Microsoft Sentinel-forgatókönyvek létrehozása és kezelése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A forgatókönyvek olyan eljárások gyűjteményei, amelyeket a Microsoft Sentinel egy teljes incidensre, egy egyéni riasztásra vagy egy adott entitásra válaszul futtathat. A forgatókönyvek segíthetnek a válasz automatizálásában és vezénylésében, és csatolhatók egy automatizálási szabályhoz, amely automatikusan futtatható adott riasztások létrehozásakor vagy incidensek létrehozásakor vagy frissítésekor. A forgatókönyvek manuálisan is futtathatók igény szerint adott incidensek, riasztások vagy entitások esetén.

Ez a cikk a Microsoft Sentinel forgatókönyvek létrehozását és kezelését ismerteti. Ezeket a forgatókönyveket később csatolhatja elemzési szabályokhoz vagy automatizálási szabályokhoz, vagy manuálisan futtathatja őket adott incidenseken, riasztásokon vagy entitásokon.

Feljegyzés

A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, ami azt jelenti, hogy a logikai alkalmazások minden erejét, testreszabhatóságát és beépített sablonjait megkapja. További díjakat is alkalmazhat. A díjszabással kapcsolatos információkért látogasson el az Azure Logic Apps díjszabási oldalára.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

• Azure-fiók és -előfizetés. Ha még nincs előfizetése, regisztráljon egy ingyenes Azure-fiókra.

• Forgatókönyvek létrehozásához és kezeléséhez hozzá kell férnie a Microsoft Sentinelhez az alábbi Azure-szerepkörök egyikével:

  Logikai alkalmazás	Azure-szerepkörök	Leírás
  Felhasználás	Logikai alkalmazás közreműködője	Logikai alkalmazások szerkesztése és kezelése.
  Felhasználás	Logikai alkalmazás operátora	Logikai alkalmazások olvasása, engedélyezése és letiltása.
  Standard	Logic Apps Standard operátor	Munkafolyamatok engedélyezése, újraküldése és letiltása.
  Standard	Logic Apps Standard Developer	Munkafolyamatok létrehozása és szerkesztése.
  Standard	Logic Apps Standard közreműködő	A munkafolyamat minden aspektusának kezelése.

  További információkért tekintse meg a következő dokumentációt:

  • Hozzáférés a logikai alkalmazások műveleteihez
  • A Microsoft Sentinel forgatókönyv előfeltételei.

• A forgatókönyv létrehozása előtt javasoljuk, hogy olvassa el az Azure Logic Apps for Microsoft Sentinel forgatókönyveket.

Forgatókönyv létrehozása

Az alábbi lépéseket követve hozzon létre egy új forgatókönyvet a Microsoft Sentinelben:

1. Az Azure Portalon vagy a Defender portálon lépjen a Microsoft Sentinel-munkaterületre. A munkaterület menü Konfiguráció területén válassza az Automation lehetőséget.

   Azure Portalra

   

   Defender portál

   

2. A felső menüben válassza a Létrehozás lehetőséget, majd válasszon az alábbi lehetőségek közül:

   • Ha használati forgatókönyvet hoz létre, a használni kívánt eseményindítótól függően válasszon az alábbi lehetőségek közül, majd kövesse a Használat logikai alkalmazás lépéseit:

     • Forgatókönyv incidensindítóval
     • Forgatókönyv riasztási eseményindítóval
     • Forgatókönyv entitás-eseményindítóval

     Ez az útmutató az entitás-eseményindítóval rendelkező forgatókönyvkel folytatódik.

   • Standard forgatókönyv létrehozásakor válassza az Üres forgatókönyv lehetőséget, majd kövesse a Standard logikai alkalmazás típusának lépéseit.

   További információ: Támogatott logikai alkalmazástípusok és támogatott triggerek és műveletek a Microsoft Sentinel forgatókönyveiben.

A forgatókönyv logikai alkalmazásának előkészítése

A forgatókönyvhöz tartozó logikai alkalmazás létrehozásának részleteiért válassza az alábbi fülek egyikét attól függően, hogy Használat vagy Standard logikai alkalmazást használ-e. További információ: Támogatott logikai alkalmazástípusok.

Tipp.

Ha a forgatókönyveknek hozzáférésre van szükségük egy Azure-beli virtuális hálózaton belüli vagy ahhoz kapcsolódó védett erőforrásokhoz, hozzon létre egy Standard logikai alkalmazás munkafolyamatot.

A standard munkafolyamatok egybérlős Azure Logic Appsben futnak, és támogatják a privát végpontok használatát a bejövő forgalomhoz, hogy a munkafolyamatok privátan és biztonságosan kommunikálhassanak a virtuális hálózatokkal. A standard munkafolyamatok a kimenő forgalom virtuális hálózati integrációját is támogatják. További információ: Biztonságos forgalom a virtuális hálózatok és az egybérlős Azure Logic Apps között privát végpontok használatával.

Fogyasztás

Miután kiválasztotta az eseményindítót, amely incidenst, riasztást vagy entitás-eseményindítót tartalmaz, megjelenik a Forgatókönyv létrehozása varázsló, például:

A forgatókönyv létrehozásához kövesse az alábbi lépéseket:

1. Az Alapok lapon adja meg a következő információkat:

   1. Előfizetés és erőforráscsoport esetén válassza ki a kívánt értékeket a saját listáikból.

      A Régió érték a társított Log Analytics-munkaterülettel megegyező régióra van beállítva.

   2. A forgatókönyv neveként adja meg a forgatókönyv nevét.

   3. Ha diagnosztikai célokra szeretné monitorozni a forgatókönyv tevékenységeit, válassza a Diagnosztikai naplók engedélyezése a Log Analyticsben lehetőséget, majd válasszon ki egy Log Analytics-munkaterületet , kivéve, ha már kijelölt egy munkaterületet.

2. Válassza a Következő: Kapcsolatok >lehetőséget.

3. A Kapcsolatok lapon javasoljuk, hogy hagyja meg az alapértelmezett értékeket, amelyek úgy konfigurálják a logikai alkalmazásokat, hogy felügyelt identitással csatlakozzanak a Microsoft Sentinelhez.

   További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.

4. A folytatáshoz válassza a Tovább: Áttekintés és létrehozás >lehetőséget.

5. A Véleményezés és létrehozás lapon tekintse át a konfigurációs lehetőségeket, és válassza a Forgatókönyv létrehozása lehetőséget.

   Az Azure néhány percet vesz igénybe a forgatókönyv létrehozásához és üzembe helyezéséhez. Az üzembe helyezés befejezése után a forgatókönyv megnyílik az Azure Logic Apps Használat munkafolyamat-tervezőjében. A korábban kiválasztott eseményindító automatikusan megjelenik a munkafolyamat első lépéseként, így innen folytathatja a munkafolyamat összeállítását.

   

6. A tervezőn válassza a Microsoft Sentinel eseményindítót, ha még nincs kijelölve.

7. A Kapcsolat létrehozása panelen kövesse az alábbi lépéseket a Microsoft Sentinelhez való csatlakozáshoz szükséges információk megadásához.

   1. A hitelesítéshez válasszon az alábbi módszerek közül, amelyek hatással vannak a későbbi kapcsolati paraméterekre:

      Metódus	Leírás
      OAuth	Az Open Authorization (OAuth) egy olyan technológiai szabvány, amely lehetővé teszi, hogy egy alkalmazás vagy szolgáltatás bejelentkezzen egy másikba anélkül, hogy személyes adatokat, például jelszavakat ad meg. Az OAuth 2.0 az engedélyezés iparági protokollja, amely korlátozott hozzáférést biztosít a védett erőforrásokhoz. További információ: - Mi az OAuth? - OAuth 2.0-hitelesítés Microsoft Entra-azonosítóval
      Egyszerű szolgáltatás	A szolgáltatásnév olyan entitást jelöl, amely hozzáférést igényel a Microsoft Entra-bérlő által védett erőforrásokhoz. További információ: Szolgáltatásnév objektum.
      Kezelt identitás	Automatikusan felügyelt identitás a Microsoft Entra-azonosítóban. Az alkalmazások ezzel az identitással hozzáférhetnek a Microsoft Entra-hitelesítést támogató erőforrásokhoz, valamint a Microsoft Entra-jogkivonatok beszerzéséhez anélkül, hogy hitelesítő adatokat kellene kezelni. Az optimális biztonság érdekében a Microsoft azt javasolja, hogy lehetőség szerint használjon felügyelt identitást a hitelesítéshez. Ez a beállítás kiváló biztonságot nyújt, és segít a hitelesítési adatok biztonságának megőrzésében, hogy ne kelljen kezelnie ezeket a bizalmas információkat. További információ: - Melyek az Azure-erőforrások felügyelt identitásai? - Azure-erőforrásokhoz való hozzáférés és kapcsolatok hitelesítése felügyelt identitásokkal az Azure Logic Appsben.

      További információ: Hitelesítési kérések.

   2. A kiválasztott hitelesítési beállítás alapján adja meg a megfelelő beállításhoz szükséges paraméterértékeket.

      További információ ezekről a paraméterekről: Microsoft Sentinel-összekötő referenciája.

   3. Bérlőazonosító esetén válassza ki a Microsoft Entra-bérlőazonosítót.

   4. Amikor végzett, válassza a Bejelentkezés lehetőséget.

8. Ha korábban az entitás-eseményindítóval rendelkező forgatókönyvet választotta, válassza ki azt az entitástípust, amelyet a forgatókönyv bemenetként szeretne fogadni.

   

Standard

A Standard munkafolyamaton alapuló forgatókönyvek nem támogatják a forgatókönyvsablonokat, ezért először létre kell hoznia egy Standard logikai alkalmazást, majd létre kell hoznia a forgatókönyvet, és végül ki kell választania a forgatókönyv eseményindítóját.

Az Üres forgatókönyv kiválasztása után megnyílik egy új böngészőlap, és megjelenik a Logikai alkalmazás létrehozása varázsló. A varázsló megjeleníti azokat a rendelkezésre álló üzemeltetési lehetőségeket, ahol a Standard – Munkafolyamat szolgáltatáscsomag már be van jelölve, például:

A Standard logikai alkalmazás létrehozásához kövesse az alábbi lépéseket:

Standard logikai alkalmazás létrehozása

1. A Logikai alkalmazás létrehozása lapon erősítse meg az üzemeltetési terv kiválasztását, majd válassza a Kiválasztás lehetőséget.

2. Az Alapok lapon adja meg a következő információkat:

   1. Előfizetés és erőforráscsoport esetén válassza ki a kívánt értékeket a megfelelő listákból.

   2. A logikai alkalmazás neveként adja meg a logikai alkalmazás nevét.

   3. Régió esetén válassza ki a logikai alkalmazásHoz tartozó Azure-régiót.

   4. Windows-csomag (kijelölt régió) esetén hozzon létre vagy válasszon ki egy meglévő csomagot.

   5. Tarifacsomag esetén válassza ki a számítási erőforrásokat és azok díjszabását a logikai alkalmazáshoz.

   6. A Zónaredundancia területen engedélyezheti ezt a képességet, ha olyan Azure-régiót választott, amely támogatja a rendelkezésre állási zóna redundanciát.

      Ebben a példában hagyja letiltva a beállítást. További információ: A logikai alkalmazások védelme zónaredundanciával és rendelkezésre állási zónákkal rendelkező régióhibáktól.

   7. Válassza a Következő: Tárolás >lehetőséget.

   

3. A Tárolás lapon adja meg a következő információkat:

   1. Storage-típus esetén válassza az Azure Storage lehetőséget, és hozzon létre vagy válasszon ki egy tárfiókot.

   2. A Blob szolgáltatás diagnosztikai beállításainál hagyja meg az alapértelmezett beállítást.

4. A Hálózatkezelés lapon meghagyhatja a példa alapértelmezett beállításait.

   A konkrét, valós éles forgatókönyvek esetében mindenképpen tekintse át és válassza ki a megfelelő beállításokat. Ezt a konfigurációt a logikai alkalmazás erőforrásának üzembe helyezése után is módosíthatja. További információkért tekintse meg a következő dokumentációt:

   • Példa standard munkafolyamat létrehozása – Azure Portal

   • A standard logikai alkalmazások és az Azure-beli virtuális hálózatok közötti forgalom védelme privát végpontok használatával.

5. A Figyelés lapon kövesse az alábbi lépéseket:

   1. Az Application Insights alatt állítsa az Application Insights engedélyezése nem értékre.

      Ez a beállítás letiltja vagy engedélyezi a teljesítményfigyelést az Application Insights használatával az Azure Monitorban. A Microsoft Sentinel esetében azonban ez a képesség nem szükséges, és további költségekkel is számolnia kell.

   2. Ha címkéket szeretne alkalmazni erre a logikai alkalmazásra erőforrás-kategorizálási és számlázási célokra, válassza a Tovább: Címkék >lehetőséget. Ellenkező esetben válassza a Véleményezés + létrehozás lehetőséget.

6. A Véleményezés + létrehozás lapon tekintse át a konfigurációs lehetőségeket, és válassza a Létrehozás lehetőséget.

   Az Azure néhány percet vesz igénybe a logikai alkalmazás létrehozásához és üzembe helyezéséhez.

7. Az üzembe helyezés befejezése után válassza az Ugrás az erőforrásra lehetőséget, amely megnyitja a logikai alkalmazás erőforrását.

   A klasszikus használati forgatókönyvekkel ellentétben még nem végezte el. Most létre kell hoznia egy munkafolyamatot.

Munkafolyamat létrehozása a forgatókönyvhöz

1. A logikai alkalmazás menü Munkafolyamatok területén válassza a Munkafolyamatok lehetőséget.

2. A Munkafolyamatok lap eszköztárán válassza a Hozzáadás lehetőséget.

3. Az Új munkafolyamat panelen adja meg a következő információkat:

   Tulajdonság	Leírás
   Munkafolyamat neve	A munkafolyamat értelmes neve.
   Állapottípus	Válassza az Állapotalapú lehetőséget. A Microsoft Sentinel nem támogatja az állapot nélküli munkafolyamatok forgatókönyvként való használatát.

4. Amikor végzett, válassza a Létrehozás lehetőséget.

   Miután az Azure mentette a munkafolyamatot, a Munkafolyamatok lapon megjelenik a munkafolyamat.

5. Válassza ki a munkafolyamatot a munkafolyamat áttekintési oldalának megnyitásához.

   Ezen a lapon a munkafolyamat összes információja látható, beleértve a munkafolyamat futási idejének előzményeit is.

6. A munkafolyamat menü Fejlesztőeszközök területén válassza a Tervező lehetőséget.

   A munkafolyamat-tervező megnyílik, hogy elindítsa a munkafolyamat összeállítását egy eseményindító hozzáadásával.

A munkafolyamat-eseményindító hozzáadása

1. A tervezőn válassza az Eseményindító hozzáadása panel megnyitásához, például:

   

2. Az alábbi általános lépéseket követve keresse meg a Microsoft Sentinel-eseményindítókat, amelyek az alábbi eseményindítókat tartalmazzák:

   • Microsoft Sentinel entitás
   • Microsoft Sentinel-riasztás
   • Microsoft Sentinel-incidens

   

3. Válassza ki a forgatókönyvhöz használni kívánt eseményindítót.

   Ez a példa a Microsoft Sentinel entitás eseményindítójával folytatódik.

4. A tervezőn válassza ki az eseményindítót, ha még nincs kijelölve.

5. A Kapcsolat létrehozása panelen adja meg a Microsoft Sentinelhez való csatlakozáshoz szükséges információkat.

   1. A hitelesítéshez válasszon az alábbi módszerek közül, amelyek hatással vannak a későbbi kapcsolati paraméterekre:

      Metódus	Leírás
      OAuth	Az Open Authorization (OAuth) egy olyan technológiai szabvány, amely lehetővé teszi, hogy egy alkalmazás vagy szolgáltatás bejelentkezzen egy másikba anélkül, hogy személyes adatokat, például jelszavakat ad meg. Az OAuth 2.0 az engedélyezés iparági protokollja, amely korlátozott hozzáférést biztosít a védett erőforrásokhoz. További információ: - Mi az OAuth? - OAuth 2.0-hitelesítés Microsoft Entra-azonosítóval
      Egyszerű szolgáltatás	A szolgáltatásnév olyan entitást jelöl, amely hozzáférést igényel a Microsoft Entra-bérlő által védett erőforrásokhoz. További információ: Szolgáltatásnév objektum.
      Kezelt identitás	Automatikusan felügyelt identitás a Microsoft Entra-azonosítóban. Az alkalmazások ezzel az identitással hozzáférhetnek a Microsoft Entra-hitelesítést támogató erőforrásokhoz, valamint a Microsoft Entra-jogkivonatok beszerzéséhez anélkül, hogy hitelesítő adatokat kellene kezelni. Az optimális biztonság érdekében a Microsoft azt javasolja, hogy lehetőség szerint használjon felügyelt identitást a hitelesítéshez. Ez a beállítás kiváló biztonságot nyújt, és segít a hitelesítési adatok biztonságának megőrzésében, hogy ne kelljen kezelnie ezeket a bizalmas információkat. További információ: - Melyek az Azure-erőforrások felügyelt identitásai? - Azure-erőforrásokhoz való hozzáférés és kapcsolatok hitelesítése felügyelt identitásokkal az Azure Logic Appsben.

      További információ: Hitelesítési kérések.

   2. A kiválasztott hitelesítési beállítás alapján adja meg a megfelelő beállításhoz szükséges paraméterértékeket.

      További információ ezekről a paraméterekről: Microsoft Sentinel-összekötő referenciája.

   3. Bérlőazonosító esetén válassza ki a Microsoft Entra-bérlőazonosítót.

   4. Amikor végzett, válassza a Bejelentkezés lehetőséget.

6. Ha az entitás-eseményindítóval rendelkező forgatókönyvet választotta, válassza ki azt az entitástípust, amelyet a forgatókönyv bemenetként szeretne fogadni.

   

További információ: Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben.

Hitelesítési kérések

Ha olyan eseményindítót vagy további műveletet ad hozzá, amely hitelesítést igényel, előfordulhat, hogy a rendszer kérni fogja, hogy válasszon a megfelelő erőforrás-szolgáltató által támogatott elérhető hitelesítési típusok közül. Ebben a példában a Microsoft Sentinel-eseményindító az első művelet, amelyet hozzáad a munkafolyamathoz. Az erőforrás-szolgáltató tehát a Microsoft Sentinel, amely számos hitelesítési lehetőséget támogat. További információkért tekintse meg a következő dokumentációt:

• Forgatókönyvek hitelesítése a Microsoft Sentinel felé
• Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben

Műveletek hozzáadása a forgatókönyvhöz

Most, hogy már rendelkezik a forgatókönyv munkafolyamatával, határozza meg, mi történik, amikor meghívja a forgatókönyvet. Műveletek, logikai feltételek, hurkok vagy kapcsolós esetfeltételek hozzáadása a tervező pluszjelének (+) kiválasztásával. További információ: Munkafolyamat létrehozása eseményindítóval vagy művelettel.

Ez a kijelölés megnyitja a Művelet hozzáadása panelt, ahol szolgáltatásokat, alkalmazásokat, rendszereket, vezérlőfolyamat-műveleteket és egyebeket kereshet vagy kereshet. Miután megadta a keresési kifejezéseket, vagy kiválasztotta a kívánt erőforrást, a találatok listájában megjelennek az elérhető műveletek.

Minden műveletnél, amikor egy mezőn belül választ, a következő lehetőségeket kapja:

• Dinamikus tartalom (villám ikon): Válasszon a munkafolyamat előző műveleteiből származó elérhető kimenetek listájából, beleértve a Microsoft Sentinel-eseményindítót is. Ezek a kimenetek például tartalmazhatják a forgatókönyvnek átadott riasztás vagy incidens attribútumait, beleértve a riasztás vagy incidens összes hozzárendelt entitásának értékeit és attribútumait, valamint a riasztás vagy incidens egyéni adatait. A kimenetek kiválasztásával hivatkozásokat adhat az aktuális művelethez.

  A dinamikus tartalmak használatát bemutató példákért tekintse meg a következő szakaszokat:

  • Entitás forgatókönyveinek használata incidensazonosító nélkül
  • Egyéni adatokkal végzett munka

• Kifejezésszerkesztő (függvényikon): Válasszon egy nagy függvénytárból, hogy több logikát adjon hozzá a munkafolyamathoz.

További információ: Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben.

Dinamikus tartalom: Incidensazonosító nélküli entitás forgatókönyvek

A Microsoft Sentinel-entitás eseményindítójával létrehozott forgatókönyvek gyakran használják az Incidens ARM-azonosító mezőjét, például egy incidens frissítésére az entitáson végzett művelet végrehajtása után. Ha egy ilyen forgatókönyv olyan forgatókönyvben aktiválódik, amely nem kapcsolódik egy incidenshez, például fenyegetéskereséskor, nincs incidensazonosító a mező feltöltéséhez. Ehelyett a mező null értékkel van feltöltve. Ennek eredményeképpen előfordulhat, hogy a forgatókönyv nem fut a befejezésig.

A hiba elkerülése érdekében javasoljuk, hogy hozzon létre egy feltételt, amely az incidensazonosító mezőben keres értéket, mielőtt a munkafolyamat bármilyen más műveletet végrehajt. Eltérő műveletkészletet írhat elő, ha a mező null értékű, mert a forgatókönyv nem incidensből fut.

1. A munkafolyamatban az Incidens ARM-azonosító mezőjére hivatkozó első művelet előtt kövesse az alábbi általános lépéseket egy feltételművelet hozzáadásához.

2. A Feltétel panel feltételsorán válassza a bal oldali Érték kiválasztása mezőt, majd válassza a dinamikus tartalom beállítást (villám ikon).

3. A dinamikus tartalomlistában a Microsoft Sentinel-incidens alatt a keresőmezővel keresse meg és válassza ki az Incidens ARM-azonosítóját.

   Tipp.

   Ha a kimenet nem jelenik meg a listában, az eseményindító neve mellett válassza a Továbbiak elemet.

4. A középső mező operátorlistájában a kijelölés nem egyenlő.

5. A jobb oldalon válasszon egy értékmezőt , és válassza a kifejezésszerkesztő lehetőséget (függvényikon).

6. A szerkesztőben írja be a null értéket, és válassza a Hozzáadás lehetőséget.

Ha végzett, a feltétel az alábbi példához hasonlóan néz ki:

Dinamikus tartalom: Egyéni adatokkal végzett munka

A Microsoft Sentinel-incidens eseményindítójában a riasztás egyéni részleteinek kimenete JSON-objektumok tömbje, ahol mindegyik egy riasztás egyéni részleteit jelöli. Az egyéni részletek kulcs-érték párok, amelyek lehetővé teszik a riasztásban szereplő események információinak feltárását, hogy azok az incidens részeként ábrázolhatók, nyomon követhetők és elemezhetők legyenek.

Ez a mező testreszabható a riasztásban, így a sémája a felszínre kerülő esemény típusától függ. Az egyéni részletek kimenetének elemzését meghatározó séma létrehozásához adja meg az esemény egy példányának adatait:

1. A Microsoft Sentinel-munkaterület menü Konfiguráció területén válassza az Elemzés lehetőséget.

2. Kövesse a lépéseket egy meglévő ütemezett lekérdezési szabály vagy NRT lekérdezési szabály létrehozásához vagy megnyitásához.

3. A Szabály logikai beállítása lapon bontsa ki az Egyéni részletek szakaszt, például:

   

   Az alábbi táblázat további információt nyújt ezekről a kulcs-érték párokról:

   Elem	Hely	Leírás
   Kulcs	Bal oldali oszlop	A létrehozott egyéni mezőket jelöli.
   Érték	Jobb oldali oszlop	Az egyéni mezőket kitöltő eseményadatok mezőit jelöli.

4. A séma létrehozásához adja meg a következő JSON-példát:

   { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
   

   A kód tömbként jeleníti meg a kulcsneveket, az értékeket pedig a tömbök elemeiként. Az értékek tényleges értékekként jelennek meg, nem pedig az értékeket tartalmazó oszlopként.

Ha egyéni mezőket szeretne használni incidens-eseményindítókhoz, kövesse az alábbi lépéseket a munkafolyamathoz:

1. A munkafolyamat-tervezőben a Microsoft Sentinel incidensindítója alatt adja hozzá a Parse JSON nevű beépített műveletet.

2. Válassza ki a művelet Tartalom paraméterén belül, majd válassza a dinamikus tartalomlista lehetőséget (villám ikon).

3. A listából az incidens eseményindító szakaszában keresse meg és válassza ki az Egyéni riasztás részletei lehetőséget, például:

   

   Ez a kijelölés automatikusan hozzáad egy Minden ciklushoz a JSON elemzése körül, mivel egy incidens riasztások tömbjéből áll.

4. A JSON-adatok elemzése panelen válassza a Minta hasznos adat használata séma létrehozásához lehetőséget, például:

   

5. Adja meg vagy illessze be a JSON-minta hasznos adatait tartalmazó mezőbe, adjon meg egy hasznos adatmintát, és válassza a Kész lehetőséget.

   Például egy hasznos adatminta megkereséséhez keresse meg a Log Analyticsben a riasztás egy másik példányát, majd másolja ki az egyéni adatobjektumot, amelyet a Kiterjesztett tulajdonságok területen talál. A Log Analytics-adatok eléréséhez lépjen az Azure Portal Naplók lapjára, vagy a Defender portál Speciális keresési lapjára.

   Az alábbi példa a korábbi JSON-mintakódot mutatja be:

   

   Ha végzett, a Séma mező most már tartalmazza a létrehozott sémát a megadott minta alapján. A JSON-elemzési művelet olyan egyéni mezőket hoz létre, amelyeket mostantól dinamikus mezőként használhat tömbtípussal a munkafolyamat későbbi műveleteiben.

   Az alábbi példa egy tömböt és annak elemeit mutatja be, mind a sémában, mind a dinamikus tartalomlistában a Compose nevű későbbi művelethez:

   

Forgatókönyvek kezelése

Az Automation > Active forgatókönyvek lapra kattintva megtekintheti az összes olyan forgatókönyvet, amelyhez hozzáférése van, az előfizetési nézet szerint szűrve.

Miután bejelentkezett az egyesített biztonsági üzemeltetési platformra, alapértelmezés szerint az Aktív forgatókönyvek lap egy előre definiált szűrőt jelenít meg a beépített munkaterület előfizetésével. Az Azure Portalon szerkessze azokat az előfizetéseket, amelyek a Címtár + előfizetés menüből jelennek meg a globális Azure-oldal fejlécében.

Bár az Aktív forgatókönyvek lapon minden kiválasztott előfizetésben elérhető aktív forgatókönyv látható, alapértelmezés szerint a forgatókönyvek csak azon az előfizetésen belül használhatók, amelyhez tartoznak, kivéve, ha kifejezetten ad engedélyt a Microsoft Sentinelnek a forgatókönyv erőforráscsoportjának.

Az Aktív forgatókönyvek lapon a forgatókönyvek az alábbi részletekkel jelennek meg:

Oszlop neve	Leírás
Állapot	Azt jelzi, hogy a forgatókönyv engedélyezve vagy letiltva van-e.
Terv	Azt jelzi, hogy a forgatókönyv a Standard vagy a Consumption Azure Logic Apps erőforrástípust használja-e. A Standard típusú forgatókönyvek az LogicApp/Workflow elnevezési konvenciót használják, amely azt tükrözi, hogy a Standard forgatókönyvek hogyan jelölnek egy olyan munkafolyamatot, amely az egyetlen logikai alkalmazás más munkafolyamatai mellett létezik. További információ: Azure Logic Apps for Microsoft Sentinel forgatókönyvek.
Trigger típusa	A forgatókönyvet elindító eseményindítót jelzi az Azure Logic Appsben: - Microsoft Sentinel-incidens/riasztás/entitás: A forgatókönyv az egyik Sentinel-eseményindítóval kezdődik, beleértve az incidenst, a riasztást vagy az entitást - A Microsoft Sentinel-művelet használata: A forgatókönyv nem Microsoft Sentinel-eseményindítóval kezdődik, de Microsoft Sentinel-műveletet használ - Egyéb: A forgatókönyv nem tartalmaz Microsoft Sentinel-összetevőket - Nincs inicializálva: A forgatókönyv létrejött, de nem tartalmaz összetevőket, és nem aktivál semmilyen műveletet.

Válasszon ki egy forgatókönyvet az Azure Logic Apps-oldal megnyitásához, amely további részleteket tartalmaz a forgatókönyvről. Az Azure Logic Apps oldalán:

• Napló megtekintése minden alkalommal, amikor a forgatókönyv futott
• Futtatási eredmények megtekintése, beleértve a sikereket és a hibákat és egyéb részleteket
• Ha rendelkezik a megfelelő engedélyekkel, nyissa meg a munkafolyamat-tervezőt az Azure Logic Appsben a forgatókönyv közvetlen szerkesztéséhez

Kapcsolódó tartalom

A forgatókönyv létrehozása után csatolja a környezet eseményei által aktiválandó szabályokhoz, vagy manuálisan futtathatja a forgatókönyveket adott incidenseken, riasztásokon vagy entitásokon.

További információk:

• Microsoft Sentinel-forgatókönyvek automatizálása és futtatása
• Forgatókönyvek hitelesítése a Microsoft Sentinel felé
• Microsoft Sentinel-forgatókönyv használata a potenciálisan sérült felhasználók leállításához