Tutoriel : Répondre aux menaces à l’aide de guide opérationnel avec des règles d’automatisation dans Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ce tutoriel vous explique comment utiliser des playbooks avec des règles d’automatisation pour automatiser votre réponse aux incidents et corriger les menaces de sécurité détectées par Microsoft Sentinel. Grâce à ce didacticiel, vous pourrez :

• Créer une tâche d'automatisation
• Créer un playbook
• Ajouter des actions à un playbook
• Joindre un playbook à une règle d’automatisation ou une règle d’analyse pour automatiser la réponse aux menaces

Notes

Ce tutoriel fournit des conseils de base pour une principale tâche client : la création d’une automatisation pour le triage des incidents. Pour plus d’informations, consultez la section Guide pratique, comme Automatiser la réponse aux menaces à l’aide de playbooks dans Microsoft Sentinel et Utilisation de déclencheurs et d’actions dans les playbooks Microsoft Sentinel.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Que sont les règles d’automatisation et les playbooks ?

Les règles d’automatisation vous aident à trier les incidents dans Microsoft Sentinel. Vous pouvez les utiliser pour attribuer automatiquement des incidents aux personnes appropriées, fermer des incidents indésirables ou des faux positifs connus, modifier leur gravité et ajouter des balises. Ils constituent également le mécanisme par lequel vous pouvez exécuter des guides opérationnels en réponse à des incidents ou alertes.

Les guides opérationnels sont des collections de procédures qui peuvent être exécutées à partir de Microsoft Sentinel en réponse à un incident complet, à une alerte individuelle ou à une entité spécifique. Un guide opérationnel peut vous aider à automatiser et à orchestrer votre réponse, et peut être configuré pour s’exécuter automatiquement lorsque des alertes spécifiques sont générées ou que des incidents sont créés ou mis à jour en les joignant à une règle d’automatisation. Il peut également s’exécuter manuellement à la demande sur des incidents, des alertes ou des entités spécifiques.

Les playbooks dans Microsoft Sentinel reposent sur des workflows conçus dans Azure Logic Apps. Cela signifie que vous bénéficiez de la puissance, des possibilités de personnalisation et des modèles intégrés de Logic Apps. Chaque playbook est créé pour l’abonnement spécifique auquel il appartient, mais l’affichage des règles reprend toutes les règles disponibles dans les abonnements sélectionnés.

Notes

Étant donné que les règles utilisent des Azure Logic Apps, des frais supplémentaires peuvent s’appliquer. Consultez la page sur la tarification d’Azure Logic Apps pour en savoir plus.

Par exemple, si vous souhaitez empêcher les utilisateurs potentiellement compromis de se déplacer dans votre réseau et de voler des informations, vous pouvez créer une réponse automatisée avec de nombreuses facettes pour les incidents générés par les règles détectant les utilisateurs compromis. Commencez par créer un playbook qui effectue les actions suivantes :

1. Lorsque le playbook est appelé par une règle d’automatisation lui transmettant un incident, le playbook ouvre un ticket dans ServiceNow ou tout autre système de création de tickets IT.

2. Il envoie un message à votre canal d’opérations de sécurité dans Microsoft Teams ou Slack pour vous assurer que vos analystes de sécurité sont conscients de l’incident.

3. Il envoie également toutes les informations de l’incident par e-mail à vos administrateur réseau et administrateur de sécurité supérieurs. L’e-mail comprendra les boutons d’option utilisateur Bloquer et Ignorer.

4. Le playbook attend jusqu’à ce qu’une réponse soit reçue de la part des administrateurs, puis continue avec les étapes suivantes.

5. Si les administrateurs choisissent Bloquer, il envoie une commande à Microsoft Entra ID pour désactiver l’utilisateur et un au pare-feu pour bloquer l’adresse IP.

6. Si les administrateurs choisissent Ignorer, le playbook ferme l’incident dans Microsoft Sentinel et le ticket dans ServiceNow.

Pour déclencher le playbook, vous allez créer une règle d’automatisation qui s’exécute lors de la génération de ces incidents. Cette règle effectue les étapes suivantes :

1. La règle modifie l’état de l’incident en Actif.

2. Il attribue l’incident à l’analyste chargé de gérer ce type d’incident.

3. Il ajoute la balise « utilisateur compromis ».

4. Enfin, il appelle le playbook que vous venez de créer. (Des autorisations spéciales sont requises pour cette étape.)

Les règles peuvent être exécutées automatiquement en réponse aux incidents, en créant des règles d’automatisation qui appellent les règles en tant qu’actions, comme dans l’exemple ci-dessus. Elles peuvent également être exécutées automatiquement en réponse aux alertes, en demandant à la règle d’analyse d’exécuter automatiquement un ou plusieurs playbooks lorsque l’alerte est générée.

Vous pouvez également choisir d’exécuter manuellement un playbook à la demande, en réponse à une alerte sélectionnée.

Profitez d’une présentation plus complète et détaillée de l’automatisation de la réponse aux menaces à l’aide de règles d’automatisation et de playbooks dans Microsoft Sentinel.

Créer un playbook

Pour créer un playbook dans Microsoft Sentinel, effectuez les étapes suivantes :

Azure portal

Portail Defender

1. Pour Microsoft Sentinel, dans le portail Microsoft Azure, sélectionnez la page Configuration>Automation. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Automation.

2. Dans le menu supérieur, sélectionnez Créer.

3. Le menu déroulant qui s’affiche sous Créer vous offre quatre options pour créer des playbooks :

   1. Si vous créez un playbook Standard (le nouveau type : voir types de Logic Apps), sélectionnez Playbook Vide, puis suivez les étapes décrites dans l’onglet Logic Apps Standard ci-dessous.

   2. Si vous créez un playbook Consommation (type classique d’origine), sélectionnez Playbook avec déclencheur d’incident, Playbook avec déclencheur d’alerte ou Playbook avec déclencheur d’entité selon le déclencheur que vous souhaitez utiliser. Ensuite, suivez les étapes décrites dans l’onglet Consommation de Logic Apps ci-dessous.

      Pour plus d’informations sur le déclencheur à utiliser, consultez Utiliser des déclencheurs et des actions dans les playbooks Microsoft Sentinel.

Consommation d’applications logiques

Préparer le playbook et l’application logique

Quel que soit le déclencheur avec lequel vous avez choisi de créer votre playbook à l’étape précédente, l’Assistant Création d’un playbook s’affiche.

1. Sous l’onglet Informations de base :

   1. Sélectionnez l’abonnement, le groupe de ressources et la région de votre choix dans leurs listes déroulantes respectives. La région choisie est l’endroit où vos informations d’application logique seront stockées.

   2. Entrez un nom pour votre playbook sous Nom du playbook.

   3. Si vous souhaitez surveiller l’activité de ce playbook à des fins de diagnostic, activez la case à cocher Activer les journaux de diagnostic dans Log Analytics, puis choisissez votre espace de travail Log Analytics dans le menu déroulant.

   4. Si vos playbooks ont besoin d’accéder aux ressources protégées qui se trouvent à l’intérieur ou qui sont connectées à un réseau virtuel Azure, vous devrez peut-être utiliser un environnement de service d’intégration (ISE). Si c’est le cas, cochez la case Associer à l’environnement de service d’intégration, puis activez l’ISE souhaité dans la liste déroulante.

   5. Sélectionnez Suivant : Connexions >.

2. Dans l’onglet Connexions :

   Dans l’idéal, vous devez laisser cette section comme c’est le cas, en configurant Logic Apps pour vous connecter à Microsoft Sentinel avec une identité managée. Découvrez cette solution et d’autres alternatives d’authentification.

   Sélectionnez Suivant : Vérifier et créer>.

3. Dans l’onglet Vérifier et créer :

   Passez en revue les choix de configuration que vous avez effectués, puis sélectionnez Créer et passer au concepteur.

4. Votre playbook prendra quelques minutes pour être créé et déployé, après quoi vous verrez le message « Votre déploiement est terminé » et vous serez dirigé vers le concepteur d’application logique de votre nouveau playbook. Le déclencheur que vous avez choisi au début a été ajouté automatiquement comme première étape, et vous pouvez continuer à concevoir le flux de travail à partir de là.

   

   Si vous avez choisi le déclencheur Entité Microsoft Sentinel (préversion), sélectionnez le type d’entité que ce playbook doit recevoir en tant qu’entrée.

   

Logic Apps Standard

Préparer l'application logique et le workflow

Il existe trois étapes pour commencer à créer un playbook Logic Apps Standard :

1. Créez une application logique.
2. Créez un flux de travail (il s’agit du playbook réel).
3. Choisissez le déclencheur.

Créer une application logique

Étant donné que vous avez sélectionné un playbook vide, un nouvel onglet de navigateur s’ouvre et vous amène à l’Assistant Création d’une application logique .

1. Sous l’onglet Informations de base :

   1. Sélectionnez l’abonnement et le groupe de ressources de votre choix dans leurs listes déroulantes respectives.

   2. Saisissez le nom de votre application logique. Pour Publier, choisissez Workflow. Sélectionnez la région dans laquelle vous souhaitez déployer l’application logique.

   3. Pour le type de plan, choisissez Standard.

   4. Sélectionner Suivant : Hébergement>.

2. Dans l’onglet Hébergement :

   1. Pour Type de stockage, choisissez Stockage Azure, puis choisissez ou créez un compte Stockage.

   2. Choisissez un plan Windows.

3. Sélectionnez Suivant : Supervision>.

4. Dans l’onglet Supervision :

   1. Si vous souhaitez activer la supervision des performances dans Azure Monitor pour cette application, laissez le bouton bascule sur Oui. Sinon, basculez-le sur Non.

      Notes

      Cette surveillance n’est pas nécessaire pour Microsoft Sentinel et vous coûtera des frais supplémentaires.

   2. Si vous souhaitez que vous puissiez sélectionner Suivant : étiquettes > pour appliquer des étiquettes à cette application logique à des fins de catégorisation et de facturation des ressources. Sinon, sélectionnez Vérifier + créer.

5. Dans l’onglet Vérifier + créer :

   Passez en revue les choix de configuration que vous avez effectués, puis sélectionnez Créer.

6. Votre playbook prend quelques minutes pour être créé et déployé, pendant lequel vous verrez des messages de déploiement. À la fin du processus, vous serez dirigé vers l’écran de déploiement final dans lequel vous verrez le message « Votre déploiement est terminé ».

   Sélectionnez Accéder à la ressource. Vous serez redirigé vers la page principale de votre nouvelle application logique.

   Contrairement aux playbooks de consommation classiques, vous n’avez pas encore terminé. Vous devez maintenant créer un workflow.

Créer un workflow (playbook)

1. Sélectionnez Workflow dans le menu de navigation de votre page Application logique.

2. Sélectionnez + Ajouter dans la barre de boutons en haut (le bouton peut prendre quelques secondes pour que le bouton soit actif).

3. Le panneau Nouveau workflow s’affiche. Entrez un nom pour votre workflow.

4. Sous Type d’état, sélectionnez avec état.

   Notes

   Microsoft Sentinel ne prend actuellement pas en charge l’utilisation de workflow sans état en tant que playbooks.

5. Sélectionnez Create (Créer). Votre flux de travail sera enregistré et apparaîtra dans la liste des workflows dans votre application logique. Sélectionnez le workflow à poursuivre.

6. Vous allez entrer la page de votre workflow. Ici, vous pouvez voir toutes les informations relatives à votre workflow, y compris un enregistrement de toutes les fois qu’il aura été exécuté. Dans le menu de navigation, sélectionnez Concepteur.

7. L’écran concepteur s’ouvre et vous serez immédiatement invité à ajouter un déclencheur et à continuer à concevoir le workflow.

   

Choisir le déclencheur

1. Sélectionnez l’onglet Azure et entrez « Sentinel » dans la ligne de recherche.

2. Sous l’onglet Déclencheurs ci-dessous, les trois déclencheurs proposés par Microsoft Sentinel s’affichent :

   • Alerte Microsoft Sentinel (préversion)
   • Entité Microsoft Sentinel (préversion)
   • Incident Microsoft Sentinel (préversion)

   Sélectionnez le déclencheur qui correspond au type de playbook que vous êtes en train de créer.

   

   Si vous avez choisi le déclencheur Entité Microsoft Sentinel (préversion), sélectionnez le type d’entité que ce playbook doit recevoir en tant qu’entrée.

   

Notes

Quand vous choisissez un déclencheur ou une action ultérieure, vous êtes invité à vous authentifier auprès du fournisseur de ressources avec lequel vous interagissez. Dans ce cas, le fournisseur est Microsoft Sentinel. Il existe plusieurs approches pour l’authentification. Pour obtenir des détails et des instructions, consultez Authentifier les playbooks auprès de Microsoft Sentinel.

Pour plus d’informations sur le déclencheur à utiliser, consultez Utiliser des déclencheurs et actions dans les playbooks Microsoft Sentinel

Ajouter des actions

Maintenant, vous pouvez définir l’action effectuée lorsque vous appelez le playbook. Vous pouvez ajouter des actions, des conditions logiques, des boucles ou des conditions de cas de basculement en sélectionnant Nouvelle étape. Cette sélection ouvre un nouveau cadre dans le concepteur, dans lequel vous pouvez choisir un système ou une application avec lequel interagir ou une condition à définir. Entrez le nom du système ou de l’application dans la barre de recherche en haut du cadre, puis choisissez parmi les résultats disponibles.

Dans chacune de ces étapes, un clic sur un champ permet d’afficher un panneau avec deux menus : le contenu dynamique et l'expression. Dans le menu Contenu dynamique, vous pouvez ajouter des références aux attributs de l’alerte ou de l’incident qui a été passé au playbook, y compris les valeurs et attributs de toutes les entités mappées et les détails personnalisés contenus dans l’alerte ou l’incident. Dans le menu Expression, vous pouvez choisir parmi une grande bibliothèque de fonctions pour ajouter une logique supplémentaire à vos étapes.

Cette capture d’écran montre les actions et les conditions que vous ajouteriez pour créer le playbook décrit dans l’exemple au début de ce document. En savoir plus sur l’ajout d’actions à vos playbooks.

Consultez Utiliser des déclencheurs et des actions dans les playbooks Microsoft Sentinel pour plus d’informations sur les actions que vous pouvez ajouter aux playbooks à des fins différentes.

Notez en particulier ces informations importantes sur les playbooks basés sur le déclencheur d’entité dans un contexte hors incident.

Automatiser les réponses aux menaces

Vous avez créé votre playbook et défini le déclencheur, défini les conditions et imposé les actions qu’il prendra et les sorties qu’il produira. À présent, vous devez déterminer les critères selon lesquels il s’exécutera et configurer le mécanisme d’automatisation qui l’exécutera lorsque ces critères seront satisfaits.

Répondre aux incidents et aux alertes

Pour utiliser un guide opérationnel pour répondre automatiquement à un incident complet ou à une alerte individuelle, créez une règle d’automatisation qui s’exécutera lors de la création ou de la mise à jour de l’incident, ou lorsque l’alerte est générée. Cette règle d’automatisation inclut une étape qui appelle le guide opérationnel que vous souhaitez utiliser.

Pour créer une règle d’automatisation :

1. À partir de la page Automatisation dans le menu de navigation Microsoft Sentinel, sélectionnez Créer dans le menu supérieur, puis Règle d’automatisation.

   

2. Le panneau Créer une règle d’automatisation s’ouvre. Entrez un nom pour votre règle.

   Vos options diffèrent selon que votre espace de travail est intégré à la plateforme d’opérations de sécurité unifiée. Par exemple :

   Un espace de travail intégré

   

   Un espace de travail qui n’est pas intégré

   

3. Déclencheur : sélectionnez le déclencheur approprié en fonction de la circonstance pour laquelle vous créez la règle d’automatisation : Lors de la création de l’incident, Lors de la mise à jour de l’incident ou Lors de la création d’une alerte.

4. Conditions :

   1. Si votre espace de travail n’est pas encore intégré à la plateforme d’opérations de sécurité unifiée, les incidents peuvent avoir deux sources possibles :

      • Les incidents peuvent être créés dans Microsoft Sentinel
      • Les incidents peuvent être importés depuis et synchronisés avec Microsoft Defender XDR.

      Si vous avez sélectionné l’un des déclencheurs de l’incident et que vous souhaitez que la règle d’automatisation prenne effet uniquement sur des incidents générés dans Microsoft Sentinel ou, dans d’autres cas, Microsoft Defender XDR, spécifiez la source dans la condition Si le fournisseur d’incidents est égal à.

      Cette condition s’affiche uniquement si un déclencheur d’incident est sélectionné et que votre espace de travail n’est pas intégré à la plateforme d’opérations de sécurité unifiée.

   2. Pour tous les types de déclencheur, si vous souhaitez que la règle d’automatisation prenne effet uniquement sur certaines règles d’analyse, spécifiez celles-ci en modifiant la condition de Si un nom de règle d’analyse contient.

   3. Ajoutez toutes les autres conditions que vous souhaitez déterminer si cette règle d’automatisation s’exécute. Cliquez sur +Ajouter et choisissez des conditions ou groupes de conditions dans la liste déroulante. La liste des conditions est remplie par les champs des détails d’alerte et de l’identificateur d’entité.

5. Actions :

   1. Étant donné que vous utilisez cette règle d’automatisation pour exécuter un guide opérationnel, choisissez l’action Exécuter le guide opérationnel à partir de la liste déroulante. Vous serez ensuite invité à choisir dans une deuxième liste déroulante qui affiche les guides opérationnels disponibles. Une règle d’automatisation peut exécuter uniquement les guides opérationnels qui commencent par le même déclencheur (incident ou alerte) que le déclencheur défini dans la règle, de sorte que seuls ces guides opérationnels apparaissent dans la liste.

      Important

      Microsoft Sentinel doit recevoir des autorisations explicites pour pouvoir exécuter des guides opérationnels à partir de règles d’automatisation. Si un playbook apparaît « grisé » dans la liste déroulante, cela signifie que Sentinel n’a pas d’autorisation sur le groupe de ressources de ce playbook. Cliquez sur le lien Gérer les autorisations du playbook pour affecter des autorisations.

      Dans le volet Gérer les autorisations qui s’ouvre, activez les cases à cocher des groupes de ressources contenant les règles que vous souhaitez exécuter, puis cliquez sur Appliquer.

      

      • Vous devez disposer des autorisations de propriétaire sur n’importe quel groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel, et vous devez disposer du rôle Contributeur Logic App sur tout groupe de ressources contenant les règles que vous souhaitez exécuter.

      • Dans un déploiement à plusieurs locataires, si le playbook que vous souhaitez exécuter se trouve dans un autre locataire, vous devez accorder à Microsoft Sentinel l’autorisation d’exécuter le playbook dans le client du playbook.

        1. Dans le menu de navigation Microsoft Sentinel du locataire des playbooks, sélectionnez Paramètres.
        2. Dans le panneau Paramètres, sélectionnez l’onglet Paramètres, puis l’expander Autorisations du Playbook.
        3. Cliquez sur le bouton Configurer les autorisations pour ouvrir le panneau Gérer les autorisations repris ci-dessus, puis continuez comme décrit ici.

      • Si, dans un scénario MSSP, vous souhaitez exécuter le playbook d’un locataire client à partir d’une règle d’automatisation créée lors de la connexion au locataire du fournisseur de services, vous devez accorder à Microsoft Sentinel l’autorisation d’exécuter le playbook dans les deux locataires. Dans le locataire client, suivez les instructions de déploiement de plusieurs locataires, énoncées dans le point précédent. Dans le tenant du fournisseur de services, vous devez ajouter l’application Azure Security Insights à votre modèle d’intégration Azure Lighthouse :

        1. À partir du portail Azure, accédez à 'ID Microsoft Entra.
        2. Cliquez sur Applications d’entreprise.
        3. Sélectionnez Type d’application et filtrez par Applications Microsoft.
        4. Dans la zone de recherche, tapez Azure Security Insights.
        5. Copiez le champ ID de l’objet. Vous devrez ajouter cette autorisation supplémentaire à votre délégation Azure Lighthouse existante.

        Le rôle Contributeur Automatisation Microsoft Sentinel possède le GUID fixe f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un exemple d’autorisation Azure Lighthouse devrait ressembler à ceci dans votre modèle de paramètres :

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Ajoutez toutes les autres actions souhaitées pour cette règle. Vous pouvez modifier l’ordre d’exécution des actions en sélectionnant les flèches vers le haut ou vers le bas à droite de n’importe quelle action.

6. Définissez une date d’expiration pour votre règle d’automatisation si vous souhaitez qu’elle en ait une.

7. Entrez un nombre sous Ordre pour déterminer à quel endroit de la séquence de règles d’automatisation cette règle s’exécutera.

8. Sélectionnez Appliquer. Vous avez terminé !

Découvrez d’autres façons de créer des règles d’automatisation.

Répondre aux alertes : méthode héritée

Une autre façon d’exécuter automatiquement des guides opérationnels en réponse aux alertes consiste à les appeler à partir d’une règle d’analyse. Lorsque la règle génère une alerte, le guide opérationnel s’exécute.

Cette méthode sera déconseillée à compter de mars 2026.

À compter de juin 2023, vous ne pouvez plus ajouter des guides opérationnels aux règles d’analyse de cette façon. Toutefois, vous pouvez toujours voir les guides opérationnels existants appelés à partir des règles d'analyse, et ces guides opérationnels s'exécuteront toujours jusqu'en mars 2026. Nous vous encourageons vivement à créer des règles d’automatisation pour appeler ces guides opérationnels avant cela.

Exécuter un playbook à la demande

Vous pouvez également exécuter manuellement un guide opérationnel à la demande, que ce soit en réponse à des alertes, des incidents (en préversion) ou des entités (également en préversion). Cela peut être utile dans les situations où vous souhaitez plus d’intervention humaine et de contrôle sur les processus d’orchestration et de réponse.

Exécuter manuellement un playbook sur une alerte

Cette procédure n’est pas prise en charge dans la plateforme d’opérations de sécurité unifiée.

Dans le portail Microsoft Azure, sélectionnez l’un des onglets suivants en fonction des besoins de votre environnement :

NOUVELLE page Détails de l’incident

1. Dans la page Incidents, sélectionnez un incident.

   Dans le portail Microsoft Azure, sélectionnez Afficher les détails complets en bas du volet de détails de l’incident pour ouvrir la page de détails de l’incident.

2. Sur la page Détails de l’incident, dans le widget Chronologie de l’incident, sélectionnez l’alerte pour laquelle vous souhaitez exécuter le playbook. Sélectionnez les points de suspension à la fin de la ligne de l’alerte, puis sélectionnez Exécuter le playbook dans le menu contextuel.

   

3. Le volet Playbooks d’alerte s’ouvre. Vous pouvez voir la liste de tous les playbooks configurés avec le déclencheur Logic Apps Alerte Microsoft Sentinel auquel vous avez accès.

4. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

Graphe d’investigation

1. Dans la page Incidents, sélectionnez un incident.

   Dans le portail Microsoft Azure, sélectionnez Afficher les détails complets en bas du volet de détails de l’incident pour ouvrir la page de détails de l’incident.

2. Dans la page des détails de l’incident, sélectionnez l’onglet Alertes, choisissez l’alerte sur laquelle vous souhaitez exécuter le playbook, puis sélectionnez le lien Afficher les playbooks à la fin de la ligne de cette alerte.

3. Le volet Playbooks d’alerte s’ouvre. Vous pouvez voir la liste de tous les playbooks configurés avec le déclencheur Logic Apps Alerte Microsoft Sentinel auquel vous avez accès.

4. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

Pour voir l’historique des exécutions de playbooks sur une alerte, sélectionnez l’onglet Exécutions dans le volet Playbooks d’alerte. L’affichage des exécutions qui viennent de se terminer dans cette liste peut prendre quelques secondes. Sélectionnez une exécution spécifique pour ouvrir le journal complet des exécutions dans Logic Apps.

Exécuter manuellement un guide opérationnel sur un incident (préversion)

Cette procédure diffère selon que vous travaillez dans Microsoft Sentinel ou dans la plateforme d’opérations de sécurité unifiée. Sélectionnez l’onglet approprié pour votre environnement :

Azure portal

1. Dans la page Incidents, sélectionnez un incident.

2. Dans le volet des détails de l’incident à droite, sélectionnez Actions > Exécuter le playbook (préversion).
   (Vous pouvez sélectionner les trois points à la fin de la ligne de l’incident sur la grille ou cliquer avec le bouton droit sur l’incident pour obtenir la même liste que celle générée avec le bouton Action.)

3. Le panneau Exécuter le playbook sur l’incident s’ouvre à droite. Vous pouvez voir la liste de tous les playbooks configurés avec le déclencheur Logic Apps Incident Microsoft Sentinel auquel vous avez accès.

   Si vous ne voyez pas le playbook que vous souhaitez exécuter dans la liste, cela signifie que Microsoft Sentinel ne dispose pas des autorisations nécessaires pour exécuter les playbooks dans ce groupe de ressources (voir la remarque ci-dessus).

   Pour accorder ces autorisations, sélectionnez Paramètres>Paramètres>Autorisations du guide opérationnel>Configurer les autorisations. Dans le panneau Gérer les autorisations qui s’ouvre, cochez les cases des groupes de ressources contenant les playbooks à exécuter, puis sélectionnez Appliquer.

4. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

   Vous devez avoir le rôle Opérateur de guide opérationnel Microsoft Sentinel sur n’importe quel groupe de ressources contenant des guides opérationnels que vous souhaitez exécuter. Si vous ne parvenez pas à exécuter le guide opérationnel en raison d’autorisations manquantes, nous vous recommandons de contacter un administrateur pour qu’il vous accorde les autorisations appropriées. Pour plus d’informations, consultez Autorisations requises pour utiliser des guides opérationnels.

Portail Microsoft Defender

1. Dans la page Incidents, sélectionnez un incident.

2. Dans le volet de détails de l’incident à droite, sélectionnez Exécuter le guide opérationnel.

3. Le volet Exécuter le guide opérationnel sur l’incident s’ouvre à droite, avec tous les guides opérationnels associés pour l’incident sélectionné. Dans la colonne Action, sélectionnez Exécuter le guide opérationnel pour le guide opérationnel que vous souhaitez exécuter immédiatement.

La colonne Actions peut également afficher l’un des états suivants :

État	Description et action requises
Autorisations manquantes	Vous devez avoir le rôle Opérateur de guide opérationnel Microsoft Sentinel sur n’importe quel groupe de ressources contenant des guides opérationnels que vous souhaitez exécuter. Si vous ne disposez pas d’autorisations, nous vous recommandons de contacter un administrateur pour vous accorder les autorisations appropriées. Pour plus d’informations, consultez Autorisations requises pour utiliser des guides opérationnels.
Accorder une autorisation	Microsoft Sentinel n’a pas le rôle Contributeur Microsoft Sentinel Automatisation, qui est requis pour exécuter des guides opérationnels sur les incidents. Dans ce cas, sélectionnez Accorder une autorisation pour ouvrir le volet Gérer les autorisations. Le volet Gérer les autorisations est filtré par défaut sur le groupe de ressources du guide opérationnel sélectionné. Sélectionnez le groupe de ressources, puis sélectionnez Appliquer pour accorder les autorisations requises. Vous devez être Propriétaire ou Administrateur d’accès utilisateur sur le groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel. Si vous ne disposez pas des autorisations, le groupe de ressources est grisé et vous ne pourrez pas le sélectionner. Dans ce cas, nous vous recommandons de contacter un administrateur pour vous accorder les autorisations appropriées. Pour plus d’informations, consultez la remarque ci-dessus.

Affichez l’historique des exécutions des guides opérationnels sur un incident en sélectionnant l’onglet Exécutions dans le panneau Exécuter le guide opérationnel sur l’incident. L’affichage des exécutions qui viennent de se terminer dans cette liste peut prendre quelques secondes. Sélectionnez une exécution spécifique pour ouvrir le journal complet des exécutions dans Logic Apps.

Exécuter manuellement un guide opérationnel sur une entité (préversion)

Cette procédure n’est pas prise en charge dans la plateforme d’opérations de sécurité unifiée.

1. Sélectionnez une entité de l’une des manières suivantes selon votre contexte d’origine :

   Sur la page Détails d’un incident (nouvelle version) :

   1. Dans le widget Entités de l’onglet Vue d’ensemble, recherchez une entité dans la liste (ne la sélectionnez pas).
   2. Sélectionnez les points de suspension à droite de l’entité.
   3. Sélectionnez Exécuter le playbook (préversion) dans le menu contextuel avant de passer à l’étape 2 ci-dessous.
      Si vous avez sélectionné l’entité et êtes entré dans l’onglet Entités de la page Détails de l’incident, passez à la ligne suivante ci-dessous.
   4. Recherchez une entité dans la liste (ne la sélectionnez pas).
   5. Sélectionnez les points de suspension à droite de l’entité.
   6. Sélectionnez Exécuter le playbook (préversion) dans le menu contextuel.
      Si vous avez sélectionné l’entité et entré sa page d’entité, sélectionnez le bouton Exécuter le playbook (préversion) dans le volet gauche.

   Sur la page Détails d’un incident (version héritée) :

   1. Sélectionnez l’onglet Entités de l’incident.
   2. Recherchez une entité dans la liste (ne la sélectionnez pas).
   3. Sélectionnez le lien Exécuter le playbook (préversion) à la fin de la ligne dans la liste.
      Si vous avez sélectionné l’entité et entré sa page d’entité, sélectionnez le bouton Exécuter le playbook (préversion) dans le volet gauche.

   Dans le graphique des examens :

   1. Sélectionnez une entité dans le graphique.
   2. Sélectionnez le bouton Exécuter le playbook (préversion) dans le panneau latéral de l’entité.
      Pour certains types d’entités, vous devez peut-être sélectionner le bouton Actions d’entité. Dans le menu qui s’affiche, sélectionnez Exécuter le guide opérationnel (préversion).

   Si vous recherchez les menaces de manière proactive :

   1. Dans l’écran Comportement de l’entité, sélectionnez une entité dans les listes de la page, ou recherchez et sélectionnez une autre entité.
   2. Dans la page d’entité, sélectionnez le bouton Exécuter le playbook (préversion) dans le volet gauche.

2. Quel que soit le contexte, les instructions ci-dessus ouvrent toutes le volet Exécuter le playbook sur le <type d’entité>. Vous verrez une liste de tous les playbooks auxquels vous avez accès et qui ont été configurés avec le déclencheur Entité Microsoft Sentinel Logic Apps pour le type d’entité sélectionné.

3. Sélectionnez Exécuter sur la ligne d’un playbook spécifique pour l’exécuter immédiatement.

L’historique des exécutions des playbooks sur un incident donné s’affiche en sélectionnant l’onglet Exécutions dans le panneau Exécuter le playbook sur le <type d’entité>. L’affichage des exécutions qui viennent de se terminer dans cette liste peut prendre quelques secondes. Sélectionnez une exécution spécifique pour ouvrir le journal complet des exécutions dans Logic Apps.

Étapes suivantes

Dans ce tutoriel, vous avez appris à utiliser des playbooks et des règles d’automatisation dans Microsoft Sentinel pour répondre aux menaces.

• En savoir plus sur l’authentification des playbooks pour Microsoft Sentinel
• En savoir plus sur l’utilisation des déclencheurs et des actions dans les playbooks Microsoft Sentinel
• Découvrez comment rechercher des menaces de façon proactive à l’aide de Microsoft Sentinel.