Microsoft Sentinel-forgatókönyvek létrehozása és kezelése
A forgatókönyvek olyan eljárások gyűjteményei, amelyeket a Microsoft Sentinel egy teljes incidensre, egy egyéni riasztásra vagy egy adott entitásra válaszul futtathat. A forgatókönyvek segíthetnek a válasz automatizálásában és vezénylésében, és csatolhatók egy automatizálási szabályhoz, amely automatikusan futtatható adott riasztások létrehozásakor vagy incidensek létrehozásakor vagy frissítésekor. A forgatókönyvek manuálisan is futtathatók igény szerint adott incidensek, riasztások vagy entitások esetén.
Ez a cikk a Microsoft Sentinel forgatókönyvek létrehozását és kezelését ismerteti. Ezeket a forgatókönyveket később csatolhatja elemzési szabályokhoz vagy automatizálási szabályokhoz, vagy manuálisan futtathatja őket adott incidenseken, riasztásokon vagy entitásokon.
Feljegyzés
A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, ami azt jelenti, hogy a logikai alkalmazások minden erejét, testreszabhatóságát és beépített sablonjait megkapja. További díjakat is alkalmazhat. A díjszabással kapcsolatos információkért látogasson el az Azure Logic Apps díjszabási oldalára.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
Azure-fiók és -előfizetés. Ha még nincs előfizetése, regisztráljon egy ingyenes Azure-fiókra.
Forgatókönyvek létrehozásához és kezeléséhez hozzá kell férnie a Microsoft Sentinelhez az alábbi Azure-szerepkörök egyikével:
Logikai alkalmazás Azure-szerepkörök Leírás Felhasználás Logikai alkalmazás közreműködője Logikai alkalmazások szerkesztése és kezelése. Felhasználás Logikai alkalmazás operátora Logikai alkalmazások olvasása, engedélyezése és letiltása. Standard Logic Apps Standard operátor Munkafolyamatok engedélyezése, újraküldése és letiltása. Standard Logic Apps Standard Developer Munkafolyamatok létrehozása és szerkesztése. Standard Logic Apps Standard közreműködő A munkafolyamat minden aspektusának kezelése. További információkért tekintse meg a következő dokumentációt:
A forgatókönyv létrehozása előtt javasoljuk, hogy olvassa el az Azure Logic Apps for Microsoft Sentinel forgatókönyveket.
Forgatókönyv létrehozása
Az alábbi lépéseket követve hozzon létre egy új forgatókönyvet a Microsoft Sentinelben:
Az Azure Portalon vagy a Defender portálon lépjen a Microsoft Sentinel-munkaterületre. A munkaterület menü Konfiguráció területén válassza az Automation lehetőséget.
A felső menüben válassza a Létrehozás lehetőséget, majd válasszon az alábbi lehetőségek közül:
Ha használati forgatókönyvet hoz létre, a használni kívánt eseményindítótól függően válasszon az alábbi lehetőségek közül, majd kövesse a Használat logikai alkalmazás lépéseit:
- Forgatókönyv incidensindítóval
- Forgatókönyv riasztási eseményindítóval
- Forgatókönyv entitás-eseményindítóval
Ez az útmutató az entitás-eseményindítóval rendelkező forgatókönyvkel folytatódik.
Standard forgatókönyv létrehozásakor válassza az Üres forgatókönyv lehetőséget, majd kövesse a Standard logikai alkalmazás típusának lépéseit.
További információ: Támogatott logikai alkalmazástípusok és támogatott triggerek és műveletek a Microsoft Sentinel forgatókönyveiben.
A forgatókönyv logikai alkalmazásának előkészítése
A forgatókönyvhöz tartozó logikai alkalmazás létrehozásának részleteiért válassza az alábbi fülek egyikét attól függően, hogy Használat vagy Standard logikai alkalmazást használ-e. További információ: Támogatott logikai alkalmazástípusok.
Tipp.
Ha a forgatókönyveknek hozzáférésre van szükségük egy Azure-beli virtuális hálózaton belüli vagy ahhoz kapcsolódó védett erőforrásokhoz, hozzon létre egy Standard logikai alkalmazás munkafolyamatot.
A standard munkafolyamatok egybérlős Azure Logic Appsben futnak, és támogatják a privát végpontok használatát a bejövő forgalomhoz, hogy a munkafolyamatok privátan és biztonságosan kommunikálhassanak a virtuális hálózatokkal. A standard munkafolyamatok a kimenő forgalom virtuális hálózati integrációját is támogatják. További információ: Biztonságos forgalom a virtuális hálózatok és az egybérlős Azure Logic Apps között privát végpontok használatával.
Miután kiválasztotta az eseményindítót, amely incidenst, riasztást vagy entitás-eseményindítót tartalmaz, megjelenik a Forgatókönyv létrehozása varázsló, például:
A forgatókönyv létrehozásához kövesse az alábbi lépéseket:
Az Alapok lapon adja meg a következő információkat:
Előfizetés és erőforráscsoport esetén válassza ki a kívánt értékeket a saját listáikból.
A Régió érték a társított Log Analytics-munkaterülettel megegyező régióra van beállítva.
A forgatókönyv neveként adja meg a forgatókönyv nevét.
Ha diagnosztikai célokra szeretné monitorozni a forgatókönyv tevékenységeit, válassza a Diagnosztikai naplók engedélyezése a Log Analyticsben lehetőséget, majd válasszon ki egy Log Analytics-munkaterületet , kivéve, ha már kijelölt egy munkaterületet.
Válassza a Következő: Kapcsolatok >lehetőséget.
A Kapcsolatok lapon javasoljuk, hogy hagyja meg az alapértelmezett értékeket, amelyek úgy konfigurálják a logikai alkalmazásokat, hogy felügyelt identitással csatlakozzanak a Microsoft Sentinelhez.
További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.
A folytatáshoz válassza a Tovább: Áttekintés és létrehozás >lehetőséget.
A Véleményezés és létrehozás lapon tekintse át a konfigurációs lehetőségeket, és válassza a Forgatókönyv létrehozása lehetőséget.
Az Azure néhány percet vesz igénybe a forgatókönyv létrehozásához és üzembe helyezéséhez. Az üzembe helyezés befejezése után a forgatókönyv megnyílik az Azure Logic Apps Használat munkafolyamat-tervezőjében. A korábban kiválasztott eseményindító automatikusan megjelenik a munkafolyamat első lépéseként, így innen folytathatja a munkafolyamat összeállítását.
A tervezőn válassza a Microsoft Sentinel eseményindítót, ha még nincs kijelölve.
A Kapcsolat létrehozása panelen kövesse az alábbi lépéseket a Microsoft Sentinelhez való csatlakozáshoz szükséges információk megadásához.
A hitelesítéshez válasszon az alábbi módszerek közül, amelyek hatással vannak a későbbi kapcsolati paraméterekre:
Metódus Leírás OAuth Az Open Authorization (OAuth) egy olyan technológiai szabvány, amely lehetővé teszi, hogy egy alkalmazás vagy szolgáltatás bejelentkezzen egy másikba anélkül, hogy személyes adatokat, például jelszavakat ad meg. Az OAuth 2.0 az engedélyezés iparági protokollja, amely korlátozott hozzáférést biztosít a védett erőforrásokhoz. További információ:
- Mi az OAuth?
- OAuth 2.0-hitelesítés Microsoft Entra-azonosítóvalEgyszerű szolgáltatás A szolgáltatásnév olyan entitást jelöl, amely hozzáférést igényel a Microsoft Entra-bérlő által védett erőforrásokhoz. További információ: Szolgáltatásnév objektum. Kezelt identitás Automatikusan felügyelt identitás a Microsoft Entra-azonosítóban. Az alkalmazások ezzel az identitással hozzáférhetnek a Microsoft Entra-hitelesítést támogató erőforrásokhoz, valamint a Microsoft Entra-jogkivonatok beszerzéséhez anélkül, hogy hitelesítő adatokat kellene kezelni.
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy lehetőség szerint használjon felügyelt identitást a hitelesítéshez. Ez a beállítás kiváló biztonságot nyújt, és segít a hitelesítési adatok biztonságának megőrzésében, hogy ne kelljen kezelnie ezeket a bizalmas információkat. További információ:
- Melyek az Azure-erőforrások felügyelt identitásai?
- Azure-erőforrásokhoz való hozzáférés és kapcsolatok hitelesítése felügyelt identitásokkal az Azure Logic Appsben.További információ: Hitelesítési kérések.
A kiválasztott hitelesítési beállítás alapján adja meg a megfelelő beállításhoz szükséges paraméterértékeket.
További információ ezekről a paraméterekről: Microsoft Sentinel-összekötő referenciája.
Bérlőazonosító esetén válassza ki a Microsoft Entra-bérlőazonosítót.
Amikor végzett, válassza a Bejelentkezés lehetőséget.
Ha korábban az entitás-eseményindítóval rendelkező forgatókönyvet választotta, válassza ki azt az entitástípust, amelyet a forgatókönyv bemenetként szeretne fogadni.
Hitelesítési kérések
Ha olyan eseményindítót vagy további műveletet ad hozzá, amely hitelesítést igényel, előfordulhat, hogy a rendszer kérni fogja, hogy válasszon a megfelelő erőforrás-szolgáltató által támogatott elérhető hitelesítési típusok közül. Ebben a példában a Microsoft Sentinel-eseményindító az első művelet, amelyet hozzáad a munkafolyamathoz. Az erőforrás-szolgáltató tehát a Microsoft Sentinel, amely számos hitelesítési lehetőséget támogat. További információkért tekintse meg a következő dokumentációt:
- Forgatókönyvek hitelesítése a Microsoft Sentinel felé
- Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben
Műveletek hozzáadása a forgatókönyvhöz
Most, hogy már rendelkezik a forgatókönyv munkafolyamatával, határozza meg, mi történik, amikor meghívja a forgatókönyvet. Műveletek, logikai feltételek, hurkok vagy kapcsolós esetfeltételek hozzáadása a tervező pluszjelének (+) kiválasztásával. További információ: Munkafolyamat létrehozása eseményindítóval vagy művelettel.
Ez a kijelölés megnyitja a Művelet hozzáadása panelt, ahol szolgáltatásokat, alkalmazásokat, rendszereket, vezérlőfolyamat-műveleteket és egyebeket kereshet vagy kereshet. Miután megadta a keresési kifejezéseket, vagy kiválasztotta a kívánt erőforrást, a találatok listájában megjelennek az elérhető műveletek.
Minden műveletnél, amikor egy mezőn belül választ, a következő lehetőségeket kapja:
Dinamikus tartalom (villám ikon): Válasszon a munkafolyamat előző műveleteiből származó elérhető kimenetek listájából, beleértve a Microsoft Sentinel-eseményindítót is. Ezek a kimenetek például tartalmazhatják a forgatókönyvnek átadott riasztás vagy incidens attribútumait, beleértve a riasztás vagy incidens összes hozzárendelt entitásának értékeit és attribútumait, valamint a riasztás vagy incidens egyéni adatait. A kimenetek kiválasztásával hivatkozásokat adhat az aktuális művelethez.
A dinamikus tartalmak használatát bemutató példákért tekintse meg a következő szakaszokat:
Kifejezésszerkesztő (függvényikon): Válasszon egy nagy függvénytárból, hogy több logikát adjon hozzá a munkafolyamathoz.
További információ: Támogatott eseményindítók és műveletek a Microsoft Sentinel forgatókönyveiben.
Dinamikus tartalom: Incidensazonosító nélküli entitás forgatókönyvek
A Microsoft Sentinel-entitás eseményindítójával létrehozott forgatókönyvek gyakran használják az Incidens ARM-azonosító mezőjét, például egy incidens frissítésére az entitáson végzett művelet végrehajtása után. Ha egy ilyen forgatókönyv olyan forgatókönyvben aktiválódik, amely nem kapcsolódik egy incidenshez, például fenyegetéskereséskor, nincs incidensazonosító a mező feltöltéséhez. Ehelyett a mező null értékkel van feltöltve. Ennek eredményeképpen előfordulhat, hogy a forgatókönyv nem fut a befejezésig.
A hiba elkerülése érdekében javasoljuk, hogy hozzon létre egy feltételt, amely az incidensazonosító mezőben keres értéket, mielőtt a munkafolyamat bármilyen más műveletet végrehajt. Eltérő műveletkészletet írhat elő, ha a mező null értékű, mert a forgatókönyv nem incidensből fut.
A munkafolyamatban az Incidens ARM-azonosító mezőjére hivatkozó első művelet előtt kövesse az alábbi általános lépéseket egy feltételművelet hozzáadásához.
A Feltétel panel feltételsorán válassza a bal oldali Érték kiválasztása mezőt, majd válassza a dinamikus tartalom beállítást (villám ikon).
A dinamikus tartalomlistában a Microsoft Sentinel-incidens alatt a keresőmezővel keresse meg és válassza ki az Incidens ARM-azonosítóját.
Tipp.
Ha a kimenet nem jelenik meg a listában, az eseményindító neve mellett válassza a Továbbiak elemet.
A középső mező operátorlistájában a kijelölés nem egyenlő.
A jobb oldalon válasszon egy értékmezőt , és válassza a kifejezésszerkesztő lehetőséget (függvényikon).
A szerkesztőben írja be a null értéket, és válassza a Hozzáadás lehetőséget.
Ha végzett, a feltétel az alábbi példához hasonlóan néz ki:
Dinamikus tartalom: Egyéni adatokkal végzett munka
A Microsoft Sentinel-incidens eseményindítójában a riasztás egyéni részleteinek kimenete JSON-objektumok tömbje, ahol mindegyik egy riasztás egyéni részleteit jelöli. Az egyéni részletek kulcs-érték párok, amelyek lehetővé teszik a riasztásban szereplő események információinak feltárását, hogy azok az incidens részeként ábrázolhatók, nyomon követhetők és elemezhetők legyenek.
Ez a mező testreszabható a riasztásban, így a sémája a felszínre kerülő esemény típusától függ. Az egyéni részletek kimenetének elemzését meghatározó séma létrehozásához adja meg az esemény egy példányának adatait:
A Microsoft Sentinel-munkaterület menü Konfiguráció területén válassza az Elemzés lehetőséget.
Kövesse a lépéseket egy meglévő ütemezett lekérdezési szabály vagy NRT lekérdezési szabály létrehozásához vagy megnyitásához.
A Szabály logikai beállítása lapon bontsa ki az Egyéni részletek szakaszt, például:
Az alábbi táblázat további információt nyújt ezekről a kulcs-érték párokról:
Elem Hely Leírás Kulcs Bal oldali oszlop A létrehozott egyéni mezőket jelöli. Érték Jobb oldali oszlop Az egyéni mezőket kitöltő eseményadatok mezőit jelöli. A séma létrehozásához adja meg a következő JSON-példát:
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
A kód tömbként jeleníti meg a kulcsneveket, az értékeket pedig a tömbök elemeiként. Az értékek tényleges értékekként jelennek meg, nem pedig az értékeket tartalmazó oszlopként.
Ha egyéni mezőket szeretne használni incidens-eseményindítókhoz, kövesse az alábbi lépéseket a munkafolyamathoz:
A munkafolyamat-tervezőben a Microsoft Sentinel incidensindítója alatt adja hozzá a Parse JSON nevű beépített műveletet.
Válassza ki a művelet Tartalom paraméterén belül, majd válassza a dinamikus tartalomlista lehetőséget (villám ikon).
A listából az incidens eseményindító szakaszában keresse meg és válassza ki az Egyéni riasztás részletei lehetőséget, például:
Ez a kijelölés automatikusan hozzáad egy Minden ciklushoz a JSON elemzése körül, mivel egy incidens riasztások tömbjéből áll.
A JSON-adatok elemzése panelen válassza a Minta hasznos adat használata séma létrehozásához lehetőséget, például:
Adja meg vagy illessze be a JSON-minta hasznos adatait tartalmazó mezőbe, adjon meg egy hasznos adatmintát, és válassza a Kész lehetőséget.
Például egy hasznos adatminta megkereséséhez keresse meg a Log Analyticsben a riasztás egy másik példányát, majd másolja ki az egyéni adatobjektumot, amelyet a Kiterjesztett tulajdonságok területen talál. A Log Analytics-adatok eléréséhez lépjen az Azure Portal Naplók lapjára, vagy a Defender portál Speciális keresési lapjára.
Az alábbi példa a korábbi JSON-mintakódot mutatja be:
Ha végzett, a Séma mező most már tartalmazza a létrehozott sémát a megadott minta alapján. A JSON-elemzési művelet olyan egyéni mezőket hoz létre, amelyeket mostantól dinamikus mezőként használhat tömbtípussal a munkafolyamat későbbi műveleteiben.
Az alábbi példa egy tömböt és annak elemeit mutatja be, mind a sémában, mind a dinamikus tartalomlistában a Compose nevű későbbi művelethez:
Forgatókönyvek kezelése
Az Automation > Active forgatókönyvek lapra kattintva megtekintheti az összes olyan forgatókönyvet, amelyhez hozzáférése van, az előfizetési nézet szerint szűrve.
Miután bejelentkezett az egyesített biztonsági üzemeltetési platformra, alapértelmezés szerint az Aktív forgatókönyvek lap egy előre definiált szűrőt jelenít meg a beépített munkaterület előfizetésével. Az Azure Portalon szerkessze azokat az előfizetéseket, amelyek a Címtár + előfizetés menüből jelennek meg a globális Azure-oldal fejlécében.
Bár az Aktív forgatókönyvek lapon minden kiválasztott előfizetésben elérhető aktív forgatókönyv látható, alapértelmezés szerint a forgatókönyvek csak azon az előfizetésen belül használhatók, amelyhez tartoznak, kivéve, ha kifejezetten ad engedélyt a Microsoft Sentinelnek a forgatókönyv erőforráscsoportjának.
Az Aktív forgatókönyvek lapon a forgatókönyvek az alábbi részletekkel jelennek meg:
Oszlop neve | Leírás |
---|---|
Állapot | Azt jelzi, hogy a forgatókönyv engedélyezve vagy letiltva van-e. |
Terv | Azt jelzi, hogy a forgatókönyv a Standard vagy a Consumption Azure Logic Apps erőforrástípust használja-e. A Standard típusú forgatókönyvek az LogicApp/Workflow elnevezési konvenciót használják, amely azt tükrözi, hogy a Standard forgatókönyvek hogyan jelölnek egy olyan munkafolyamatot, amely az egyetlen logikai alkalmazás más munkafolyamatai mellett létezik. További információ: Azure Logic Apps for Microsoft Sentinel forgatókönyvek. |
Trigger típusa | A forgatókönyvet elindító eseményindítót jelzi az Azure Logic Appsben: - Microsoft Sentinel-incidens/riasztás/entitás: A forgatókönyv az egyik Sentinel-eseményindítóval kezdődik, beleértve az incidenst, a riasztást vagy az entitást - A Microsoft Sentinel-művelet használata: A forgatókönyv nem Microsoft Sentinel-eseményindítóval kezdődik, de Microsoft Sentinel-műveletet használ - Egyéb: A forgatókönyv nem tartalmaz Microsoft Sentinel-összetevőket - Nincs inicializálva: A forgatókönyv létrejött, de nem tartalmaz összetevőket, és nem aktivál semmilyen műveletet. |
Válasszon ki egy forgatókönyvet az Azure Logic Apps-oldal megnyitásához, amely további részleteket tartalmaz a forgatókönyvről. Az Azure Logic Apps oldalán:
- Napló megtekintése minden alkalommal, amikor a forgatókönyv futott
- Futtatási eredmények megtekintése, beleértve a sikereket és a hibákat és egyéb részleteket
- Ha rendelkezik a megfelelő engedélyekkel, nyissa meg a munkafolyamat-tervezőt az Azure Logic Appsben a forgatókönyv közvetlen szerkesztéséhez
Kapcsolódó tartalom
A forgatókönyv létrehozása után csatolja a környezet eseményei által aktiválandó szabályokhoz, vagy manuálisan futtathatja a forgatókönyveket adott incidenseken, riasztásokon vagy entitásokon.
További információk: