Automatiser et exécuter des playbooks Microsoft Sentinel

Les guides opérationnels sont des collections de procédures qui peuvent être exécutées à partir de Microsoft Sentinel en réponse à un incident complet, à une alerte individuelle ou à une entité spécifique. Un playbook peut vous aider à automatiser et orchestrer votre réponse et peut être défini pour s’exécuter automatiquement lorsque des alertes spécifiques sont générées ou lorsque des incidents sont créés ou mis à jour, en étant attachés à une règle d’automatisation. Il peut également s’exécuter manuellement à la demande sur des incidents, des alertes ou des entités spécifiques.

Cet article explique comment attacher des playbooks à des règles d’analyse ou des règles d’automatisation, ou exécuter manuellement des playbooks sur des incidents, des alertes ou des entités spécifiques.

Remarque

Les playbooks dans Microsoft Sentinel reposent sur des workflows conçus dans Azure Logic Apps. Cela signifie que vous bénéficiez de la puissance, des possibilités de personnalisation et des modèles intégrés de Logic Apps. Des frais supplémentaires peuvent s’appliquer. Pour plus d’informations, consultez la page de tarification Azure Logic Apps.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Conditions préalables

Avant de commencer, assurez-vous que vous disposez d’un playbook disponible pour automatiser ou exécuter, avec un déclencheur, des conditions et des actions définis. Pour plus d’informations, consultez Créer et gérer des playbooks Microsoft Sentinel.

Rôles Azure requis pour exécuter des playbooks

Pour exécuter des playbooks, vous avez besoin des rôles Azure suivants :

Rôle	Descriptif
Propriétaire	Permet d’accorder l’accès aux playbooks dans un groupe de ressources.
Contributeur Microsoft Azure Sentinel	Attacher un playbook à une règle d’analyse ou une règle d’automatisation
Répondeur Microsoft Sentinel	Accédez à un incident pour exécuter manuellement un playbook. Pour exécuter réellement le playbook, vous avez également besoin des rôles suivants : - Opérateur de playbook Microsoft Sentinel, pour exécuter un playbook manuellement - Contributeur d’automatisation Microsoft Sentinel, pour permettre aux règles d’automatisation d’exécuter des playbooks.

Pour plus d’informations, consultez les prérequis du manuel.

Autorisations supplémentaires requises pour exécuter des playbooks sur des incidents

Microsoft Sentinel utilise un compte de service pour exécuter des playbooks sur des incidents, pour ajouter de la sécurité et activer l’API de règles d’automatisation pour prendre en charge les cas d’utilisation CI/CD. Ce compte de service est utilisé pour les playbooks déclenchés par un incident, ou lorsque vous exécutez manuellement un playbook pour un incident spécifique.

En plus de vos propres rôles et autorisations, ce compte de service Microsoft Sentinel doit avoir son propre ensemble d’autorisations sur le groupe de ressources où réside le playbook, sous la forme du rôle Contributeur Microsoft Sentinel Automation . Une fois que Microsoft Sentinel a ce rôle, il peut exécuter n’importe quel playbook dans le groupe de ressources approprié, manuellement ou à partir d’une règle d’automatisation.

Pour accorder à Microsoft Sentinel les autorisations requises, vous devez disposer d’un rôle d’administrateur d’accès propriétaire ou utilisateur . Pour exécuter les playbooks, vous aurez également besoin du rôle Contributeur d’application logique sur le groupe de ressources qui contient les playbooks que vous souhaitez exécuter.

Configurer les autorisations de playbook pour les incidents dans un déploiement multilocataire

Dans un déploiement multilocataire, si le playbook que vous souhaitez exécuter se trouve dans un autre locataire, vous devez accorder au compte de service Microsoft Sentinel l’autorisation d’exécuter le playbook dans le locataire du playbook.

1. Dans le menu de navigation Microsoft Sentinel du locataire des playbooks, sélectionnez Paramètres.

2. Dans la page Paramètres , sélectionnez l’onglet Paramètres , puis l’expandeur d’autorisations du Playbook .

3. Sélectionnez le bouton Configurer les autorisations pour ouvrir le volet Gérer les autorisations .

4. Cochez les cases des groupes de ressources contenant les playbooks que vous souhaitez exécuter, puis sélectionnez Appliquer. Par exemple:

   

Vous devez vous-même disposer d’autorisations propriétaires sur n’importe quel groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel, et vous devez avoir le rôle Opérateur Playbook Microsoft Sentinel sur n’importe quel groupe de ressources contenant des playbooks que vous souhaitez exécuter.

Si, dans un scénario MSSP, vous souhaitez exécuter un playbook dans un locataire client à partir d’une règle d’automatisation créée lors de la connexion au locataire du fournisseur de services, vous devez accorder à Microsoft Sentinel l’autorisation d’exécuter le playbook dans les deux locataires :

• Dans le tenant client, suivez les instructions standard pour le déploiement multi-tenant.

• Dans le locataire du fournisseur de services, ajoutez l’application Azure Security Insights à votre modèle d’intégration Azure Lighthouse comme suit :

  1. Dans le portail Azure, accédez à l’ID Microsoft Entra et sélectionnez Applications d’entreprise.
  2. Sélectionnez le type d’application et le filtre sur les applications Microsoft.
  3. Dans la zone de recherche, entrez Azure Security Insights.
  4. Copiez le champ ID de l’objet. Vous devez ajouter cette autorisation supplémentaire à votre délégation Azure Lighthouse existante.

Le rôle Contributeur d’automatisation Microsoft Sentinel a le GUID fixe f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un exemple d’autorisation Azure Lighthouse ressemblerait à ceci dans votre modèle de paramètres :

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatiser les réponses aux incidents et aux alertes

Pour répondre automatiquement à des incidents entiers ou à des alertes individuelles avec un playbook, créez une règle d’automatisation qui s’exécute lorsque l’incident est créé ou mis à jour, ou lorsque l’alerte est générée. Cette règle d’automatisation inclut une étape qui appelle le manuel que vous souhaitez utiliser.

Pour créer une règle d’automatisation :

1. À partir de la page Automatisation dans le menu de navigation Microsoft Sentinel, sélectionnez Créer dans le menu supérieur, puis Règle d’automatisation. Par exemple:

   

2. Le panneau Créer une règle d'automatisation s’ouvre. Entrez un nom pour votre règle. Vos options diffèrent selon que votre espace de travail est intégré au portail Microsoft Defender. Par exemple:

   Espaces de travail intégrés au système

   

   Espaces de travail qui ne sont pas enregistrés

   

3. Gâchette: Sélectionnez le déclencheur approprié en fonction de la circonstance pour laquelle vous créez la règle d’automatisation : lorsque l’incident est créé, lorsque l’incident est mis à jour ou lorsque l’alerte est créée.

4. Conditions:

   1. Si votre espace de travail n’est pas encore intégré au portail Defender, les incidents peuvent avoir deux sources possibles :

      • Les incidents peuvent être créés dans Microsoft Sentinel
      • Les incidents peuvent être importés à partir de — et synchronisés avec — Microsoft Defender XDR.

      Si vous avez sélectionné l’un des déclencheurs d’incident et que vous souhaitez que la règle d’automatisation prenne effet uniquement sur les incidents provenant de Microsoft Sentinel, ou alternativement de Microsoft Defender XDR, spécifiez la source dans la condition Si le fournisseur d’incidents est égal.

      Cette condition s’affiche uniquement si un déclencheur d’incident est sélectionné et que votre espace de travail n’est pas intégré au portail Defender.

   2. Pour tous les types de déclencheur, si vous souhaitez que la règle d’automatisation prenne effet uniquement sur certaines règles d’analyse, spécifiez celles-ci en modifiant la condition de Si un nom de règle d’analyse contient.

   3. Ajoutez toutes les autres conditions que vous souhaitez pour déterminer si cette règle d'automatisation s'exécute. Sélectionnez + Ajouter et sélectionner des conditions ou des groupes de conditions dans la liste déroulante. La liste des conditions est remplie par les champs des détails d’alerte et de l’identificateur d’entité.

5. Actions :

   1. Étant donné que vous utilisez cette règle d’automatisation pour exécuter un playbook, sélectionnez l’action Exécuter le playbook dans la liste déroulante. Vous serez ensuite invité à faire une sélection dans une deuxième liste déroulante qui affiche les playbooks disponibles. Une règle d’automatisation ne peut exécuter que les playbooks qui commencent par le même déclencheur (incident ou alerte) que le déclencheur défini dans la règle, de sorte que seuls ces playbooks apparaissent dans la liste.

      Si un playbook apparaît grisé dans la liste déroulante, cela signifie que Microsoft Sentinel n’est pas autorisé à accéder au groupe de ressources de ce playbook. Sélectionnez le lien Gérer les autorisations du playbook pour attribuer des autorisations.

      Dans le panneau Gérer les autorisations qui s’ouvre, cochez les cases des groupes de ressources contenant les playbooks que vous souhaitez exécuter, puis sélectionnez Appliquer. Par exemple:

      

      Vous devez vous-même disposer d’autorisations propriétaires sur n’importe quel groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel, et vous devez avoir le rôle Opérateur Playbook Microsoft Sentinel sur n’importe quel groupe de ressources contenant des playbooks que vous souhaitez exécuter.

      Pour plus d’informations, consultez Autorisations supplémentaires requises pour exécuter des guides de procédure (playbooks) sur les incidents.

   2. Ajoutez toutes les autres actions souhaitées pour cette règle. Vous pouvez modifier l’ordre d’exécution des actions en sélectionnant les flèches vers le haut ou vers le bas à droite de n’importe quelle action.

6. Définissez une date d’expiration pour votre règle d’automatisation si vous souhaitez qu’elle en ait une.

7. Entrez un nombre sous Ordre pour déterminer où, dans la séquence de règles d’automatisation, cette règle s’exécute.

8. Sélectionnez Appliquer pour terminer votre automatisation.

Pour plus d’informations, consultez Créer et gérer des playbooks Microsoft Sentinel.

Répondre aux alertes : méthode héritée

Une autre façon d’exécuter automatiquement des guides opérationnels en réponse aux alertes consiste à les appeler à partir d’une règle d’analyse. Lorsque la règle génère une alerte, le guide opérationnel s’exécute.

Cette méthode sera déconseillée à compter de mars 2026.

À compter de juin 2023, vous ne pouvez plus ajouter des guides opérationnels aux règles d’analyse de cette façon. Toutefois, vous pouvez toujours voir les guides opérationnels existants appelés à partir des règles d'analyse, et ces guides opérationnels s'exécuteront toujours jusqu'en mars 2026. Nous vous encourageons vivement à créer des règles d’automatisation pour appeler ces playbooks avant cela.

Exécuter un playbook manuellement, à la demande

Vous pouvez également exécuter manuellement un guide opérationnel à la demande, que ce soit en réponse à des alertes, des incidents ou des entités. Cela peut être utile dans les situations où vous souhaitez plus d’intervention humaine et de contrôle sur les processus d’orchestration et de réponse.

Exécuter manuellement un playbook sur une alerte

Cette procédure n’est pas prise en charge dans le portail Defender.

Dans le portail Azure, sélectionnez l’un des onglets suivants en fonction des besoins de votre environnement :

Page des détails de l’incident

1. Dans la page Incidents , sélectionnez un incident, puis sélectionnez Afficher les détails complets pour ouvrir la page détails de l’incident.

2. Dans la page détails de l’incident, dans le widget Chronologie des incidents , sélectionnez l’alerte sur laquelle vous souhaitez exécuter le playbook. Sélectionnez les trois points à la fin de la ligne de l’alerte, puis sélectionnez Exécuter le playbook dans le menu contextuel.

   

3. Le volet Playbooks d’alerte s’ouvre. Vous pouvez voir la liste de tous les playbooks configurés avec le déclencheur Logic Apps Alerte Microsoft Sentinel auquel vous avez accès.

4. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

Graphique de l'examen

1. Dans la page Incidents , sélectionnez un incident, puis sélectionnez Afficher les détails complets pour ouvrir la page détails de l’incident.

2. Dans la page détails de l’incident, sélectionnez l’onglet Alertes , sélectionnez l’alerte sur laquelle vous souhaitez exécuter le playbook, puis sélectionnez le lien Afficher les playbooks à la fin de la ligne de cette alerte.

3. Le volet Playbooks d’alerte s’ouvre. Vous pouvez voir la liste de tous les playbooks configurés avec le déclencheur Logic Apps Alerte Microsoft Sentinel auquel vous avez accès.

4. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

Pour voir l’historique des exécutions de playbooks sur une alerte, sélectionnez l’onglet Exécutions dans le volet Playbooks d’alerte. L’affichage des exécutions qui viennent de se terminer dans cette liste peut prendre quelques secondes. La sélection d’une exécution spécifique ouvre le journal d’exécution complet dans Logic Apps.

Exécuter manuellement un playbook sur un incident

Cette procédure diffère, selon que vous travaillez dans le portail Azure ou dans le portail Defender. Sélectionnez l’onglet approprié pour votre environnement :

portail Azure

1. Dans la page Incidents, sélectionnez un incident.

2. Dans le volet des détails de l’incident qui s’affiche sur le côté, sélectionnez Actions > Exécuter le guide opérationnel.

   La sélection des trois points à la fin de la ligne de l’incident sur la grille ou le clic droit sur l’incident affiche la même liste que le bouton Action .

3. Le panneau Exécuter le playbook sur l’incident s’ouvre sur le côté. Vous pouvez voir la liste de tous les playbooks configurés avec le déclencheur Logic Apps Incident Microsoft Sentinel auquel vous avez accès.

   Si vous ne voyez pas le playbook que vous souhaitez exécuter dans la liste, cela signifie que Microsoft Sentinel n’a pas les autorisations nécessaires pour exécuter des playbooks dans ce groupe de ressources.

   Pour accorder ces autorisations, sélectionnez Paramètres>Paramètres>Autorisations de playbook>Configurer les autorisations. Dans le panneau Gérer les autorisations qui s’ouvre, cochez les cases des groupes de ressources contenant les playbooks que vous souhaitez exécuter, puis sélectionnez Appliquer.

   Pour plus d’informations, consultez Autorisations supplémentaires requises pour exécuter des playbooks sur des incidents.

4. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

   Vous devez avoir le rôle Opérateur de guide opérationnel Microsoft Sentinel sur n’importe quel groupe de ressources contenant des guides opérationnels que vous souhaitez exécuter. Si vous ne parvenez pas à exécuter le playbook en raison d’autorisations manquantes, nous vous recommandons de contacter un administrateur pour vous accorder les autorisations appropriées. Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.

Portail Microsoft Defender

1. Dans la page Incidents, sélectionnez un incident.

2. Dans le volet des détails de l’incident qui s’affiche sur le côté, sélectionnez Exécuter le guide opérationnel.

3. Le volet Exécuter le playbook sur l’incident s’ouvre sur le côté, avec tous les playbooks associés pour l’incident sélectionné. Dans la colonne Action , sélectionnez Exécuter le playbook pour le playbook que vous souhaitez exécuter immédiatement.

La colonne Actions peut également afficher l’un des états suivants :

Statut	Description et action requises
Autorisations manquantes	Vous devez avoir le rôle Opérateur de playbook Microsoft Sentinel sur n’importe quel groupe de ressources contenant des playbooks que vous souhaitez exécuter. Si vous ne disposez pas d’autorisations, nous vous recommandons de contacter un administrateur pour vous accorder les autorisations appropriées. Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.
Accorder une autorisation	Microsoft Sentinel n’a pas le rôle Contributeur Microsoft Sentinel Automatisation, qui est requis pour exécuter des guides opérationnels sur les incidents. Dans ce cas, sélectionnez Accorder l’autorisation d’ouvrir le volet Gérer les autorisations . Le volet Gérer les autorisations est filtré par défaut sur le groupe de ressources du playbook sélectionné. Sélectionnez le groupe de ressources, puis sélectionnez Appliquer pour accorder les autorisations requises. Vous devez être propriétaire ou administrateur d’accès utilisateur sur le groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel. Si vous ne disposez pas d’autorisations, le groupe de ressources est grisé et vous ne pouvez pas le sélectionner. Dans ce cas, nous vous recommandons de contacter un administrateur pour vous accorder les autorisations appropriées. Pour plus d’informations, consultez Autorisations supplémentaires requises pour exécuter des guides de procédure (playbooks) sur les incidents.

Affichez l’historique des exécutions des guides opérationnels sur un incident en sélectionnant l’onglet Exécutions dans le panneau Exécuter le guide opérationnel sur l’incident. L’affichage des exécutions qui viennent de se terminer dans cette liste peut prendre quelques secondes. La sélection d’une exécution spécifique ouvre le journal d’exécution complet dans Logic Apps.

Exécuter manuellement un playbook sur une entité

Cette procédure n’est pas prise en charge dans le portail Defender.

Sélectionnez une entité de l’une des façons suivantes, en fonction de votre contexte d’origine :

Page détails de l’incident (nouveau)

Si vous êtes dans la page de détails d’un incident (nouvelle version) :

Dans le widget Entités de l’onglet Vue d’ensemble , recherchez votre entité et effectuez l’une des opérations suivantes :

• Ne sélectionnez pas l’entité. Au lieu de cela, sélectionnez les trois points à droite de l’entité, puis sélectionnez Exécuter le playbook. Recherchez le playbook que vous souhaitez exécuter, puis sélectionnez Exécuter dans la ligne de ce playbook.

• Sélectionnez l’entité pour ouvrir l’onglet Entités de la page détails de l’incident. Recherchez votre entité dans la liste, puis sélectionnez les trois points à droite. Recherchez le playbook que vous souhaitez exécuter, puis sélectionnez Exécuter dans la ligne de ce playbook.

• Sélectionnez une entité et explorez la page des détails de l’entité. Sélectionnez ensuite le bouton Exécuter le guide opérationnel dans le volet de gauche. Recherchez le playbook que vous souhaitez exécuter, puis sélectionnez Exécuter dans la ligne de ce playbook.

Page de détails de l’incident (ancien)

Si vous êtes dans la page de détails d’un incident (version héritée) :

1. Sélectionnez l’onglet Entités de l’incident et recherchez votre entité dans la liste.

2. Effectuez l’une des opérations suivantes :

   • Sélectionnez le lien Exécuter le guide opérationnel à la fin de la ligne de l’entité dans la liste.
   • Sélectionnez l’entité pour accéder à la page des détails de l’entité et sélectionnez le bouton Exécuter le playbook dans le volet gauche.

3. Recherchez le playbook que vous souhaitez exécuter, puis sélectionnez Exécuter dans la ligne de ce playbook.

Graphique de l'examen

Dans le graphique des examens :

1. Sélectionnez une entité dans le graphique, puis sélectionnez le bouton Exécuter le playbook dans le volet latéral de l’entité.

   Pour certains types d’entités, vous devrez peut-être sélectionner le bouton Actions d’entité et, dans le menu résultant, sélectionnez Exécuter le playbook.

2. Recherchez le playbook que vous souhaitez exécuter, puis sélectionnez Exécuter dans la ligne de ce playbook.

Chasse proactive

Si vous recherchez de manière proactive des menaces :

1. Dans l’écran Comportement de l’entité, sélectionnez une entité dans les listes de la page, ou recherchez et sélectionnez une autre entité.
2. Dans la page d’entité, sélectionnez le bouton Exécuter le playbook dans le volet gauche.
3. Recherchez le playbook que vous souhaitez exécuter, puis sélectionnez Exécuter dans la ligne de ce playbook.

Quel que soit le contexte d’origine, la dernière étape de cette procédure vient du panneau Exécuter le playbook sur le <type d’entité>. Ce panneau affiche une liste de tous les playbooks auxquels vous avez accès et qui ont été configurés avec le déclencheur Logic Apps Entité Microsoft Sentinel pour le type d’entité sélectionné.

Dans le volet *Exécuter le playbook sur <le type> d’entité, sélectionnez l’onglet Exécutions pour afficher l’historique des exécutions d’un playbook pour une entité donnée. L’affichage des exécutions qui viennent de se terminer dans cette liste peut prendre quelques secondes. La sélection d’une exécution spécifique ouvre le journal d’exécution complet dans Logic Apps.

Contenu connexe

Pour plus d’informations, consultez :

• Créer et gérer des playbooks Microsoft Sentinel
• Automatiser la réponse aux menaces dans Microsoft Sentinel avec des règles d’automatisation