Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Les centres d’opérations de sécurité sont confrontés à un flux constant d’alertes et d’incidents de sécurité. La gestion efficace de ces éléments est essentielle pour maintenir la sécurité de votre organisation forte. Les playbooks Microsoft Sentinel sont des flux de travail automatisés qui vous aident à répondre rapidement et de manière cohérente aux menaces. Cet article explique comment utiliser des playbooks dans Microsoft Sentinel pour automatiser la réponse aux menaces, réduire les efforts manuels et permettre à votre équipe de se concentrer sur des enquêtes plus approfondies.
Utilisez des playbooks Microsoft Sentinel pour exécuter des ensembles préconfigurés d’actions de correction et automatiser et orchestrer votre réponse aux menaces. Exécutez automatiquement des playbooks en réponse à des alertes et incidents spécifiques qui déclenchent une règle d’automatisation configurée, ou exécutez-les manuellement pour une entité ou une alerte particulière.
Par exemple, si un compte et une machine sont compromis, un playbook peut isoler automatiquement l’ordinateur du réseau et bloquer le compte avant que l’équipe SOC ne soit avertie de l’incident.
Remarque
Étant donné que les playbooks utilisent Azure Logic Apps, des frais supplémentaires peuvent s’appliquer. Accédez à la page de tarification d’Azure Logic Apps pour plus d’informations.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Cas d’usage recommandés
Le tableau suivant répertorie les cas d’usage courants où les playbooks Microsoft Sentinel permettent d’automatiser la réponse aux menaces :
| Cas d’usage | Descriptif |
|---|---|
| Enrichissement | Collectez des données et joignez-les à un incident afin que votre équipe puisse prendre de meilleures décisions. |
| Synchronisation bidirectionnelle | Synchronisez les incidents Microsoft Sentinel avec d’autres systèmes de tickets. Par exemple, créez une règle d’automatisation pour tous les nouveaux incidents et joignez un playbook qui ouvre un ticket dans ServiceNow. |
| Orchestration | Utilisez la plateforme de conversation de l’équipe SOC pour gérer la file d’attente des incidents. Par exemple, envoyez un message à votre canal d’opérations de sécurité dans Microsoft Teams ou Slack afin que vos analystes de sécurité connaissent l’incident. |
| Réponse | Répondez immédiatement aux menaces avec une implication humaine minimale, par exemple lorsqu’un utilisateur ou un ordinateur compromis est détecté. Ou, déclenchez manuellement des étapes automatisées pendant une investigation ou lors de la chasse. |
Pour plus d’informations, consultez Cas d’utilisation, modèles et exemples de playbook recommandés.
Prérequis
Vous avez besoin des rôles suivants pour utiliser Azure Logic Apps pour créer et exécuter des playbooks dans Microsoft Sentinel.
| Rôle | Descriptif |
|---|---|
| Propriétaire | Vous permet d’accorder l’accès aux playbooks dans le groupe de ressources. |
| Contributeur Microsoft Sentinel | Vous permet de joindre un playbook à une règle d’analyse ou d’automatisation. |
| Répondeur Microsoft Sentinel | Vous permet d’accéder à un incident afin d’exécuter un playbook manuellement, mais ne vous permet pas d’exécuter le playbook. |
| Opérateur de playbook Microsoft Sentinel | Vous permet d’exécuter un playbook manuellement. |
| Contributeur Microsoft Sentinel Automation | Permet aux règles d’automatisation d’exécuter des playbooks. Ce rôle n’est pas utilisé à d’autres fins. |
Le tableau suivant décrit les rôles requis selon que vous sélectionnez une application logique Consommation ou Standard pour créer votre playbook :
| Application logique | Rôles Azure | Descriptif |
|---|---|---|
| Consommation | Contributeur d’application logique | Modifier et gérer les applications logiques. Exécuter des playbooks. Ne vous permet pas d’accorder l’accès à des playbooks. |
| Consommation | Opérateur d’application logique | Lire, activer et désactiver les applications logiques. Ne vous permet pas de modifier ni de mettre à jour des applications logiques. |
| Norme | Opérateur Logic Apps Standard | Activer, soumettre à nouveau et désactiver les flux de travail dans une application logique. |
| Norme | Développeur Logic Apps Standard | Créer et modifier des applications logiques. |
| Norme | Contributeur Logic Apps Standard | Gérer tous les aspects d’une application logique. |
L’onglet Playbooks actifs de la page Automatisation affiche tous les playbooks actifs disponibles pour les abonnements sélectionnés. Par défaut, vous ne pouvez utiliser un playbook que dans l’abonnement auquel il appartient, sauf si vous accordez spécifiquement à Microsoft Sentinel des autorisations sur le groupe de ressources du playbook.
Autorisations supplémentaires requises pour que Microsoft Sentinel puisse exécuter des playbooks
Microsoft Sentinel utilise un compte de service pour exécuter des playbooks sur des incidents, renforcer la sécurité et activer l’API de règles d’automatisation afin de prendre en charge les cas CI/CD. Ce compte de service est utilisé pour les playbooks déclenchés par un incident ou lorsque vous exécutez manuellement un playbook sur un incident spécifique.
En plus de vos propres rôles et autorisations, ce compte de service Microsoft Sentinel doit avoir son propre ensemble d’autorisations sur le groupe de ressources où réside le playbook, sous la forme du rôle Contributeur Automatisation Microsoft Sentinel. Une fois titulaire de ce rôle, Microsoft Sentinel peut exécuter n’importe quel playbook dans le groupe de ressources approprié, manuellement ou à partir d’une règle d’automatisation.
Pour accorder à Microsoft Sentinel les autorisations requises, vous devez disposer d’un rôle Propriétaire ou Administrateur de l’accès utilisateur. Pour exécuter les playbooks, vous avez également besoin du rôle Contributeur d’application logique sur le groupe de ressources contenant les playbooks que vous souhaitez exécuter.
Modèles de playbook (préversion)
Important
Les modèles de playbook sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Les modèles de livres de jeux sont prédéfinis, testés et prêts à l'emploi. Bien qu'ils ne puissent pas être utilisés en tant que livres de jeux complets, ils sont prêts à être personnalisés pour répondre à vos besoins. Nous vous recommandons également d’utiliser les modèles de playbook comme référence pour les meilleures pratiques lors du développement de playbooks à partir de zéro, ou comme source d’inspiration pour de nouveaux scénarios d’automatisation.
Obtenez des modèles de playbook à partir de ces sources :
| Emplacement | Descriptif |
|---|---|
| Page d’automatisation de Microsoft Sentinel | L’onglet Modèles de playbook affiche tous les playbooks installés. Créez un ou plusieurs playbooks actifs à l’aide du même modèle. Lorsqu’une nouvelle version d’un modèle est publiée, tous les playbooks actifs créés à partir de ce modèle obtiennent une étiquette supplémentaire dans l’onglet Playbooks actifs pour montrer qu’une mise à jour est disponible. |
| Page du hub de contenu Microsoft Sentinel | Les modèles de playbook font partie des solutions de produit ou du contenu autonome que vous installez à partir du hub de contenu. Pour plus d'informations, consultez les pages suivantes : À propos du contenu et des solutions Microsoft Sentinel Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi |
| Lien avec GitHub | Le dépôt GitHub De Microsoft Sentinel comporte de nombreux autres modèles de playbook. Sélectionnez Déployer sur Azure pour déployer un modèle sur votre abonnement Azure. |
Un modèle de playbook est un modèle Azure Resource Manager (ARM) qui inclut plusieurs ressources : un flux de travail Azure Logic Apps et des connexions d’API pour chaque connexion impliquée.
Pour plus d’informations, consultez l’article suivant :
- Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu
- Recommander des modèles de playbook
- Azure Logic Apps pour les playbooks Microsoft Sentinel
Flux de travail de création et d’utilisation de playbooks
Suivez ces étapes pour créer et exécuter des playbooks Microsoft Sentinel :
Définissez votre scénario d’automatisation. Passez en revue les cas d’utilisation des playbooks recommandés et les modèles de playbooks pour commencer.
Si vous n’utilisez pas de modèle, créez votre playbook et générez votre application logique. Pour plus d’informations, consultez Créer et gérer des playbooks Microsoft Sentinel.
Testez votre application logique en l’exécutant manuellement. Pour plus d’informations, consultez Exécuter un playbook manuellement ou à la demande.
Configurez votre playbook pour qu’il s’exécute automatiquement lors de la création d’une nouvelle alerte ou d’un incident, ou exécutez-le manuellement si nécessaire pour votre processus. Pour plus d’informations, consultez Répondre aux menaces avec les playbooks Microsoft Sentinel.