Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel

In diesem Tutorial erfahren Sie, wie Sie Playbooks mit Automatisierungsregeln verwenden, um Ihre Reaktion auf Vorfälle zu automatisieren und von Microsoft Sentinel erkannte Sicherheitsbedrohungen zu behandeln. Das Tutorial umfasst Folgendes:

  • Erstellen einer Automatisierungsregel
  • Erstellen eines Playbooks
  • Hinzufügen von Aktionen zu einem Playbook
  • Anfügen eines Playbooks an eine Automatisierungs- oder Analyseregel, um die Reaktion auf Bedrohungen zu automatisieren

Hinweis

Dieses Tutorial enthält grundlegende Anleitungen für eine der wichtigsten Kundenaufgaben: Das Einrichten von Automatisierung für die Selektierung von Vorfällen. Weitere Informationen finden Sie in unserem Abschnitt Vorgehensweise, z. B. Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel und Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks.

Was sind Automatisierungsregeln und Playbooks?

Automatisierungsregeln helfen bei der Selektierung von Vorfällen in Microsoft Sentinel. Hiermit können Sie Vorfälle automatisch den richtigen Mitarbeitern zuweisen, überflüssige Vorfälle oder bekannte False Positives schließen, den Schweregrad ändern und Tags hinzufügen. Außerdem sind sie der Mechanismus, mit dem Playbooks als Reaktion auf Vorfälle ausgeführt werden können.

Bei Playbooks handelt es sich um eine Sammlung von Prozeduren, die über Microsoft Sentinel als Reaktion auf eine Warnung oder einen Vorfall ausgeführt werden können. Ein Playbook kann Ihnen dabei helfen, Ihre Reaktion zu automatisieren und zu orchestrieren, und es kann so festgelegt werden, dass es automatisch ausgeführt wird, wenn bestimmte Warnungen oder Vorfälle generiert werden. Hierzu wird es an eine Analyseregel oder an eine Automatisierungsregel angefügt. Bei Bedarf kann es aber auch manuell ausgeführt werden.

Da Playbooks in Microsoft Sentinel auf in Azure Logic Apps erstellten Workflows basieren, stehen Ihnen die Leistung, Anpassbarkeit und integrierten Vorlagen zur Verfügung, die Sie von Logic Apps gewohnt sind. Jedes Playbook wird zwar speziell für das Abonnement erstellt, zu dem es gehört, unter Playbooks werden jedoch alle Playbooks angezeigt, die für alle ausgewählten Abonnements verfügbar sind.

Hinweis

Da Playbooks Azure Logic Apps nutzen, fallen möglicherweise zusätzliche Gebühren an. Ausführlichere Informationen finden Sie auf der Preisseite von Azure Logic Apps.

Wenn Sie beispielsweise verhindern möchten, dass sich potenziell kompromittierte Benutzer durch Ihr Netzwerk bewegen und Informationen stehlen, können Sie eine automatisierte, vielseitige Reaktion auf Vorfälle erstellen, die durch Regeln zur Erkennung kompromittierter Benutzer generiert werden. Hierzu können Sie ein Playbook mit folgenden Aktionen erstellen:

  1. Wenn das Playbook durch eine Automatisierungsregel aufgerufen wird und von ihr einen Vorfall erhält, wird ein Ticket in ServiceNow oder in einem anderen IT-Ticketsystem erstellt.

  2. Eine Nachricht wird an Ihren Sicherheitskanal in Microsoft Teams oder Slack gesendet, um Ihre Sicherheitsanalysten auf den Vorfall aufmerksam zu machen.

  3. Außerdem werden sämtliche Informationen des Vorfalls per E-Mail an den leitenden Netzwerkadministrator sowie an den Sicherheitsadministrator gesendet. Die E-Mail enthält Optionsschaltflächen zum Blockieren und Ignorieren.

  4. Das Playbook wartet auf eine Reaktion der Administratoren und fährt dann mit den nächsten Schritten fort.

  5. Wenn die Administratoren die Option Blockieren auswählen, werden Befehle an Azure AD und an die Firewall gesendet, um den Benutzer zu deaktivieren bzw. um die IP-Adresse zu blockieren.

  6. Wenn die Administratoren die Option Ignorieren auswählen, werden der Vorfall in Microsoft Sentinel und das Ticket in ServiceNow geschlossen.

Erstellen Sie anschließend als Auslöser für das Playbook eine Automatisierungsregel, die ausgeführt wird, wenn diese Vorfälle generiert werden. Diese Regel umfasst folgende Schritte:

  1. Sie ändert den Status des Vorfalls in Aktiv.

  2. Sie weist den Vorfall dem Analysten zu, der für diese Art von Vorfall zuständig ist.

  3. Sie fügt das Tag „Kompromittierter Benutzer“ hinzu.

  4. Sie ruft das soeben erstellte Playbook auf. (Für diesen Schritt sind spezielle Berechtigungen erforderlich.)

Playbooks können automatisch als Reaktion auf Vorfälle ausgeführt werden. Hierzu werden Automatisierungsregeln erstellt, die die Playbooks als Aktionen aufrufen, wie im obigen Beispiel gezeigt. Sie können aber auch automatisch als Reaktion auf Warnungen ausgeführt werden. Hierzu wird die Analyseregel so konfiguriert, dass automatisch mindestens ein Playbook aufgerufen wird, wenn die Warnung generiert wird.

Sie können ein Playbook bei Bedarf auch manuell ausführen, um auf eine ausgewählte Warnung zu reagieren.

Eine ausführlichere Einführung in die Automatisierung von Reaktionen auf Bedrohungen mit Automatisierungsregeln und Playbooks in Microsoft Sentinel finden Sie unter Automatisierung der Vorfallbehandlung in Microsoft Sentinel mit Automatisierungsregeln sowie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.

Erstellen eines Playbooks

Gehen Sie wie folgt vor, um in Microsoft Sentinel ein neues Playbook zu erstellen:

Screenshot der Menüauswahl zum Hinzufügen eines neuen Playbooks im Bildschirm „Automatisierung“

  1. Wählen Sie im Navigationsmenü Microsoft Sentinel die Option Automatisierung aus.

  2. Wählen Sie im oberen Menü die Option Erstellen aus.

  3. Das unter Erstellen angezeigte Dropdownmenü enthält vier Optionen zum Erstellen von Playbooks:

    1. Wenn Sie ein Playbook vom Typ Standard erstellen (die neue Art, siehe Logik-App-Typen), wählen Sie Leeres Playbook aus und führen dann die Schritte auf der Registerkarte Logic Apps (Standard) weiter unten aus.

    2. Wenn Sie ein Playbook des Typs Verbrauch (ursprüngliche, klassische Art) erstellen, wählen Sie abhängig von dem zu verwendenden Trigger entweder Playbook mit Incidenttrigger, Playbook mit Warnungstrigger oder Playbook mit Entitätstrigger aus. Führen Sie dann die Schritte auf der Registerkarte Logic Apps (Verbrauch) weiter unten aus.

      Weitere Informationen zum zu verwendenden Trigger finden Sie unter Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks.

Vorbereiten des Playbooks und der Logik-App

Unabhängig davon, welchen Trigger Sie im vorherigen Schritt zum Erstellen Ihres Playbooks ausgewählt haben, wird der Assistent zum Erstellen von Playbooks angezeigt.

Erstellen einer Logik-App

  1. Auf der Registerkarte Grundlagen:

    1. Treffen Sie in den entsprechenden Dropdownlisten die gewünschte Auswahl für Abonnement, Ressourcengruppe und Region. Ihre Logik-App-Informationen werden in der ausgewählten Region gespeichert.

    2. Geben Sie unter Playbook-Name einen Namen für Ihr Playbook ein.

    3. Wenn Sie die Aktivität dieses Playbooks zu Diagnosezwecken überwachen möchten, aktivieren Sie das Kontrollkästchen Diagnoseprotokolle in Log Analytics aktivieren, und wählen Sie in der Dropdownliste Ihren Log Analytics-Arbeitsbereich aus.

    4. Wenn Ihre Playbooks Zugriff auf geschützte Ressourcen benötigen, die sich in einem virtuellen Azure-Netzwerk befinden oder damit verbunden sind, müssen Sie möglicherweise eine Integrationsdienstumgebung (ISE) verwenden. Aktivieren Sie in diesem Fall das Kontrollkästchen Einer Integrationsdienstumgebung zuordnen, und wählen Sie in der Dropdownliste die gewünschte ISE aus.

    5. Wählen Sie Weiter: Verbindungen > aus.

  2. Gehen Sie auf der Registerkarte Verbindungen wie folgt vor:

    Idealerweise sollten Sie diesen Abschnitt unverändert verlassen und Logic Apps so konfigurieren, dass mit einer verwalteten Identität eine Verbindung mit Microsoft Sentinel hergestellt wird. Hier finden Sie Informationen zu dieser Authentifizierung und Authentifizierungsalternativen.

    Wählen Sie Weiter: Überprüfen und erstellen > aus.

  3. Gehen Sie auf der Registerkarte Überprüfen und erstellen wie folgt vor:

    Überprüfen Sie die von Ihnen ausgewählten Konfigurationsoptionen, und wählen Sie Erstellen und zum Designer fortfahren aus.

  4. Die Erstellung und Bereitstellung Ihres Playbooks dauert einige Minuten. Anschließend wird die Meldung „Ihre Bereitstellung wurde abgeschlossen.“ angezeigt, und Sie werden zum Logik-App-Designer Ihres neuen Playbooks weitergeleitet. Der am Anfang ausgewählte Trigger wurde automatisch als erster Schritt hinzugefügt, und Sie können dort das Entwerfen des Workflow fortsetzen.

    Screenshot des Bildschirms „Logik-App-Designer“ mit Eröffnungstrigger

    Wenn Sie den Trigger Microsoft Sentinel-Entität (Vorschau) gewählt haben, wählen Sie den Entitätstyp aus, den dieses Playbook als Eingabe empfangen soll.

    Screenshot der Dropdownliste der Entitätstypen mit den Optionen zum Festlegen des Playbookschemas.

Hinzufügen von Aktionen

Nun können Sie definieren, was passieren soll, wenn das Playbook aufgerufen wird. Durch Auswählen von Neuer Schritt können Sie Aktionen, logische Bedingungen, Schleifen oder Parameterbedingungen hinzufügen. Nach dem Auswählen dieser Option wird im Designer ein neuer Rahmen geöffnet, in dem Sie ein System oder eine Anwendung für die Interaktion oder eine festzulegende Bedingung auswählen können. Geben Sie am oberen Rand des Frames den Namen des Systems oder der Anwendung in die Suchleiste ein, und wählen Sie anschließend eines der verfügbaren Ergebnisse aus.

In jedem dieser Schritte wird nach dem Klicken auf ein beliebiges Feld ein Bereich mit zwei Menüs angezeigt: Dynamischer Inhalt und Ausdruck. Im Menü Dynamischer Inhalt können Sie Verweise auf die Attribute der Warnung oder des Incidents hinzufügen, die bzw. der an das Playbook übergeben wurde, einschließlich der Werte und Attribute aller zugeordneten Entitäten sowie benutzerdefinierter Details, die in der Warnung bzw. dem Incident enthalten sind. Im Menü Ausdruck steht eine umfangreiche Bibliothek mit Funktionen zur Verfügung, mit denen Sie Ihren Schritten zusätzliche Logik hinzufügen können.

Dieser Screenshot zeigt die Aktionen und Bedingungen, die Sie bei der Erstellung des Playbooks hinzufügen würden, das im Beispiel am Anfang dieses Dokuments beschrieben wurde. Erfahren Sie mehr über das Hinzufügen von Aktionen zu Ihren Playbooks.

Screenshot: Logik-App-Designer mit einem Workflow für Incidenttrigger.

Unter Verwenden von Triggern und Aktionen in Microsoft Sentinel-Playbooks finden Sie Details zu Aktionen, die Sie Playbooks für verschiedene Zwecke hinzufügen können.

Beachten Sie insbesondere diese wichtigen Informationen zu Playbooks, die auf dem Entitätstrigger in einem Nicht-Incident-Kontext basieren.

Automatisieren der Reaktionen auf Bedrohungen

Sie haben Ihr Playbook erstellt und den Trigger definiert, die Bedingungen festgelegt und die auszuführenden Aktionen sowie die zu generierenden Ausgaben vorgegeben. Nun müssen Sie die Kriterien für die Ausführung bestimmen und den Automatisierungsmechanismus einrichten, durch den es ausgeführt wird, wenn diese Kriterien erfüllt sind.

Reagieren auf Incidents

Sie verwenden ein Playbook, um auf einen Vorfall zu reagieren. Hierzu erstellen Sie eine Automatisierungsregel, die ausgeführt wird, wenn der Vorfall generiert wird, und das Playbook aufruft.

So erstellen Sie eine Automatisierungsregel:

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü auf dem Blatt Automatisierung über das obere Menü Erstellen > Neue Regel hinzufügen aus.

    Screenshot: Hinzufügen einer neuen Automatisierungsregel.

  2. Der Bereich Neue Automatisierungsregel erstellen wird geöffnet. Geben Sie einen Namen für Ihre Regel ein.

    Screenshot: Assistent zum Erstellen von Automatisierungsregeln.

  3. Wenn die Automatisierungsregel nur für bestimmte Analyseregeln gelten soll, ändern Sie die Bedingung If Analytics rule name (Wenn Name der Analyseregel), um die gewünschten Regeln anzugeben.

  4. Fügen Sie alle weiteren Bedingungen hinzu, die ggf. für die Aktivierung dieser Automatisierungsregel gelten sollen. Klicken Sie auf Bedingung hinzufügen, und wählen Sie Bedingungen aus der Dropdownliste aus. Die Liste mit den Bedingungen wird mit Feldern für Warnungsdetails und Entitätsbezeichner aufgefüllt.

  5. Wählen Sie die Aktionen aus, die durch diese Automatisierungsregel ausgeführt werden sollen. Zu den verfügbaren Aktionen zählen Assign owner (Besitzer zuweisen), Status ändern, Schweregrad ändern, Tags hinzufügen und Playbook ausführen. Sie können beliebig viele Aktionen hinzufügen.

  6. Wenn Sie eine Aktion vom Typ Playbook ausführen hinzufügen, werden Sie aufgefordert, ein Playbook aus einer Liste mit verfügbaren Playbooks auszuwählen. Nur Playbooks, die mit dem Incidenttrigger beginnen, können über Automatisierungsregeln ausgeführt werden. Daher werden in der Liste auch nur diese Playbooks angezeigt.

    Wichtig

    Microsoft Sentinel müssen explizite Berechtigungen erteilt werden, um Playbooks basierend auf dem Incidenttrigger ausführen zu können – entweder manuell oder über Automatisierungsregeln. Ist ein Playbook in der Dropdownliste ausgegraut dargestellt, verfügt Sentinel über keine Berechtigung für die Ressourcengruppe des Playbooks. Klicken Sie auf den Link Manage playbook permissions (Playbookberechtigungen verwalten), um Berechtigungen zuzuweisen.

    Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und klicken Sie auf Anwenden.

    Verwalten von Berechtigungen

    • Sie selbst müssen für jede Ressourcengruppe, für die Sie Microsoft Sentinel Berechtigungen erteilen möchten, über die Berechtigung Besitzer und für jede Ressourcengruppe, die auszuführende Playbooks enthält, über die Rolle Mitwirkender für Logik-Apps verfügen.

    • In einer Bereitstellung mit mehreren Mandanten gilt: Wenn sich das Playbook, das Sie ausführen möchten, in einem anderen Mandanten befindet, müssen Sie Microsoft Sentinel die Berechtigung zum Ausführen des Playbooks im zugehörigen Mandanten erteilen.

      1. Wählen Sie im Mandanten des Playbooks im Microsoft Sentinel-Navigationsmenü die Option Einstellungen aus.
      2. Wählen Sie auf dem Blatt Einstellungen die Registerkarte Einstellungen aus, und erweitern Sie anschließend den Bereich Playbookberechtigungen.
      3. Klicken Sie auf die Schaltfläche Berechtigungen konfigurieren, um den weiter oben erwähnten Bereich Berechtigungen verwalten zu öffnen, und fahren Sie wie dort beschrieben fort.
    • Wenn Sie in einem MSSP-Szenario ein Playbook in einem Kundenmandanten anhand einer Automatisierungsregel ausführen möchten, die Sie erstellt haben, während Sie beim Dienstanbietermandanten angemeldet waren, müssen Sie Microsoft Sentinel die Berechtigung zum Ausführen des Playbooks in beiden Mandanten erteilen. Befolgen Sie im Kundenmandanten die Anweisungen für die mehrinstanzenfähige Bereitstellung unter dem vorherigen Aufzählungspunkt. Im Dienstanbietermandanten müssen Sie die Azure Security Insights-App in Ihrer Azure Lighthouse-Onboardingvorlage hinzufügen:

      1. Navigieren Sie im Azure-Portal zu Azure Active Directory.
      2. Klicken Sie auf Unternehmensanwendungen.
      3. Wählen Sie Anwendungstyp aus, und filtern Sie nach Microsoft-Anwendungen.
      4. Geben Sie im Suchfeld den Namen Azure Security Insights ein.
      5. Kopieren Sie das Feld Objekt-ID. Sie müssen diese zusätzliche Autorisierung zu Ihrer vorhandenen Azure Lighthouse-Delegierung hinzufügen.

      Die Rolle Mitwirkender für Microsoft Sentinel-Automatisierung weist eine feste GUID auf. Hierbei handelt es sich um f4c81013-99ee-4d62-a7ee-b3f1f648599a. Ein Beispiel für eine Azure Lighthouse Autorisierung würde in Ihrer Parametervorlage wie folgt aussehen:

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
      }
      
  7. Falls gewünscht, können Sie ein Ablaufdatum für Ihre Automatisierungsregel festlegen.

  8. Geben Sie unter Reihenfolge eine Zahl ein, um festzulegen, wann diese Regel in der Sequenz der Automatisierungsregeln ausgeführt werden soll.

  9. Klicken Sie auf Anwenden. Sie haben es geschafft!

Weitere Möglichkeiten zum Erstellen von Automatisierungsregeln finden Sie hier.

Reagieren auf Warnungen

Sie verwenden ein Playbook, um auf eine Warnung zu reagieren. Hierzu erstellen Sie eine Analyseregel oder bearbeiten eine bereits vorhandene Regel, die ausgeführt wird, wenn die Warnung generiert wird, und wählen Ihr Playbook als automatisierte Antwort im Analyseregel-Assistent aus.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü auf dem Blatt Analyse die Analyseregel aus, für die Sie die Reaktion automatisieren möchten, und klicken Sie im Detailbereich auf Bearbeiten.

  2. Wählen Sie auf der Seite Analytics rule wizard - Edit existing scheduled rule (Analyseregel-Assistent – Vorhandene geplante Regel bearbeiten) die Registerkarte Automatisierte Antwort aus.

    Registerkarte „Automatisierte Antwort“

  3. Wählen Sie in der Dropdownliste Ihr Playbook aus. Sie können mehrere Playbooks auswählen. Die Liste enthält jedoch nur Playbooks mit dem Warnungstrigger.

  4. Wählen Sie auf der Registerkarte Überprüfen und aktualisieren die Option Speichern aus.

Ausführen eines Playbooks bei Bedarf

Sie können ein Playbook auch bei Bedarf manuell ausführen, sowohl bei Incidents (in der Vorschauversion) als auch bei Warnungen. Dies kann in Situationen nützlich sein, in denen Sie mehr menschliche Eingaben und stärkere Kontrolle über Orchestrierungs- und Antwortprozesse wünschen.

Manuelles Ausführen eines Playbooks für eine Warnung

  1. Wählen Sie auf der Seite Incidents einen Incident aus.

  2. Wählen Sie unten im Bereich mit den Incidentdetails Vollständige Details anzeigen aus.

  3. Wählen Sie auf der Seite mit den Incidentdetails die Registerkarte Warnungen aus, wählen Sie die Warnung aus, für die Sie das Playbook ausführen möchten, und wählen Sie den Link Playbooks anzeigen am Ende der Zeile dieser Warnung aus.

  4. Der Bereich Warnungsplaybooks wird geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Warnungstrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

  5. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Sie können den Ausführungsverlauf für Playbooks in einer Warnung anzeigen, indem Sie im Bereich Warnungsplaybooks die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Manuelles Ausführen eines Playbooks für einen Incident

  1. Wählen Sie auf der Seite Incidents einen Incident aus.

  2. Wählen Sie im Bereich mit den Incidentdetails, der auf der rechten Seite angezeigt wird, Aktionen > Playbook ausführen (Vorschau) aus.
    (Wenn Sie die drei Punkte am Ende der Zeile des Incidents im Raster auswählen oder mit der rechten Maustaste auf den Incident klicken, wird dieselbe Liste wie über die Schaltfläche Aktion angezeigt.)

  3. Der Bereich Playbook bei Incident ausführen wird auf der rechten Seite geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Incidnettrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

    Hinweis

    Wenn das Playbook, das Sie ausführen möchten, nicht in der Liste angezeigt wird, bedeutet dies, dass Microsoft Sentinel nicht über die Berechtigungen zum Ausführen von Playbooks in dieser Ressourcengruppe verfügt (siehe Hinweis weiter oben). Um diese Berechtigungen zu gewähren, wählen Sie im Hauptmenü Einstellungen aus, wählen Sie die Registerkarte Einstellungen aus, erweitern Sie das erweiterbare Steuerelement Playbookberechtigungen, und wählen Sie Berechtigungen konfigurieren aus. Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus.

  4. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Sie können den Ausführungsverlauf für Playbooks zu einem Incident anzeigen, indem Sie im Bereich Playbook bei Incident ausführen die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Manuelles Ausführen eines Playbooks für eine Entität

  1. Wählen Sie je nach Ausgangskontext auf eine der folgenden Weisen eine Entität aus:

    Auf der Detailseite eines Incidents:

    1. Wählen Sie die Registerkarte Entitäten des Incidents aus.
    2. Suchen Sie in der Liste eine Entität (ohne sie auszuwählen).
    3. Wählen Sie am Ende der Zeile in der Liste den Link Playbook ausführen (Vorschau) aus.
      Wenn Sie die Entität ausgewählt und deren Entitätsseite eingegeben haben, wählen Sie im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.

    Im Graphen „Untersuchung“:

    1. Wählen Sie im Graphen eine Entität aus.
    2. Wählen Sie im Seitenbereich der Entität die Schaltfläche Playbook ausführen (Vorschau) aus.
      Bei einigen Entitätstypen müssen Sie möglicherweise die Schaltfläche Entitätsaktionen und im resultierenden Menü Playbook ausführen (Vorschau) auswählen.

    Bei proaktiver Suche nach Bedrohungen:

    1. Wählen Sie auf dem Bildschirm Entitätsverhalten in den Listen auf der Seite eine Entität aus, oder suchen Sie nach einer anderen Entität, und wählen Sie sie aus.
    2. Wählen Sie auf der Entitätsseite im linken Bereich die Schaltfläche Playbook ausführen (Vorschau) aus.
  2. Unabhängig vom Ausgangskontext wird mit den obigen Anweisungen der Bereich Playbook für <Entitätstyp> ausführen geöffnet. Sie sehen eine Liste aller Playbooks, auf die Sie Zugriff haben und die für den ausgewählten Entitätstyp mit dem Logic Apps-Trigger Microsoft Sentinel-Entität konfiguriert wurden.

  3. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Sie können den Ausführungsverlauf für Playbooks für eine bestimmte Entität anzeigen, indem Sie im Bereich Playbook für <Entitätstyp> ausführen die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Nächste Schritte

In diesem Tutorial haben Sie gelernt, wie Sie Playbooks und Automatisierungsregeln in Microsoft Sentinel verwenden, um auf Bedrohungen zu reagieren.