Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles de contenu

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Un modèle de playbook est un workflow prédéfini, testé et prêt à l’emploi qui peut être personnalisé pour répondre à vos besoins. Les modèles peuvent également servir de référence dans les bonnes pratiques pour le développement de règles à partir de zéro ou d’inspiration pour les nouveaux scénarios d’automatisation.

Les modèles de playbook ne sont pas des playbooks actifs, mais ils vous permettent d’en créer un (une copie modifiable du modèle).

De nombreux modèles de playbooks sont développés par la communauté Microsoft Sentinel, les éditeurs de logiciels indépendants (ISV) et les experts de Microsoft, sur la base de scénarios d’automatisation populaires utilisés par les centres des opérations de sécurité du monde entier.

Obtenez des modèles de playbook à partir des sources suivantes :

  • Sur la page Automatisation, l’onglet Modèles de playbook répertorie les modèles de playbook installés. Vous pouvez créer plusieurs playbooks actifs à partir du même modèle.

    Quand une nouvelle version du modèle est publiée, les playbooks actifs créés à partir de ce modèle indiquent dans l’onglet Playbooks qu’une mise à jour est disponible.

  • Les modèles de playbooks sont disponibles dans le cadre de solutions de produits ou de contenu autonome que vous installez à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez les rubriques Contenu et solutions Microsoft Sentinel et Découvrir et gérer le contenu prêt à l’emploi de Microsoft Sentinel.

  • Le référentiel GitHub Microsoft Sentinel contient de nombreux modèles de playbook. Vous pouvez les déployer dans un abonnement Azure en sélectionnant le bouton Déployer sur Azure.

Techniquement, un modèle de playbook est un modèle Azure Resource Manager (ARM) composé de plusieurs ressources : un workflow Azure Logic Apps et des connexions d’API pour chaque connexion impliquée.

Cet article porte sur le déploiement d’un modèle de playbook à partir de l’onglet Modèles de playbook sous Automatisation.

Cet article vous aide à comprendre comment :

  • Explorer les modèles de playbook prêts à l’emploi
  • Déployer un modèle de playbook

Important

Les modèles de playbook sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Microsoft Sentinel est disponible comme partie de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Explorer les modèles de playbook

Dans Microsoft Sentinel, dans le Portail Azure, sélectionnez Gestion du contenu>Hub de contenu. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Content hub.

Dans la page Hub de contenu, sélectionnez Type de contenu pour appliquer un filtre Playbook. Cette vue filtrée répertorie toutes les solutions et tout le contenu autonome qui incluent un ou plusieurs modèles de playbooks. Installez la solution ou le contenu autonome pour obtenir le modèle.

Ensuite, sélectionnez Configuration>Automatisation>onglet Modèles de playbook pour afficher les modèles installés.

Capture d’écran de la galerie de playbooks.

Pour trouver un modèle de playbook adapté à vos besoins, vous pouvez filtrer la liste selon les critères suivants :

  • Le déclencheur indique si le playbook est déclenché par la création d’un incident, par une mise à jour d’incident ou par la création d’une alerte. En savoir plus

  • Connecteurs Logic Apps affiche les services externes avec lesquels ce playbook interagit. Pendant le processus de déploiement, chaque connecteur doit assumer une identité pour s’authentifier auprès du service externe.

  • Entités montre les types d’entités explicitement filtrés et analysés par un playbook qui s’attend à trouver ces types d’entités dans l’incident. Par exemple, un playbook qui demande à un pare-feu de bloquer une adresse IP s’attend à opérer sur des incidents créés par des règles d’analyse qui génèrent des alertes contenant des adresses IP, comme une règle de détection d’attaque par force brute.

  • Étiquettes montre les étiquettes appliquées au playbook pour le relier à un scénario spécifique ou pour indiquer une caractéristique spéciale.

    Exemples :

    • Enrichissement : Le playbook récupère des informations d’un autre service pour ajouter des informations à un incident. Ces informations sont généralement ajoutées sous forme de commentaire à l’incident ou envoyées au centre des opérations de sécurité.

    • Correction : Le playbook entreprend une action sur les entités concernées pour éliminer une menace potentielle.

    • Synchronisation : Le playbook aide à maintenir un service externe, tel qu’un service de gestion des incidents, à jour avec les propriétés de l’incident.

    • Notification : Le playbook envoie un e-mail ou un message.

    • Réponse de Teams : Le playbook permet aux analystes d’effectuer une action manuelle à partir de Teams à l’aide de cartes interactives.

Filtrer la liste des modèles de playbook

Personnaliser un playbook à partir d’un modèle

Cette procédure décrit comment déployer des modèles de playbook.

Vous pouvez répéter ce processus pour créer plusieurs playbooks sur le même modèle.

  1. Sélectionnez un nom de playbook dans l’onglet Modèles de playbooks.

  2. Si le playbook a des conditions préalables, veillez à suivre les instructions.

    • Certains playbooks appellent d’autres playbooks en tant qu’actions. Ce deuxième playbook est appelé un playbook imbriqué. Dans ce cas, l’une des conditions préalables est de déployer d’abord le playbook imbriqué.

    • Certains playbooks nécessitent le déploiement d’un connecteur Logic Apps personnalisé ou d’une fonction Azure. Dans ce cas, un lien Déployer vers Azure s’affiche pour vous permettre d’accéder au processus de déploiement du modèle ARM général.

  3. Sélectionnez Créer un playbook pour ouvrir l’Assistant de création de playbook basé sur le modèle sélectionné. L’Assistant comporte quatre onglets :

    • Informations de base : Localisez votre nouveau playbook (ressource Logic Apps) et donnez-lui un nom (vous pouvez utiliser le nom par défaut). Assistant de création de playbook, onglet Informations de base

    • Paramètres : entrez les valeurs spécifiques au client que le playbook utilise. Par exemple, si ce playbook envoie un e-mail au centre des opérations de sécurité, vous pouvez définir l’adresse e-mail du destinataire ici. Cet onglet s’affiche uniquement si le playbook comporte des paramètres.

      Notes

      Si un connecteur personnalisé est utilisé dans ce playbook, il doit être déployé dans le même groupe de ressources et vous pourrez insérer son nom dans cet onglet.

      Assistant de création de playbook, onglet Paramètres

    • Connexions : Développez chaque action pour voir les connexions existantes que vous avez créées pour les playbooks précédents. En savoir plus sur la création de connexions pour les playbooks.

      Notes

      Pour les connecteurs personnalisés, les connexions seront affichées par le nom du connecteur personnalisé entré dans l’onglet Paramètres.

      Assistant de création de playbook, onglet Connexions

      S’il n’y en a pas, ou si vous voulez en créer de nouvelles, choisissez Créer une nouvelle connexion après le déploiement. Cette option vous permet d’accéder au concepteur Logic Apps une fois le processus de déploiement terminé.

      Pour les connecteurs qui prennent en charge la connexion avec une identité managée, comme Microsoft Sentinel, il s’agit de la méthode de connexion sélectionnée par défaut.

    • Vérifier et créer : Affichez un résumé du processus et attendez la validation de vos entrées avant de créer le playbook.

  4. Après avoir suivi les étapes de l’Assistant de création de playbook jusqu’au bout, vous accédez à la conception du workflow du nouveau playbook dans le concepteur Logic Apps.

    Voir le playbook dans le concepteur Logic Apps

  5. Pour chaque connecteur pour lequel vous avez choisi de créer une nouvelle connexion après le déploiement :

    1. Dans le menu de navigation, sélectionnez Connexions d’API.

    2. Sélectionnez le nom de la connexion. Capture d’écran montrant comment afficher les connexions A P I.

    3. Sélectionnez Modifier la connexion d’API dans le menu de navigation.

    4. Renseignez les paramètres requis et sélectionnez Enregistrer. Capture d’écran montrant comment modifier les connexions d’API.

    Vous pouvez également créer une nouvelle connexion à partir des étapes appropriées dans le concepteur Logic Apps :

    1. Pour chaque étape qui s’affiche avec un signe d’erreur, sélectionnez-la pour la développer.

    2. Sélectionnez Ajouter.

    3. Authentifiez-vous conformément aux instructions pertinentes.

    4. Si d’autres étapes utilisent ce même connecteur, développez leurs zones. Dans la liste des connexions qui s’affiche, sélectionnez la connexion que vous venez de créer.

  6. Si vous avez choisi d’utiliser une connexion d’identité managée pour Microsoft Sentinel (ou pour d’autres connexions prises en charge), accordez des autorisations au nouveau playbook sur l’espace de travail Microsoft Sentinel (ou sur les ressources cibles pertinentes pour les autres connecteurs).

  7. Enregistrez le playbook. Vous pouvez maintenant le voir dans l’onglet Playbooks actifs.

  8. Pour exécuter ce playbook, définissez une réponse automatique ou exécutez-le manuellement.

  9. La plupart des modèles peuvent être utilisés tels quels, mais nous vous recommandons d’effectuer les ajustements nécessaires pour adapter le nouveau playbook aux besoins de votre centre des opérations de sécurité.

Résolution des problèmes

Problème : Un bogue a été détecté dans le playbook

Pour signaler un bogue ou demander une amélioration pour un playbook, sélectionnez le lien Pris en charge par dans le volet d’informations du playbook. S’il s’agit d’un playbook pris en charge par la communauté, le lien vous permet d’ouvrir un problème GitHub. Sinon, vous êtes redirigé vers la page de l’organisme concerné.

Étapes suivantes

Dans cet article, vous avez appris à travailler avec des modèles de playbook et à créer et à personnaliser des playbooks en fonction de vos besoins. En savoir plus sur les playbooks et l’automatisation dans Microsoft Sentinel :