Einführung

Abgeschlossen

Ein Microsoft Sentinel-Playbook ist eine Sammlung von Sicherheitsverfahren, die Sie als Reaktion auf Warnungen ausführen können.

Contoso, Ltd. ist ein mittelgroßes Finanzdienstleistungsunternehmen in London mit einer Zweigniederlassung in New York. Contoso setzt mehrere Microsoft-Produkte und -Dienste ein, um Datensicherheit und Bedrohungsschutz für seine Ressourcen zu gewährleisten. Dabei handelt es sich um diese Produkte:

  • Microsoft Office 365

  • Azure Active Directory (Azure AD)

  • Azure AD Identity Protection

  • Defender-für-Cloud-Apps

  • Microsoft Defender for Identity

  • Microsoft Defender für den Endpunkt

  • Microsoft Defender für Office 365

  • System Center Endpoint Protection

  • Microsoft Azure Information Protection

Contoso schützt seine Azure- und lokalen Ressourcen durch Nutzung der kostenpflichtigen Version von Microsoft Defender für Cloud vor Bedrohungen. Das Unternehmen überwacht und schützt auch andere nicht von Microsoft stammende Ressourcen.

Das Contoso-Sicherheitsteam (Security Operations, kurz SecOps) hat nicht schnell genug auf den letzten Sicherheitsvorfall in der Organisation reagiert. Der IT-Leiter von Contoso möchte Microsoft Sentinel-Playbooks implementieren, um das SecOps-Team beim Erkennen und Verhindern potenzieller Sicherheitsbedrohungen zu unterstützen. Als leitender Sicherheitstechniker von Contoso und Azure-Administrator wurden Sie mit der Einrichtung eines Microsoft Sentinel-Playbooks zur Reaktion auf Sicherheitsincidents beauftragt.

In diesem Modul erfahren Sie mehr über die SOAR-Funktionen in Microsoft Sentinel. SOAR steht für „Security Orchestration, Automation and Response“, also die Sicherheitsorchestrierung, -automatisierung und Reaktion auf Bedrohungen. Sie erfahren, wie Sie Microsoft Sentinel-Playbooks erstellen, bearbeiten, ihren Workflow konfigurieren und die Playbooks verwalten können.

Am Ende dieses Moduls sind Sie in der Lage, Sicherheitsplaybooks in Microsoft Sentinel einzurichten, damit das SecOps-Team effektiv auf Warnungen reagieren kann.

Lernziele

  • Erläutern der SOAR-Funktionen von Microsoft Sentinel.

  • Erkunden des Microsoft Sentinel-Logic Apps-Connectors.

  • Erstellen eines Playbooks, um die Reaktion auf Bedrohungen zu automatisieren

  • Ausführen eines Playbooks nach Bedarf als Reaktion auf eine Bedrohung

Voraussetzungen

  • Automatisierung und Überwachung

  • Azure Monitor und den dazugehörenden Log Analytics-Arbeitsbereich

  • Azure Logic Apps

Hinweis

Wenn Sie sich entscheiden, die Übung in diesem Modul durchzuführen, bedenken Sie, dass in Ihrem Azure-Abonnement Kosten anfallen können. Informationen zum Schätzen der Kosten finden Sie unter Microsoft Sentinel – Preise.