Créer et gérer des playbooks Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Les guides opérationnels sont des collections de procédures qui peuvent être exécutées à partir de Microsoft Sentinel en réponse à un incident complet, à une alerte individuelle ou à une entité spécifique. Un playbook peut vous aider à automatiser et à orchestrer votre réponse, et peut être attaché à une règle d’automatisation pour s’exécuter automatiquement lorsque des alertes spécifiques sont générées ou que des incidents sont créés ou mis à jour. Les playbooks peuvent également s’exécuter manuellement à la demande sur des incidents, des alertes ou des entités spécifiques.

Cet article explique comment créer et gérer des playbooks Microsoft Sentinel. Vous pouvez ultérieurement attacher ces playbooks à des règles d’analyse ou des règles d’automatisation, ou les exécuter manuellement sur des incidents, des alertes ou des entités spécifiques.

Remarque

Les playbooks dans Microsoft Sentinel sont basés sur des flux de travail intégrés dans Azure Logic Apps, ce qui signifie que vous bénéficiez de toute la puissance, de toute la personnalisation et de tous les modèles intégrés offerts par les applications logiques. Des frais supplémentaires peuvent s’appliquer. Pour plus d’informations sur la tarification, consultez la page de tarification d’Azure Logic Apps.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

• Un compte et un abonnement Azure. Si vous n’avez pas encore d’abonnement, vous pouvez vous inscrire pour obtenir un compte Azure gratuitement.

• Pour créer et gérer des playbooks, vous devez accéder à Microsoft Sentinel avec l’un des rôles Azure suivants :

  Application logique	Rôles Azure	Description
  Consommation	Contributeur d’application logique	Modifier et gérer des applications logiques.
  Consommation	Opérateur d’application logique	Lire, activer et désactiver des applications logiques.
  Standard	Opérateur Logic Apps Standard	Activer, soumettre à nouveau et désactiver des flux de travail.
  Standard	Développeur Logic Apps Standard	Créer et modifier des flux de travail.
  Standard	Contributeur Logic Apps Standard	Gérer tous les aspects d’un flux de travail.

  Pour plus d’informations, consultez la documentation suivante :

  • Accès aux opérations d’une application logique
  • Prérequis pour les playbooks Microsoft Sentinel.

• Avant de créer votre playbook, nous vous recommandons de lire Azure Logic Apps pour les playbooks Microsoft Sentinel.

Créer un playbook

Pour créer un playbook dans Microsoft Sentinel, effectuez les étapes suivantes :

1. Dans le portail Azure ou le portail Defender, accédez à votre espace de travail Microsoft Sentinel. Dans le menu de l’espace de travail, sous Configuration, sélectionnez Automation.

   Azure portal

   

   Portail Defender

   

2. Dans le menu supérieur, sélectionnez Créer, puis sélectionnez l’une des options suivantes :

   • Si vous créez un playbook Consommation, sélectionnez l’une des options suivantes, en fonction du déclencheur que vous souhaitez utiliser, puis suivez les étapes applicables à une application logique Consommation :

     • Playbook avec déclencheur d’incident
     • Playbook avec déclencheur d’alerte
     • Playbook avec déclencheur d’entité

     Ce guide continue avec le Guide opérationnel avec déclencheur d’entité.

   • Si vous créez un playbook Standard, sélectionnez Playbook Vide, puis suivez les étapes décrites pour le type d’application logique Standard.

   Pour plus d’informations, consultez Types d’application logique pris en charge et Déclencheurs et actions pris en charge dans les playbooks Microsoft Sentinel.

Préparer l’application logique de votre playbook

Sélectionnez l’un des onglets suivants pour plus d’informations sur la création d’une application logique pour votre playbook, selon que vous utilisez une application logique Consommation ou Standard. Pour plus d’informations, consultez Types d’application logique pris en charge.

Conseil

Si vos playbooks ont besoin d’accéder à des ressources protégées qui se trouvent à l’intérieur ou qui sont connectées à un réseau virtuel Azure, créez un flux de travail d’application logique Standard.

Les flux de travail standard s’exécutent dans Azure Logic Apps à locataire unique et prennent en charge l’utilisation de points de terminaison privés pour le trafic entrant afin que vos flux de travail puissent communiquer de manière privée et sécurisée avec des réseaux virtuels. Les workflows Standard prennent également en charge l’intégration de réseau virtuel pour le trafic sortant. Pour plus d’informations, consultez l’article Sécuriser le trafic entre les applications logiques Standard et les réseaux virtuels Azure à l’aide de points de terminaison privés.

Consommation

Après que vous avez sélectionné le déclencheur, qui inclut un incident, une alerte ou un déclencheur d’entité, l’Assistant Créer un playbook s’affiche, par exemple :

Effectuez ces étapes pour créer votre playbook :

1. Sous l’onglet De base, fournissez les informations suivantes :

   1. Pour Abonnement et Groupe de ressources, sélectionnez les valeurs souhaitées dans leurs listes respectives.

      La valeur Région est définie sur la même région que l’espace de travail Log Analytics associé.

   2. Pour Nom du playbook, entrez un nom pour votre playbook.

   3. Pour surveiller l’activité de ce playbook à des fins de diagnostic, sélectionnez Activer les journaux de diagnostic dans Log Analytics, puis sélectionnez un espace de travail Log Analytics, sauf si vous avez déjà sélectionné un espace de travail.

2. Sélectionnez Suivant : Connexions >.

3. Sous l’onglet Connexions, nous vous recommandons de conserver les valeurs par défaut, qui configurent une application logique pour se connecter à Microsoft Sentinel avec une identité managée.

   Pour plus d’informations, consultez Authentifier des playbooks auprès de Microsoft Sentinel.

4. Pour continuer, sélectionnez Suivant : Vérifier et créer >.

5. Sous l’onglet Vérifier et créer, passez en revue vos choix de configuration, puis sélectionnez Créer un playbook.

   Azure prend quelques minutes pour créer et déployer votre playbook. Une fois le déploiement terminé, votre playbook s’ouvre dans le concepteur de flux de travail Consommation pour Azure Logic Apps. Le déclencheur que vous avez sélectionné précédemment apparaît automatiquement comme première étape de votre flux de travail. Vous pouvez donc continuer à générer le flux de travail à partir d’ici.

   

6. Dans le concepteur, sélectionnez le déclencheur Microsoft Sentinel, s’il n’est pas déjà sélectionné.

7. Dans le volet Créer une connexion, effectuez ces étapes pour fournir les informations requises pour vous connecter à Microsoft Sentinel.

   1. Pour Authentification, sélectionnez parmi les méthodes suivantes, qui affectent les paramètres de connexion ultérieurs :

      Méthode	Description
      OAuth	Open Authorization (OAuth) est une norme technologique qui vous permet d’autoriser une application ou un service à se connecter à un autre sans exposer d’informations privées, telles que des mots de passe. OAuth 2.0 est le protocole du secteur pour l’autorisation ; il accorde un accès limité aux ressources protégées. Pour plus d’informations, consultez les ressources suivantes : - Qu’est-ce qu’OAuth ? - Autorisation OAuth 2.0 avec Microsoft Entra ID
      Principal du service	Un principal de service représente une entité qui nécessite l’accès à des ressources sécurisées par un locataire Microsoft Entra. Pour plus d’informations, consultez Objet principal de service.
      Identité gérée	Identité qui est managée automatiquement dans Microsoft Entra ID. Les applications peuvent utiliser cette identité pour accéder à des ressources qui prennent en charge l’authentification Microsoft Entra et pour obtenir des jetons Microsoft Entra sans avoir à gérer d’informations d’identification. Pour une sécurité optimale, Microsoft recommande d’utiliser une identité managée pour l’authentification dans la mesure du possible. Cette option offre une sécurité accrue et permet de sécuriser les informations d’authentification, afin que vous n’ayez pas à gérer ces informations sensibles. Pour plus d’informations, consultez les ressources suivantes : - Que sont les identités managées pour les ressources Azure ? - Authentifier l’accès et les connexions aux ressources Azure avec des identités managées dans Azure Logic Apps.

      Pour plus d’informations, consultez Invites d’authentification.

   2. En fonction de l’option d’authentification sélectionnée, fournissez les valeurs de paramètre nécessaires pour l’option correspondante.

      Pour plus d’informations sur ces paramètres, consultez Informations de référence sur le connecteur Microsoft Sentinel.

   3. Pour ID de locataire, sélectionnez votre ID de locataire Microsoft Entra.

   4. Lorsque vous avez terminé, sélectionnez Se connecter.

8. Si vous avez précédemment choisi Guide opérationnel avec déclencheur d’entité, sélectionnez le type d’entité que vous souhaitez que ce playbook reçoive en tant qu’entrée.

   

Standard

Les playbooks basés sur un flux de travail Standard ne prennent pas en charge les modèles de playbook. Vous devez donc d’abord créer votre application logique, puis créer votre playbook, et enfin choisir le déclencheur pour votre playbook.

Une fois l’option Guide opérationnel vide sélectionnée, un nouvel onglet de navigateur s’ouvre et l’Assistant Créer une application logique s’affiche. L’Assistant affiche les options d’hébergement disponibles où Standard – Plan de service de flux de travail est déjà sélectionné, par exemple :

Effectuez ces étapes pour créer votre application logique Standard :

Créer une application logique Standard

1. Dans la page Créer une application logique, confirmez la sélection de votre plan d’hébergement, puis sélectionnez Sélectionner.

2. Sous l’onglet De base, fournissez les informations suivantes :

   1. Pour Abonnement et Groupe de ressources, sélectionnez les valeurs souhaitées dans leurs listes respectives.

   2. Pour Nom de l’application logique, entrez un nom pour votre application logique.

   3. Pour Région, sélectionnez la région Azure pour votre application logique.

   4. Pour Plan Windows (région sélectionnée),créez ou sélectionnez un plan existant.

   5. Pour Plan de tarification, sélectionnez les ressources de calcul et leur tarification pour votre application logique.

   6. Sous Redondance de zone, vous pouvez activer cette fonctionnalité si vous avez sélectionné une région Azure qui prend en charge la redondance des zones de disponibilité.

      Pour cet exemple, laissez l’option désactivée. Pour plus d’informations, consultez Protéger les applications logiques contre les défaillances de région avec la redondance de zone et les zones de disponibilité.

   7. Sélectionnez Suivant : Stockage>.

   

3. Sous l’onglet Stockage, indiquez les informations suivantes :

   1. Pour Type de stockage, sélectionnez Stockage Azure, puis créez ou sélectionnez un compte de stockage.

   2. Pour Paramètres de diagnostic du service Blob, conservez le paramètre par défaut.

4. Sous l’onglet Mise en réseau, vous pouvez conserver les options par défaut pour cet exemple.

   Pour vos scénarios de production concrets spécifiques, veillez à passer en revue puis à sélectionner les options appropriées. Vous pouvez également modifier cette configuration après avoir déployé votre ressource d’application logique. Pour plus d’informations, consultez la documentation suivante :

   • Créer un exemple de flux de travail Standard – Portail Azure

   • Sécuriser le trafic entre les applications logiques Standard et les réseaux virtuels Azure à l’aide de points de terminaison privés.

5. Sous l’onglet Surveillance, effectuez ces étapes :

   1. Sous Application Insights, définissez Activer Application Insights sur Non.

      Ce paramètre désactive ou active le monitoring des performances avec Application Insights dans Azure Monitor. Toutefois, pour Microsoft Sentinel, cette fonctionnalité n’est pas nécessaire et engendre des coûts supplémentaires.

   2. Pour appliquer des étiquettes à cette application logique à des fins de catégorisation et de facturation des ressources, sélectionnez Suivant : Étiquettes >. Sinon, sélectionnez Vérifier + créer.

6. Sous l’onglet Vérifier + créer, passez en revue vos choix de configuration, puis sélectionnez Créer.

   Azure prend quelques minutes pour créer et déployer votre application logique.

7. Une fois le déploiement terminé, sélectionnez Accéder à la ressource, ce qui ouvre votre ressource d’application logique.

   Contrairement aux playbooks de consommation classiques, vous n’avez pas encore terminé. Vous devez maintenant créer un workflow.

Créer un workflow pour votre playbook

1. Dans le menu de votre application logique, sous Flux de travail, sélectionnez Flux de travail.

2. Dans la barre d’outils de la page Flux de travail, sélectionnez Ajouter.

3. Dans le volet Nouveau flux de travail, fournissez les informations suivantes :

   Propriété	Description
   Nom du flux de travail	Nom explicite de votre flux de travail.
   Type d’état	Sélectionnez Avec état. Microsoft Sentinel ne prend pas en charge l’utilisation de flux de travail sans état en tant que playbooks.

4. Lorsque vous avez terminé, sélectionnez Créer.

   Une fois qu’Azure a enregistré votre flux de travail, la page Flux de travail affiche votre flux de travail.

5. Sélectionnez le flux de travail pour ouvrir la page Vue d’ensemble du flux de travail.

   Cette page affiche toutes les informations relatives à votre flux de travail, y compris l’historique indiquant toutes les exécutions du flux de travail.

6. Dans le menu des workflows, sous Développeur, sélectionnez Concepteur.

   Le concepteur de flux de travail s’ouvre pour vous permettre de commencer à créer votre flux de travail en ajoutant un déclencheur.

Ajouter le déclencheur de flux de travail

1. Dans le concepteur, sélectionnez Ajouter un déclencheur pour ouvrir le volet Ajouter un déclencheur, par exemple :

   

2. Suivez ces étapes générales pour rechercher les déclencheurs Microsoft Sentinel, qui incluent ces déclencheurs :

   • Entité Microsoft Sentinel
   • Alerte Microsoft Sentinel
   • Incident Microsoft Sentinel

   

3. Sélectionnez le déclencheur que vous souhaitez utiliser pour votre playbook.

   Cet exemple se poursuit avec le déclencheur Entité Microsoft Sentinel.

4. Dans le concepteur, sélectionnez le déclencheur, s’il n’est pas déjà sélectionné.

5. Dans le volet Créer une connexion, fournissez les informations requises pour vous connecter à Microsoft Sentinel.

   1. Pour Authentification, sélectionnez parmi les méthodes suivantes, qui affectent les paramètres de connexion ultérieurs :

      Méthode	Description
      OAuth	Open Authorization (OAuth) est une norme technologique qui vous permet d’autoriser une application ou un service à se connecter à un autre sans exposer d’informations privées, telles que des mots de passe. OAuth 2.0 est le protocole du secteur pour l’autorisation ; il accorde un accès limité aux ressources protégées. Pour plus d’informations, consultez les ressources suivantes : - Qu’est-ce qu’OAuth ? - Autorisation OAuth 2.0 avec Microsoft Entra ID
      Principal du service	Un principal de service représente une entité qui nécessite l’accès à des ressources sécurisées par un locataire Microsoft Entra. Pour plus d’informations, consultez Objet principal de service.
      Identité gérée	Identité qui est managée automatiquement dans Microsoft Entra ID. Les applications peuvent utiliser cette identité pour accéder à des ressources qui prennent en charge l’authentification Microsoft Entra et pour obtenir des jetons Microsoft Entra sans avoir à gérer d’informations d’identification. Pour une sécurité optimale, Microsoft recommande d’utiliser une identité managée pour l’authentification dans la mesure du possible. Cette option offre une sécurité accrue et permet de sécuriser les informations d’authentification, afin que vous n’ayez pas à gérer ces informations sensibles. Pour plus d’informations, consultez les ressources suivantes : - Que sont les identités managées pour les ressources Azure ? - Authentifier l’accès et les connexions aux ressources Azure avec des identités managées dans Azure Logic Apps.

      Pour plus d’informations, consultez Invites d’authentification.

   2. En fonction de l’option d’authentification sélectionnée, fournissez les valeurs de paramètre nécessaires pour l’option correspondante.

      Pour plus d’informations sur ces paramètres, consultez Informations de référence sur le connecteur Microsoft Sentinel.

   3. Pour ID de locataire, sélectionnez votre ID de locataire Microsoft Entra.

   4. Lorsque vous avez terminé, sélectionnez Se connecter.

6. Si vous avez choisi Guide opérationnel avec déclencheur d’entité, sélectionnez le type d’entité que vous souhaitez que ce playbook reçoive en tant qu’entrée.

   

Pour plus d’informations, voir Déclencheurs et actions pris en charge dans les playbooks Microsoft Sentinel.

Invites d’authentification

Lorsque vous ajoutez un déclencheur ou une action ultérieure nécessitant une authentification, vous pouvez être invité à choisir parmi les types d’authentification disponibles pris en charge par le fournisseur de ressources correspondant. Dans cet exemple, un déclencheur Microsoft Sentinel est la première opération que vous ajoutez à votre flux de travail. Par conséquent, le fournisseur de ressources est Microsoft Sentinel, qui prend en charge plusieurs options d’authentification. Pour plus d’informations, consultez la documentation suivante :

• Authentifier des playbooks auprès de Microsoft Sentinel
• Déclencheurs et actions pris en charge dans les playbooks Microsoft Sentinel

Ajouter des actions à votre playbook

Maintenant que vous disposez d’un flux de travail pour votre playbook, définissez ce qui se passe quand vous appelez le playbook. Ajoutez des actions, des conditions logiques, des boucles ou des conditions de cas de basculement en sélectionnant le signe plus (+) sur le concepteur. Pour plus d’informations, consultez Créer un flux de travail avec un déclencheur ou une action.

Cette sélection ouvre le volet Ajouter une action, dans lequel vous pouvez parcourir ou rechercher des services, des applications, des systèmes, des actions de flux de contrôle, etc. Une fois que vous avez entré vos termes de recherche ou sélectionné la ressource souhaitée, la liste des résultats affiche les actions disponibles.

Dans chaque action, lorsque vous sélectionnez à l’intérieur d’un champ, les options suivantes apparaissent :

• Contenu dynamique (icône d’éclair) : choisissez parmi une liste de sorties disponibles des actions précédentes du flux de travail, y compris le déclencheur Microsoft Sentinel. Par exemple, ces sorties peuvent inclure les attributs d’une alerte ou d’un incident transmis au playbook, y compris les valeurs et les attributs de toutes les entités mappées et les détails personnalisés dans l’alerte ou l’incident. Vous pouvez ajouter des références à l’action actuelle en sélectionnant ces sorties.

  Pour obtenir des exemples illustrant l’utilisation de contenu dynamique, consultez les sections suivantes :

  • Utiliser des playbooks d’entité sans ID d’incident
  • Utilisation de détails personnalisés

• Éditeur d’expression (icône de fonction) : choisissez parmi une bibliothèque étendue de fonctions pour ajouter une logique supplémentaire à votre flux de travail.

Pour plus d’informations, voir Déclencheurs et actions pris en charge dans les playbooks Microsoft Sentinel.

Contenu dynamique : playbooks d’entité sans ID d’incident

Les playbooks créés avec le déclencheur Entité Microsoft Sentinel utilisent souvent le champ ID ARM de l’incident, par exemple, pour mettre à jour un incident après avoir pris des mesures sur l’entité. Si un tel playbook est déclenché dans un scénario non connecté à un incident, par exemple lors de la chasse aux menaces, il n’existe aucun ID d’incident pour renseigner ce champ. Au lieu de cela, le champ est renseigné avec une valeur Null. Par conséquent, le playbook peut ne pas s’exécuter jusqu’à la fin.

Pour éviter ce problème, nous vous recommandons de créer une condition qui vérifie la présence d’une valeur dans le champ ID d’incident avant que le flux de travail n’effectue d’autres actions. Vous pouvez prescrire un ensemble différent d’actions à effectuer si le champ a une valeur Null en raison du fait que le playbook n’est pas exécuté à partir d’un incident.

1. Dans votre flux de travail, avant la première action qui fait référence au champ ID ARM de l’incident, suivez ces étapes générales pour ajouter une action Condition.

2. Dans le volet Condition, sur la ligne de condition, sélectionnez le champ de gauche Choisir une valeur, puis sélectionnez l’option de contenu dynamique (icône d’éclair).

3. Dans la liste de contenu dynamique, sous Incident Microsoft Sentinel, utilisez la zone de recherche pour rechercher et sélectionner ID ARM de l’incident.

   Conseil

   Si la sortie ne figure pas dans la liste, en regard du nom du déclencheur, sélectionnez Afficher plus.

4. Dans le champ du milieu, dans la liste des opérateurs, sélectionnez n’est pas égal à.

5. Dans le champ de droite Choisissez une valeur, sélectionnez l’option d’éditeur d’expression (icône de fonction).

6. Dans l’éditeur, entrez null, puis sélectionnez Ajouter.

Lorsque vous avez terminé, votre condition ressemble à l’exemple suivant :

Contenu dynamique : Utilisation de détails personnalisés

Dans le déclencheur Incident Microsoft Sentinel, la sortie Détails personnalisés de l’alerte est un tableau d’objets JSON où chacun représente un détail personnalisé à partir d’une alerte. Les détails personnalisés sont des paires clé-valeur qui permettent d’exposer des informations provenant d’événements dans l’alerte, afin qu’ils puissent être représentés, suivis et analysés dans le cadre de l’incident.

Ce champ de l’alerte est personnalisable. Son schéma dépend donc du type d’événement exposé. Pour générer le schéma qui détermine comment analyser la sortie des détails personnalisés, fournissez les données à partir d’une instance de cet événement :

1. Dans le menu de l’espace de travail Microsoft Sentinel, sous Configuration, sélectionnez Analytique.

2. Suivez les étapes pour créer ou ouvrir une règle de requête planifiée existante ou une règle de requête NRT.

3. Sous l’onglet Définir la logique de la règle, développez la section Détails personnalisés, par exemple :

   

   Le tableau suivant fournit plus d’informations sur ces paires clé-valeur :

   Article	Emplacement	Description
   Clé	Colonne de gauche	Représente les champs personnalisés que vous créez.
   Valeur	Colonne de droite	Représente les champs des données d’événement qui renseignent les champs personnalisés.

4. Pour générer le schéma, fournissez l’exemple de code JSON suivant :

   { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
   

   Le code affiche les noms de clés sous forme de tableaux et les valeurs sous forme d’éléments dans les tableaux. Les valeurs sont affichées en tant que valeurs réelles, et non comme colonne qui contient les valeurs.

Pour utiliser des champs personnalisés pour des déclencheurs d’incident, effectuez ces étapes pour votre flux de travail :

1. Dans le concepteur de flux de travail, sous le déclencheur Incident Microsoft Sentinel, ajoutez l’action intégrée nommée Analyser JSON.

2. Sélectionnez à l’intérieur du paramètre Contenu de l’action, puis sélectionnez l’option de liste de contenu dynamique (icône d’éclair).

3. Dans la liste, dans la section du déclencheur d’incident, recherchez et sélectionnez Détails personnalisés de l’alerte, par exemple :

   

   Cette sélection ajoute automatiquement une boucle For chaque autour d’Analyser JSON, car un incident contient un tableau d’alertes.

4. Dans le volet d’informations Analyser JSON, sélectionnez Utiliser l’exemple de charge utile pour générer le schéma, par exemple :

   

5. Dans la zone Entrez ou collez un exemple de charge utile JSON, fournissez un exemple de charge utile, puis sélectionnez Terminé.

   Par exemple, vous trouverez un exemple de charge utile en recherchant dans Log Analytics une autre instance de cette alerte, puis en copiant l’objet de détails personnalisés, qui se trouve sous Propriétés étendues. Pour accéder aux données Log Analytics, accédez à la page Journaux dans le portail Azure ou à la page Repérage avancé dans le portail Defender.

   L’exemple suivant montre l’exemple de code JSON précédent :

   

   Lorsque vous avez terminé, la zone Schéma contient maintenant le schéma généré en fonction de l’exemple que vous avez fourni. L’action Analyser JSON crée des champs personnalisés que vous pouvez désormais utiliser en tant que champs dynamiques avec le type Tableau dans les actions ultérieures de votre flux de travail.

   L’exemple suivant montre un tableau et ses éléments, à la fois dans le schéma et dans la liste de contenu dynamique pour une action ultérieure nommée Compose :

   

Gérer vos playbooks

Sélectionnez l’onglet Automatisation > Playbooks actifs pour afficher tous les playbooks auquel vous avez accès, filtrés par votre affichage d’abonnement.

Une fois que vous avez procédé à l’intégration à la plateforme d’opérations de sécurité unifiée, l’onglet Playbooks actifs affiche par défaut un filtre prédéfini avec l’abonnement de l’espace de travail intégré. Sur le Portail Azure, modifiez les abonnements que vous montrez dans le menu Répertoire + abonnement dans l’en-tête de la page globale Azure.

Bien que l’onglet Playbooks actifs affiche tous les playbooks actifs disponibles dans tous les abonnements sélectionnés, par défaut, un playbook peut être utilisé uniquement dans l’abonnement auquel il appartient, sauf si vous accordez spécifiquement à Microsoft Sentinel des autorisations sur le groupe de ressources du playbook.

L’onglet Playbooks actifs affiche vos playbooks avec les détails suivants :

Nom de colonne	Description
État	Indique si le playbook est activé ou désactivé.
Planifier	Indique si le playbook utilise le type de ressources Azure Logic Apps Standard ou Consommation. Les playbooks de type Standard utilisent la convention de nommage LogicApp/Workflow, qui reflète le fait qu’un playbook Standard représente un flux de travail qui existe aux côtés d’autres flux de travail dans une application logique unique. Pour plus d’informations, consultez Azure Logic Apps pour les playbooks Microsoft Sentinel.
Type de déclencheur	Indique le déclencheur dans Azure Logic Apps qui démarre ce playbook : - I/Alerte/Entité Microsoft Sentinel : le playbook est démarré avec l’un des déclencheurs Sentinel, y compris l’incident, l’alerte ou l’entité - Utilisation de l’action Microsoft Sentinel : le playbook est démarré avec un déclencheur non Microsoft Sentinel, mais utilise une action Microsoft Sentinel - Autre : le playbook n’inclut aucun composant Microsoft Sentinel - Non initialisé : le playbook a été créé, mais ne contient aucun composant, déclencheur ni action.

Sélectionnez un playbook pour ouvrir sa page Azure Logic Apps, qui affiche plus de détails sur le playbook. Sur la page Azure Logic Apps :

• Afficher un journal de toutes les fois que le playbook a été exécuté
• Afficher les résultats de l’exécution, y compris les réussites et les échecs et d’autres détails
• Si vous disposez des autorisations adéquates, ouvrez le concepteur de flux de travail dans Azure Logic Apps pour modifier le playbook directement

Contenu connexe

Après avoir créé votre playbook, attachez-le à des règles afin qu’il soit déclenché par des événements dans votre environnement, ou exécutez manuellement vos playbooks sur des incidents, des alertes ou des entités spécifiques.

Pour plus d’informations, consultez l’article suivant :

• Automatiser et exécuter des playbooks Microsoft Sentinel
• Authentifier des playbooks auprès de Microsoft Sentinel
• Utiliser un playbook Microsoft Sentinel pour arrêter des utilisateurs potentiellement compromis