Microsoft Sentinel-forgatókönyvek létrehozása és kezelése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A forgatókönyvek olyan eljárások gyűjteményei, amelyeket a Microsoft Sentinel egy teljes incidensre, egy egyéni riasztásra vagy egy adott entitásra válaszul futtathat. A forgatókönyvek segíthetnek a válasz automatizálásában és vezénylésében, és csatolhatók egy automatizálási szabályhoz, amely automatikusan futtatható adott riasztások létrehozásakor vagy incidensek létrehozásakor vagy frissítésekor. A forgatókönyvek manuálisan is futtathatók igény szerint adott incidensek, riasztások vagy entitások esetén.

Ez a cikk a Microsoft Sentinel forgatókönyvek létrehozását és kezelését ismerteti. Ezeket a forgatókönyveket később csatolhatja elemzési szabályokhoz vagy automatizálási szabályokhoz, vagy manuálisan futtathatja őket adott incidenseken, riasztásokon vagy entitásokon.

Feljegyzés

A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, ami azt jelenti, hogy a Logic Apps minden erejét, testreszabhatóságát és beépített sablonjait megkapja. További díjakat is alkalmazhat. További részletekért látogasson el az Azure Logic Apps díjszabási oldalára.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Forgatókönyvek létrehozásához és kezeléséhez hozzá kell férnie a Microsoft Sentinelhez az alábbi Azure-szerepkörök egyikével:

• Logikai alkalmazás közreműködője a logikai alkalmazások szerkesztéséhez és kezeléséhez
• Logikai alkalmazás operátora a logikai alkalmazások olvasásához, engedélyezéséhez és letiltásához

További információ: Microsoft Sentinel forgatókönyv előfeltételei.

Javasoljuk, hogy a forgatókönyv létrehozása előtt olvassa el az Azure Logic Apps for Microsoft Sentinel forgatókönyveket .

Forgatókönyv létrehozása

Az alábbi lépéseket követve hozzon létre egy új forgatókönyvet a Microsoft Sentinelben:

1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.

   Azure Portalra

   

   Defender portál

   

2. A felső menüben válassza a Létrehozás lehetőséget, majd válasszon az alábbi lehetőségek közül:

   1. Standard forgatókönyv létrehozásakor válassza az Üres forgatókönyv lehetőséget, majd kövesse a Standard logikai alkalmazás típusának lépéseit.

   2. Ha használati forgatókönyvet hoz létre, a használni kívánt eseményindítótól függően válasszon az alábbi lehetőségek közül, majd kövesse az alábbi Logic Apps-használat lapon található lépéseket:

      • Forgatókönyv incidensindítóval
      • Forgatókönyv riasztási eseményindítóval
      • Forgatókönyv entitás-eseményindítóval

   További információ: Támogatott logikai alkalmazástípusok és támogatott triggerek és műveletek a Microsoft Sentinel forgatókönyveiben.

A forgatókönyv logikai alkalmazásának előkészítése

A forgatókönyvhöz tartozó logikai alkalmazás létrehozásának részleteiért válassza az alábbi lapok egyikét attól függően, hogy használatalapú vagy standard munkafolyamatot használ-e. További információ: Támogatott logikai alkalmazástípusok.

Fogyasztás

A Forgatókönyv létrehozása varázsló a használni kívánt eseményindító kiválasztása után jelenik meg, beleértve az incidenst, a riasztást vagy az entitás eseményindítóját. Példa:

A forgatókönyv létrehozásához tegye a következőket:

1. Az Alapismeretek lapon:

   1. Válassza ki a kívánt előfizetést, erőforráscsoportot és régiót a megfelelő legördülő listákból. A logikai alkalmazás adatainak tárolása a kijelölt régióban történik.

   2. Írja be a forgatókönyv nevét a forgatókönyv neve alatt.

   3. Ha diagnosztikai célból szeretné monitorozni a forgatókönyv tevékenységeit, jelölje be a Diagnosztikai naplók engedélyezése jelölőnégyzetet a Log Analyticsben, és válassza ki a Log Analytics-munkaterületeta legördülő listából.

   4. Ha a forgatókönyveknek hozzáférésre van szükségük egy Azure-beli virtuális hálózaton belüli vagy ahhoz kapcsolódó védett erőforrásokhoz, előfordulhat, hogy integrációs szolgáltatási környezetet (I Standard kiadás) kell használnia. Ha igen, jelölje be a Társítás az integrációs szolgáltatás környezetéhez jelölőnégyzetet, és válassza ki a megfelelő I Standard kiadás a legördülő listából.

   5. Válassza a Következő: Csatlakozás ions >lehetőséget.

2. A Csatlakozás ions lapon javasoljuk, hogy hagyja meg az alapértelmezett értékeket, és konfigurálja a Logic Appst, hogy felügyelt identitással csatlakozzon a Microsoft Sentinelhez. További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.

   Válassza a Tovább elemet : Véleményezés és létrehozás > a folytatáshoz.

3. A Véleményezés és létrehozáslapon tekintse át a konfigurációs beállításokat, majd válassza a Létrehozás lehetőséget, és folytassa a tervezőt.

   A forgatókönyv létrehozása és üzembe helyezése néhány percet vesz igénybe, majd megjelenik a "Az üzembe helyezés befejeződött" üzenet, és az új forgatókönyv logikai alkalmazásának Tervező. Az elején kiválasztott eseményindító automatikusan hozzá lesz adva első lépésként, és onnan folytathatja a munkafolyamat megtervezését.

   

4. Ha a Microsoft Sentinel entitás-eseményindítót választotta, válassza ki, hogy milyen típusú entitást fogadjon a forgatókönyv bemenetként.

   

Standard

Mivel a Standard munkafolyamaton alapuló forgatókönyvek nem támogatják a forgatókönyvsablonokat, először létre kell hoznia a logikai alkalmazást, majd létre kell hoznia a forgatókönyvet, és végül ki kell választania a forgatókönyv eseményindítóját.

Az Üres forgatókönyv lehetőség kiválasztása után megnyílik egy új böngészőlap a Logikai alkalmazás létrehozása varázslóval. Példa:

Logikai alkalmazás létrehozása

1. Az Alapismeretek lapon adja meg a következő adatokat:

   1. Válassza ki az Ön által választott előfizetést és erőforráscsoportot a megfelelő legördülő listákból.
   2. Adja meg a logikai alkalmazás nevét. Közzétételhez válassza a Munkafolyamat lehetőséget. Válassza ki azt a régiót , ahol telepíteni szeretné a logikai alkalmazást.
   3. A Terv típusa beállításnál válassza a Standard lehetőséget.
   4. Válassza a Következő: Üzemeltetés >lehetőséget.

2. Az Üzemeltetés lapon:

   1. Storage-típus esetén válassza az Azure Storage lehetőséget, majd válasszon vagy hozzon létre egy Tárfiókot.
   2. Válasszon ki egy Windows-csomagot.

3. A Figyelés lapon:

   1. Ha engedélyezni szeretné a teljesítményfigyelést az Azure Monitorban ehhez az alkalmazáshoz, hagyja az Igen kapcsolót. Ellenkező esetben állítsa nemre.

      Feljegyzés

      Ez a monitorozás nem szükséges a Microsoft Sentinelhez , és többletköltséggel jár.

   2. Ha szeretné, válassza a Tovább: Címkék > lehetőséget, ha címkéket szeretne alkalmazni erre a logikai alkalmazásra erőforrás-kategorizálási és számlázási célokra. Ellenkező esetben válassza a Véleményezés + létrehozás lehetőséget.

4. A Véleményezés + létrehozás lapon tekintse át a megadott konfigurációs beállításokat, és válassza a Létrehozás lehetőséget.

   A forgatókönyv létrehozása és üzembe helyezése néhány percet vesz igénybe, amely során megjelenik néhány üzembehelyezési üzenet. A folyamat végén a végső üzembe helyezési képernyőre kerül, ahol a következő üzenet jelenik meg: "Az üzembe helyezés befejeződött".

5. Válassza az Erőforrás megnyitása lehetőséget. Ekkor megjelenik az új logikai alkalmazás főoldala.

   A klasszikus használati forgatókönyvekkel ellentétben még nem végezte el. Most létre kell hoznia egy munkafolyamatot.

Munkafolyamat létrehozása a forgatókönyvhöz

1. A Logikai alkalmazás részletei lapon válassza a Munkafolyamatok > + Hozzáadás lehetőséget. Eltarthat néhány percig, mire a + Hozzáadás gomb aktívvá válik.

2. A megjelenő Új munkafolyamat panelen:

   1. Adjon meg egy értelmes nevet a munkafolyamatnak.
   2. Az Állapot típusa csoportban válassza az Állapotalapú lehetőséget. A Microsoft Sentinel nem támogatja az állapot nélküli munkafolyamatok forgatókönyvként való használatát.
   3. Válassza a Létrehozás lehetőséget.

   A rendszer menti a munkafolyamatot, és megjelenik a logikai alkalmazásban található munkafolyamatok listájában.

3. Válassza ki az új munkafolyamatot a munkafolyamat részleteinek oldalához való hozzáféréshez. Itt megtekintheti a munkafolyamat összes információját, beleértve az összes futtatáskor rögzített rekordot.

4. A munkafolyamat részletei lapon válassza a Tervező.

5. Megnyílik a Tervező lap, és a rendszer felkéri, hogy adjon hozzá egy eseményindítót, és folytassa a munkafolyamat tervezését. Példa:

   

Eseményindító hozzáadása

1. A Tervező lapon válassza az Azure lapot, és írja be a Sentinel kifejezést a Keresőmezőbe. Az Eseményindítók lapon láthatók a Microsoft Sentinel által támogatott eseményindítók, többek között a következők:

   • Microsoft Sentinel-riasztás
   • Microsoft Sentinel entitás
   • Microsoft Sentinel-incidens

   Példa:

   

2. Ha a Microsoft Sentinel entitás-eseményindítót választja, válassza ki azt az entitástípust, amelyet a forgatókönyv bemenetként szeretne fogadni. Példa:

   

További információ: Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben.

Műveletek hozzáadása a forgatókönyvhöz

Most, hogy már rendelkezik egy logikai alkalmazással, határozza meg, mi történik, amikor meghívja a forgatókönyvet. Az Új lépés kiválasztásával műveleteket, logikai feltételeket, hurkokat vagy kapcsoló-esetfeltételeket adhat hozzá. Ez a kijelölés egy új keretet nyit meg a tervezőben, ahol kiválaszthat egy rendszert vagy alkalmazást, amellyel kommunikálhat, vagy beállíthat egy feltételt. Adja meg a rendszer vagy alkalmazás nevét a keret tetején található keresősávban, majd válasszon a rendelkezésre álló eredmények közül.

Az alábbi lépések mindegyikében a bármelyik mezőre kattintva megjelenik egy panel az alábbi menükkel:

• Dinamikus tartalom: A forgatókönyvnek átadott riasztás vagy incidens attribútumaira mutató hivatkozások hozzáadása, beleértve a riasztásban vagy incidensben szereplő összes hozzárendelt entitás értékeit és attribútumait, valamint az egyéni részleteket . Például a dinamikus tartalom használatára:

  • Entitás forgatókönyveinek használata incidensazonosító nélkül
  • Egyéni adatokkal végzett munka

• Kifejezés: Válasszon egy nagy függvénytárból, hogy több logikát adjon hozzá a lépésekhez.

További információ: Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben.

Hitelesítési kérések

Amikor kiválaszt egy eseményindítót vagy bármely további műveletet, a rendszer arra kéri, hogy hitelesítse azt az erőforrás-szolgáltatót, akivel interakcióba lép. Ebben az esetben a szolgáltató a Microsoft Sentinel, és van néhány hitelesítési lehetőség. További információk:

• Forgatókönyvek hitelesítése a Microsoft Sentinel felé
• Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben

Dinamikus tartalom: Entitás forgatókönyveinek használata incidensazonosító nélkül

Az entitás-eseményindítóval létrehozott forgatókönyvek gyakran használják az Incidens ARM-azonosító mezőjét, például egy incidens frissítését az entitáson végzett művelet után.

Ha egy ilyen forgatókönyv olyan környezetben aktiválódik, amely nem kapcsolódik egy incidenshez, például fenyegetéskereséskor, nincs olyan incidens, amelynek azonosítója feltöltheti ezt a mezőt. Ebben az esetben a mező null értékkel van feltöltve.

Ennek eredményeképpen előfordulhat, hogy a forgatókönyv nem fut a befejezésig. A hiba elkerülése érdekében javasoljuk, hogy hozzon létre egy feltételt, amely ellenőrzi az incidensazonosító mezőben szereplő értéket, mielőtt bármilyen műveletet végrehajtanának rajta, és írjon elő egy másik műveletkészletet, ha a mező null értékkel rendelkezik , vagyis ha a forgatókönyv nem incidensből fut.

Hajtsa végre a következő lépéseket:

1. Az Incidens ARM-azonosító mezőjére hivatkozó első művelet előtt adjon hozzá egy Feltétel lépést.

2. Az oldalon válassza az Érték kiválasztása mezőt a Dinamikus tartalom hozzáadása párbeszédpanel megadásához.

3. Válassza ki az incidens ARM-azonosítóját (nem kötelező), és az nem egyenlő az operátorral .

4. A Dinamikus tartalom hozzáadása párbeszédpanel megnyitásához válassza ismét az Érték kiválasztása lehetőséget.

5. Válassza a Kifejezés lapot és a null függvényt.

Példa:

Dinamikus tartalom: Egyéni adatokkal végzett munka

A Riasztás egyéni részletek dinamikus mezője, amely az incidens-eseményindítóban érhető el, JSON-objektumok tömbje, amelyek mindegyike egy riasztás egyéni részleteit jelöli. Az egyéni részletek kulcs-érték párok, amelyek lehetővé teszik a riasztásban lévő események információinak felszínre hozását, hogy azok az incidens részeként ábrázolhatók, nyomon követhetők és elemezhetők legyenek.

Mivel a riasztás ezen mezője testreszabható, a séma a felszínre került esemény típusától függ. Adja meg az esemény egy példányának adatait, hogy létrehozhassa azt a sémát, amely meghatározza az egyéni részletek mező elemzésének módját.

Példa:

Ezekben a kulcs-érték párokban:

• A bal oldali oszlopban lévő kulcs a létrehozott egyéni mezőket jelöli.
• A jobb oldali oszlopban lévő érték az egyéni mezőket kitöltő eseményadatok mezőit jelöli.

Adja meg a következő JSON-kódot a séma létrehozásához. A kód tömbként jeleníti meg a kulcsneveket, az értékeket pedig a tömbök elemeiként. Az értékek tényleges értékekként jelennek meg, nem pedig az értékeket tartalmazó oszlopként.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Egyéni mezők használata incidensindítókhoz:

1. Adjon hozzá egy új lépést a JSON-elemzés beépített műveletével. Ha szükséges, a Keresés mezőbe írja be a "json elemzése" kifejezést.

2. Keresse meg és válassza ki a Riasztás egyéni adatai lehetőséget a dinamikus tartalomlistában , az incidens eseményindítója alatt. Példa:

   

   Ez minden ciklushoz létrehoz egy-egy eseményt, mivel egy incidens riasztások tömböt tartalmaz.

3. Válassza a Minta hasznos adat használata sémahivatkozás létrehozásához lehetőséget. Példa:

   

4. Adjon meg egy hasznos adatmintát. Például egy hasznos adatminta megkereséséhez keresse meg a Log Analyticsben a riasztás egy másik példányát, és másolja a Kiterjesztett tulajdonságok területen található egyéni adatobjektumot. A Log Analytics-adatok elérése az Azure Portal Naplók lapján vagy a Defender portál speciális vadászlapján . Az alábbi képernyőképen a fent látható JSON-kódot használtuk.

   

Az egyéni mezők készen állnak a Tömb típusú dinamikus mezők használatára. Az alábbi képernyőképen például egy tömb és annak elemei láthatók, mind a sémában, mind a Dinamikus tartalom alatt megjelenő listában, amelyet ebben a szakaszban ismertettünk:

Forgatókönyvek kezelése

Az Automation > Active forgatókönyvek lapra kattintva megtekintheti az összes olyan forgatókönyvet, amelyhez hozzáférése van, az előfizetési nézet szerint szűrve.

Az egyesített biztonsági üzemeltetési platformra való előkészítés után alapértelmezés szerint az Aktív forgatókönyvek lap egy előre definiált szűrőt jelenít meg a beépített munkaterület előfizetésével. Az Azure Portalon szerkessze azokat az előfizetéseket, amelyek a Címtár + előfizetés menüből jelennek meg a globális Azure-oldal fejlécében.

Bár az Aktív forgatókönyvek lapon minden kiválasztott előfizetésben elérhető aktív forgatókönyv látható, alapértelmezés szerint a forgatókönyvek csak azon az előfizetésen belül használhatók, amelyhez tartoznak, kivéve, ha kifejezetten ad engedélyt a Microsoft Sentinelnek a forgatókönyv erőforráscsoportjának.

Az Aktív forgatókönyvek lapon a forgatókönyvek az alábbi részletekkel jelennek meg:

Oszlop neve	Leírás
Állapot	Azt jelzi, hogy a forgatókönyv engedélyezve vagy letiltva van-e.
Terv	Azt jelzi, hogy a forgatókönyv a Standard vagy a Consumption Azure Logic Apps erőforrástípust használja-e. A Standard típusú forgatókönyvek az LogicApp/Workflow elnevezési konvenciót használják, amely azt tükrözi, hogy a Standard forgatókönyvek hogyan jelölnek egy olyan munkafolyamatot, amely az egyetlen logikai alkalmazás más munkafolyamatai mellett létezik. További információ: Azure Logic Apps for Microsoft Sentinel forgatókönyvek.
Trigger típusa	A forgatókönyvet elindító Azure Logic Apps-eseményindítót jelzi: - Microsoft Sentinel-incidens/riasztás/entitás: A forgatókönyv az egyik Sentinel-eseményindítóval kezdődik, beleértve az incidenst, a riasztást vagy az entitást - A Microsoft Sentinel-művelet használata: A forgatókönyv nem Microsoft Sentinel-eseményindítóval kezdődik, de Microsoft Sentinel-műveletet használ - Egyéb: A forgatókönyv nem tartalmaz Microsoft Sentinel-összetevőket - Nincs inicializálva: A forgatókönyv létrejött, de nem tartalmaz összetevőket, és nem aktivál semmilyen műveletet.

Válasszon ki egy forgatókönyvet az Azure Logic Apps-oldal megnyitásához, amely további részleteket tartalmaz a forgatókönyvről. Az Azure Logic Apps oldalán:

• Napló megtekintése minden alkalommal, amikor a forgatókönyv futott
• Futtatási eredmények megtekintése, beleértve a sikereket és a hibákat és egyéb részleteket
• Ha rendelkezik a megfelelő engedélyekkel, nyissa meg a munkafolyamat-tervezőt az Azure Logic Appsben a forgatókönyv közvetlen szerkesztéséhez

Kapcsolódó tartalom

Miután létrehozta a forgatókönyvet, csatolja a környezet eseményei által aktiválandó szabályokhoz, vagy manuálisan futtathatja a forgatókönyveket adott incidenseken, riasztásokon vagy entitásokon.

További információk:

• Microsoft Sentinel-forgatókönyvek automatizálása és futtatása
• Forgatókönyvek hitelesítése a Microsoft Sentinel felé
• Microsoft Sentinel-forgatókönyv használata a potenciálisan sérült felhasználók leállításához