieren von Playbooks für Microsoft Sentinel.

Weitere Informationen zum zu verwendenden Trigger finden Sie unter Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks.

Hinzufügen von Aktionen

Nun können Sie definieren, was passieren soll, wenn das Playbook aufgerufen wird. Durch Auswählen von Neuer Schritt können Sie Aktionen, logische Bedingungen, Schleifen oder Parameterbedingungen hinzufügen. Nach dem Auswählen dieser Option wird im Designer ein neuer Rahmen geöffnet, in dem Sie ein System oder eine Anwendung für die Interaktion oder eine festzulegende Bedingung auswählen können. Geben Sie am oberen Rand des Frames den Namen des Systems oder der Anwendung in die Suchleiste ein, und wählen Sie anschließend eines der verfügbaren Ergebnisse aus.

In jedem dieser Schritte wird nach dem Klicken auf ein beliebiges Feld ein Bereich mit zwei Menüs angezeigt: Dynamischer Inhalt und Ausdruck. Im Menü Dynamischer Inhalt können Sie Verweise auf die Attribute der Warnung oder des Incidents hinzufügen, die bzw. der an das Playbook übergeben wurde, einschließlich der Werte und Attribute aller zugeordneten Entitäten sowie benutzerdefinierter Details, die in der Warnung bzw. dem Incident enthalten sind. Im Menü Ausdruck steht eine umfangreiche Bibliothek mit Funktionen zur Verfügung, mit denen Sie Ihren Schritten zusätzliche Logik hinzufügen können.

Dieser Screenshot zeigt die Aktionen und Bedingungen, die Sie bei der Erstellung des Playbooks hinzufügen würden, das im Beispiel am Anfang dieses Dokuments beschrieben wurde. Erfahren Sie mehr über das Hinzufügen von Aktionen zu Ihren Playbooks.

Unter Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks finden Sie Details zu Aktionen, die Sie Playbooks für verschiedene Zwecke hinzufügen können.

Beachten Sie insbesondere diese wichtigen Informationen zu Playbooks, die auf dem Entitätstrigger in einem Nicht-Incident-Kontext basieren.

Automatisieren der Reaktionen auf Bedrohungen

Sie haben Ihr Playbook erstellt und den Trigger definiert, die Bedingungen festgelegt und die auszuführenden Aktionen sowie die zu generierenden Ausgaben vorgegeben. Nun müssen Sie die Kriterien für die Ausführung bestimmen und den Automatisierungsmechanismus einrichten, durch den es ausgeführt wird, wenn diese Kriterien erfüllt sind.

Reagieren auf Vorfälle und Warnungen

Wenn Sie ein Playbook verwenden möchten, um automatisch auf einen gesamten Vorfall oder eine einzelne Warnung zu reagieren, erstellen Sie eine Automatisierungsregel, die ausgeführt wird, wenn der Vorfall erstellt oder aktualisiert oder wenn die Warnung generiert wird. Diese Automatisierungsregel enthält einen Schritt, der das Playbook aufruft, das Sie verwenden möchten.

So erstellen Sie eine Automatisierungsregel:

1. Wählen Sie im Microsoft Sentinel-Navigationsmenü auf der Seite Automatisierung im oberen Menü die Option Erstellen und anschließend Automatisierungsregel aus.

   

2. Der Bereich Neue Automatisierungsregel erstellen wird geöffnet. Geben Sie einen Namen für Ihre Regel ein.

   Ihre Optionen unterscheiden sich je nachdem, ob Ihr Arbeitsbereich in die einheitliche Security Operations-Plattform integriert ist. Zum Beispiel:

   Integrierte Arbeitsbereiche

   

   Arbeitsbereiche, die nicht integriert sind

   

3. Trigger: Wählen Sie den entsprechenden Trigger passend zu dem Umstand aus, für den Sie die Automatisierungsregel erstellen – Wenn ein Vorfall erstellt wird, wenn ein Vorfall aktualisiert wird oder wenn eine Warnung erstellt wird.

4. Bedingungen:

   1. Wenn Ihr Arbeitsbereich noch nicht in die einheitliche Security Operations-Plattform integriert ist, können Vorfälle zwei mögliche Ursachen haben:

      • Vorfälle können innerhalb von Microsoft Sentinel erstellt werden
      • Vorfälle können aus Microsoft Defender XDR importiert – und synchronisiert – werden.

      Wenn Sie einen der Vorfalltrigger ausgewählt haben und wollen, dass die Automatisierungsregel nur für Vorfälle wirksam wird, die aus Microsoft Sentinel stammen, oder alternativ aus Microsoft Defender XDR, geben Sie die Quelle in der Bedingung Vorfallanbieter entspricht an.

      Diese Bedingung wird nur angezeigt, wenn ein Vorfalltrigger ausgewählt ist und Ihr Arbeitsbereich nicht in die einheitliche Security Operations-Plattform integriert ist.

   2. Für alle Triggertypen gilt: Wenn die Automatisierungsregel nur für bestimmte Analyseregeln gelten soll, ändern Sie die Bedingung Wenn Name der Analyseregel Folgendes enthält, um die gewünschten Regeln anzugeben.

   3. Fügen Sie alle anderen Bedingungen hinzu, für die Sie bestimmen möchten, ob diese Automatisierungsregel ausgeführt wird. Klicken Sie auf + hinzufügen, und wählen Sie Bedingungen oder Bedingungsgruppen aus der Dropdownliste aus. Die Liste mit den Bedingungen wird mit Feldern für Warnungsdetails und Entitätsbezeichner aufgefüllt.

5. Aktionen:

   1. Da Sie diese Automatisierungsregel zum Ausführen eines Playbooks verwenden, wählen Sie in der Dropdownliste die Aktion Playbook ausführen aus. Sie werden dann aufgefordert, aus einer zweiten Dropdownliste auszuwählen, in der die verfügbaren Playbooks angezeigt werden. Eine Automatisierungsregel kann nur die Playbooks ausführen, die mit demselben Trigger (Vorfall oder Warnung) wie der in der Regel definierte Trigger beginnen, sodass nur diese Playbooks in der Liste angezeigt werden.

      Wichtig

      Microsoft Sentinel müssen explizite Berechtigungen erteilt werden, um Playbooks über Automatisierungsregeln ausführen zu können, egal ob manuell oder von einer Automatisierungsregeln. Ist ein Playbook in der Dropdownliste ausgegraut dargestellt, verfügt Sentinel über keine Berechtigung für die Ressourcengruppe des Playbooks. Klicken Sie auf den Link Manage playbook permissions (Playbookberechtigungen verwalten), um Berechtigungen zuzuweisen.

      Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und klicken Sie auf Anwenden.

      

      • Sie selbst müssen für jede Ressourcengruppe, für die Sie Microsoft Sentinel Berechtigungen erteilen möchten, über die Berechtigung Besitzer und für jede Ressourcengruppe, die auszuführende Playbooks enthält, über die Rolle Mitwirkender für Logik-Apps verfügen.

      • In einer Bereitstellung mit mehreren Mandanten gilt: Wenn sich das Playbook, das Sie ausführen möchten, in einem anderen Mandanten befindet, müssen Sie Microsoft Sentinel die Berechtigung zum Ausführen des Playbooks im zugehörigen Mandanten erteilen.

        1. Wählen Sie im Mandanten des Playbooks im Microsoft Sentinel-Navigationsmenü die Option Einstellungen aus.
        2. Wählen Sie auf dem Blatt Einstellungen die Registerkarte Einstellungen aus, und erweitern Sie anschließend den Bereich Playbookberechtigungen.
        3. Klicken Sie auf die Schaltfläche Berechtigungen konfigurieren, um den weiter oben erwähnten Bereich Berechtigungen verwalten zu öffnen, und fahren Sie wie dort beschrieben fort.

      • Wenn Sie in einem MSSP-Szenario ein Playbook in einem Kundenmandanten anhand einer Automatisierungsregel ausführen möchten, die Sie erstellt haben, während Sie beim Dienstanbietermandanten angemeldet waren, müssen Sie Microsoft Sentinel die Berechtigung zum Ausführen des Playbooks in beiden Mandanten erteilen. Befolgen Sie im Kundenmandanten die Anweisungen für die mehrinstanzenfähige Bereitstellung unter dem vorherigen Aufzählungspunkt. Im Dienstanbietermandanten müssen Sie die Azure Security Insights-App in Ihrer Azure Lighthouse-Onboardingvorlage hinzufügen:

        1. Navigieren Sie vom Azure-Portal zu Microsoft Entra ID.
        2. Klicken Sie auf Unternehmensanwendungen.
        3. Wählen Sie Anwendungstyp aus, und filtern Sie nach Microsoft-Anwendungen.
        4. Geben Sie im Suchfeld den Namen Azure Security Insights ein.
        5. Kopieren Sie das Feld Objekt-ID. Sie müssen diese zusätzliche Autorisierung zu Ihrer vorhandenen Azure Lighthouse-Delegierung hinzufügen.

        Die Rolle Mitwirkender für Microsoft Sentinel-Automatisierung weist eine feste GUID auf. Hierbei handelt es sich um f4c81013-99ee-4d62-a7ee-b3f1f648599a. Ein Beispiel für eine Azure Lighthouse Autorisierung würde in Ihrer Parametervorlage wie folgt aussehen:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Fügen Sie alle anderen Aktionen hinzu, die Sie für diese Regel benötigen. Sie können die Reihenfolge der Ausführung von Aktionen ändern, indem Sie die Nach-oben- oder Nach-unten-Pfeile rechts neben jeder Aktion auswählen.

6. Falls gewünscht, können Sie ein Ablaufdatum für Ihre Automatisierungsregel festlegen.

7. Geben Sie unter Reihenfolge eine Zahl ein, um festzulegen, wann diese Regel in der Sequenz der Automatisierungsregeln ausgeführt werden soll.

8. Wählen Sie Übernehmen. Sie haben es geschafft!

Weitere Möglichkeiten zum Erstellen von Automatisierungsregeln finden Sie hier.

Reagieren auf Warnungen – Legacymethode

Eine weitere Möglichkeit zum automatischen Ausführen von Playbooks als Reaktion auf Warnungen besteht darin, sie aus einer Analyseregel aufzurufen. Wenn die Regel eine Warnung generiert, wird das Playbook ausgeführt.

Diese Methode gilt ab März 2026 veraltet.

Ab Juni 2023 können Sie auf diese Weise keine Playbooks mehr zu Analyseregeln hinzufügen. Sie können jedoch weiterhin die vorhandenen Playbooks sehen, die aus Analyseregeln aufgerufen werden. Diese Playbooks werden noch bis März 2026 ausgeführt. Es wird dringend empfohlen vor diesem Zeitpunkt, stattdessen Automatisierungsregeln zu erstellen, um diese Playbooks abzurufen.

Ausführen eines Playbooks bei Bedarf

Sie können ein Playbook bei Bedarf auch manuell ausführen, sei es als Reaktion auf Warnungen, Vorfälle (Vorschau) oder Entitäten (auch Vorschau). Dies kann in Situationen nützlich sein, in denen Sie mehr menschliche Eingaben und stärkere Kontrolle über Orchestrierungs- und Antwortprozesse wünschen.

Manuelles Ausführen eines Playbooks für eine Warnung

Dieses Verfahren wird in der einheitlichen Security Operations-Plattform nicht unterstützt.

Wählen Sie im Azure-Portal nach Bedarf für Ihre Umgebung eine der folgenden Registerkarten aus:

Seite mit NEUEN Incidentdetails

1. Wählen Sie auf der Seite Incidents einen Incident aus.

   Wählen Sie im Azure-Portal unten im Bereich „Vorfalldetails“ die Option Vollständige Details anzeigen aus, um die Seite „Vorfalldetails“ zu öffnen.

2. Wählen Sie auf der Seite mit Incidentdetails im Widget Incidentzeitachse die Warnung aus, für die Sie das Playbook ausführen möchten. Wählen Sie die drei Punkte am Ende der Zeile der Warnung aus und im Popupmenü Playbook ausführen.

   

3. Der Bereich Warnungsplaybooks wird geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Warnungstrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

4. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Untersuchungsdiagramm

1. Wählen Sie auf der Seite Incidents einen Incident aus.

   Wählen Sie im Azure-Portal unten im Bereich „Vorfalldetails“ die Option Vollständige Details anzeigen aus, um die Seite „Vorfalldetails“ zu öffnen.

2. Wählen Sie auf der Seite mit den Incidentdetails die Registerkarte Warnungen aus, wählen Sie die Warnung aus, für die Sie das Playbook ausführen möchten, und wählen Sie den Link Playbooks anzeigen am Ende der Zeile dieser Warnung aus.

3. Der Bereich Warnungsplaybooks wird geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Warnungstrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

4. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Sie können den Ausführungsverlauf für Playbooks in einer Warnung anzeigen, indem Sie im Bereich Warnungsplaybooks die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Manuelles Ausführen eines Playbooks für einen Vorfall (Vorschau)

Dieses Verfahren unterscheidet sich, je nachdem, ob Sie in Microsoft Sentinel oder in der einheitlichen Security Operations-Plattform arbeiten. Wählen Sie die relevante Registerkarte für Ihre Umgebung aus:

Azure portal

1. Wählen Sie auf der Seite Incidents einen Incident aus.

2. Wählen Sie im Bereich mit den Incidentdetails, der auf der rechten Seite angezeigt wird, Aktionen > Playbook ausführen (Vorschau) aus.
   (Wenn Sie die drei Punkte am Ende der Zeile des Incidents im Raster auswählen oder mit der rechten Maustaste auf den Incident klicken, wird dieselbe Liste wie über die Schaltfläche Aktion angezeigt.)

3. Der Bereich Playbook bei Incident ausführen wird auf der rechten Seite geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Incidnettrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

   Wenn das Playbook, das Sie ausführen möchten, nicht in der Liste angezeigt wird, bedeutet dies, dass Microsoft Sentinel nicht über die Berechtigungen zum Ausführen von Playbooks in dieser Ressourcengruppe verfügt (siehe Hinweis weiter oben).

   Um diese Berechtigungen zu gewähren, wählen Sie Einstellungen>Einstellungen>Playbook-Berechtigungen>Berechtigungen konfigurieren aus. Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus.

4. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

   Sie müssen über die Rolle Microsoft Sentinel-Playbook-Operator für jede Ressourcengruppe verfügen, die Playbooks enthält, die Sie ausführen möchten. Wenn Sie das Playbook aufgrund fehlender Berechtigungen nicht ausführen können, sollten Sie sich an einen Administrator wenden, um Ihnen die entsprechenden Berechtigungen zu erteilen. Weitere Informationen finden Sie unter Berechtigungen, die für die Arbeit mit Playbooks erforderlich sind.

Microsoft Defender-Portal

1. Wählen Sie auf der Seite Incidents einen Incident aus.

2. Wählen Sie im Bereich „Vorfalldetails“, der auf der rechten Seite angezeigt wird, die Option Playbook ausführen aus.

3. Der Bereich Playbook bei Vorfall ausführen öffnet sich auf der rechten Seite mit allen verwandten Playbooks für den ausgewählten Vorfall. Wählen Sie in der Spalte Aktion die Option Playbook ausführen für das Playbook aus, das Sie sofort ausführen wollen.

Die Spalte Aktionen zeigt möglicherweise auch einen der folgenden Status an:

Status	Beschreibung und Aktion erforderlich
Fehlende Berechtigungen	Sie müssen über die Rolle Microsoft Sentinel-Playbook-Operator für jede Ressourcengruppe verfügen, die Playbooks enthält, die Sie ausführen möchten. Wenn Ihnen Berechtigungen fehlen, empfehlen wir Ihnen, sich an einen Administrator zu wenden, um Ihnen die relevanten Berechtigungen zu gewähren. Weitere Informationen finden Sie unter Berechtigungen, die für die Arbeit mit Playbooks erforderlich sind.
Gewähren einer Berechtigung	Microsoft Sentinel fehlt die Rolle Mitwirkender für Microsoft Sentinel-Automatisierung, die zum Ausführen von Playbooks auf Vorfällen erforderlich ist. Wählen Sie in solchen Fällen Berechtigung gewähren aus, um den Bereich Berechtigungen verwalten zu öffnen. Der Bereich Berechtigungen verwalten wird standardmäßig auf die Ressourcengruppe des ausgewählten Playbooks gefiltert. Wählen Sie die Ressourcengruppe und dann Anwenden aus, um die erforderlichen Berechtigungen zu gewähren. Sie müssen ein Besitzer oder ein Benutzerzugriffsadministrator in der Ressourcengruppe sein, für die Sie Microsoft Sentinel-Berechtigungen gewähren wollen. Wenn Ihnen Berechtigungen fehlen, ist die Ressourcengruppe abgeblendet, und Sie können sie nicht auswählen. In solchen Fällen empfehlen wir Ihnen, sich an einen Administrator zu wenden, um Ihnen die relevanten Berechtigungen zu gewähren. Weitere Informationen finden Sie im Hinweis oben.

Sie können den Ausführungsverlauf für Playbooks zu einem Vorfall anzeigen, indem Sie im Bereich Playbook bei Vorfall ausführen die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Manuelles Ausführen eines Playbooks für eine Entität (Vorschau)

Dieses Verfahren wird in der einheitlichen Security Operations-Plattform nicht unterstützt.

1. Wählen Sie je nach Ausgangskontext auf eine der folgenden Weisen eine Entität aus:

   Wenn Sie sich auf der Detailseite eines Vorfalls befinden (neue Version):

   1. Suchen Sie im Widget Entitäten auf der Registerkarte Übersicht eine Entität in der Liste aus (wählen Sie sie nicht aus).
   2. Wählen Sie die drei Punkte rechts von der Entität in der Liste aus.
   3. Wählen Sie im Popupmenü Playbook ausführen (Vorschau) aus, und fahren Sie mit Schritt 2 weiter unten fort.
      Wenn Sie die Entität ausgewählt und die Registerkarte „Entitäten“ der Seite mit den Incidentdetails eingegeben haben, fahren Sie mit der folgenden Zeile fort.
   4. Suchen Sie in der Liste eine Entität (ohne sie auszuwählen).
   5. Wählen Sie die drei Punkte rechts von der Entität in der Liste aus.
   6. Wählen Sie im Popupmenü Playbook ausführen (Vorschau) aus.
      Wenn Sie die Entität ausgewählt und deren Entitätsseite eingegeben haben, wählen Sie im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.

   Wenn Sie sich auf der Detailseite eines Incidents befinden (ältere Version):

   1. Wählen Sie die Registerkarte Entitäten des Incidents aus.
   2. Suchen Sie in der Liste eine Entität (ohne sie auszuwählen).
   3. Wählen Sie am Ende der Zeile in der Liste den Link Playbook ausführen (Vorschau) aus.
      Wenn Sie die Entität ausgewählt und deren Entitätsseite eingegeben haben, wählen Sie im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.

   Im Graphen „Untersuchung“:

   1. Wählen Sie im Graphen eine Entität aus.
   2. Wählen Sie im Seitenbereich der Entität die Schaltfläche Playbook ausführen (Vorschau) aus.
      Bei einigen Entitätstypen müssen Sie möglicherweise die Schaltfläche Entitätsaktionen und im resultierenden Menü die Option Playbook ausführen (Vorschau) auswählen.

   Bei proaktiver Suche nach Bedrohungen:

   1. Wählen Sie auf dem Bildschirm Entitätsverhalten in den Listen auf der Seite eine Entität aus, oder suchen Sie nach einer anderen Entität, und wählen Sie sie aus.
   2. Wählen Sie auf der Entitätsseite im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.

2. Unabhängig vom Ausgangskontext wird mit den obigen Anweisungen der Bereich Playbook für <Entitätstyp> ausführen geöffnet. Sie sehen eine Liste aller Playbooks, auf die Sie Zugriff haben und die für den ausgewählten Entitätstyp mit dem Logic Apps-Trigger Microsoft Sentinel-Entität konfiguriert wurden.

3. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Sie können den Ausführungsverlauf für Playbooks für eine bestimmte Entität anzeigen, indem Sie im Bereich Playbook für <Entitätstyp> ausführen die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie Sie Playbooks und Automatisierungsregeln in Microsoft Sentinel verwenden, um auf Bedrohungen zu reagieren.

• Erfahren Sie mehr zur Authentifizierung von Playbooks für Microsoft Sentinel.
• Erfahren Sie mehr zum Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks.
• Erfahren Sie, wie Sie mit Microsoft Sentinel proaktiv nach Bedrohungen suchen.