Anreichern von Vorfällen in Microsoft Sentinel mit Playbooks
Microsoft Sentinel-Playbooks können APIs aufrufen, um zusätzliche Informationen zu einer Warnung zu sammeln. Beispielsweise kann eine Microsoft Entra-API Benutzerinformationen sammeln, eine Microsoft Entra ID Protection-API Daten bereitstellen, um zu bewerten, ob der Benutzer gefährdet ist, und eine Microsoft Defender-API könnte Informationen zu Computern bereitstellen, die der Benutzer verwendet.
Die Informationen, die von den APIs gesammelt werden, werden in einer JSON-Datei aggregiert. Diese JSON-Datei wird an das ursprüngliche Microsoft Sentinel-Playbook zurückgegeben. Das Playbook kann dann weitere Schritte ausführen, z. B. das Speichern des JSON in Log Analytics, für zukünftige Untersuchungen und das Senden der Daten an die Microsoft Sentinel-Vorfallkommentare. Es gibt viele weitere Schritte, die dieser Prozess ausführen kann, da er standardmäßige HTTP-Endpunkte und JSON-Dateien verwendet.
Eine ausführliche Demonstration der Anreicherung von Vorfällen in Microsoft Sentinel mit Playbooks finden Sie im Videolink zur Anreicherung von Microsoft Sentinel-Entitäten in der Zusammenfassungseinheit dieses Moduls.