Megosztás a következőn keresztül:

Ajánlott forgatókönyv-használati esetek, sablonok és példák

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk a Microsoft Sentinel-forgatókönyvek mintahasználati eseteit, valamint a minta forgatókönyveket és az ajánlott forgatókönyvsablonokat sorolja fel.

Javasoljuk, hogy kezdje a Microsoft Sentinel forgatókönyvekkel a következő SOC-forgatókönyvekhez , amelyekhez beépített forgatókönyvsablonokat biztosítunk.

Bővítés: Adatok gyűjtése és csatolása incidenshez intelligensebb döntések meghozatalához

Ha a Microsoft Sentinel-incidens egy OLYAN riasztási és elemzési szabályból jön létre, amely IP-cím entitásokat hoz létre, konfigurálja az incidenst úgy, hogy egy automatizálási szabályt aktiváljon egy forgatókönyv futtatásához és további információk gyűjtéséhez.

Konfigurálja a forgatókönyvet a következő lépésekkel:

  1. Indítsa el a forgatókönyvet az incidens létrehozásakor. Az incidensben képviselt entitások az incidensindító dinamikus mezőiben vannak tárolva.

  2. Minden IP-címhez konfigurálja a forgatókönyvet úgy, hogy lekérdezze a külső fenyegetésintelligencia-szolgáltatót( például a Virus Totalt) további adatok lekéréséhez.

  3. Adja hozzá a visszaadott adatokat és megállapításokat az incidens megjegyzéseiként, hogy bővítse a vizsgálatot.

Kétirányú szinkronizálás a Microsoft Sentinel-incidensekhez más jegykezelő rendszerekkel

A Microsoft Sentinel incidensadatainak szinkronizálása egy jegykezelő rendszerrel, például a ServiceNow-nal:

  1. Hozzon létre egy automatizálási szabályt az összes incidens létrehozásához.

  2. Csatoljon egy forgatókönyvet, amely egy új incidens létrehozásakor aktiválódik.

  3. Konfigurálja a forgatókönyvet úgy, hogy új jegyet hozzon létre a ServiceNow-ban a ServiceNow-összekötő használatával.

    Győződjön meg arról, hogy csapatai könnyedén visszaugorhatnak a ServiceNow-jegyről a Microsoft Sentinel-incidensre. Ehhez konfigurálja a forgatókönyvet úgy, hogy tartalmazza az incidens nevét, a fontos mezőket és a Microsoft Sentinel-incidens URL-címét a ServiceNow-jegyben.

Vezénylés: Az incidensek üzenetsorának szabályozása az SOC-csevegőplatformról

Ha a Microsoft Sentinel-incidens olyan riasztási és elemzési szabályból jön létre, amely felhasználónevet és IP-cím entitásokat hoz létre, konfigurálja az incidenst úgy, hogy egy automatizálási szabályt aktiváljon egy forgatókönyv futtatásához, és lépjen kapcsolatba a csapatával a szokásos kommunikációs csatornákon keresztül.

Konfigurálja a forgatókönyvet a következő lépésekkel:

  1. Indítsa el a forgatókönyvet az incidens létrehozásakor. Az incidensben képviselt entitások az incidensindító dinamikus mezőiben vannak tárolva.

  2. Konfigurálja úgy a forgatókönyvet, hogy üzenetet küldjön a biztonsági műveletek kommunikációs csatornájának, például a Microsoft Teamsben vagy a Slackben, hogy a biztonsági elemzők értesüljenek az incidensről.

  3. Konfigurálja a forgatókönyvet úgy, hogy a riasztásban szereplő összes információt e-mailben küldje el a vezető hálózati rendszergazdának és biztonsági rendszergazdának. Az e-mail tartalmazza a Felhasználói beállítások blokkolása és mellőzése gombokat.

  4. Konfigurálja úgy a forgatókönyvet, hogy várja meg, amíg választ nem kapnak a rendszergazdák, majd futtassa tovább.

  5. Ha a rendszergazdák a Letiltás lehetőséget választják, konfigurálja úgy a forgatókönyvet, hogy küldjön egy parancsot a tűzfalnak a riasztás IP-címének letiltásához, egy másik pedig a Microsoft Entra-azonosítóhoz a felhasználó letiltásához.

Azonnali reagálás a fenyegetésekre minimális emberi függőségekkel

Ez a szakasz két példát mutat be, amely egy feltört felhasználó és egy feltört gép fenyegetéseire reagál.

Sérült felhasználó esetén, például a Microsoft Entra ID-védelem által felfedezett felhasználó esetén:

  1. Új Microsoft Sentinel-incidens létrehozásakor indítsa el a forgatókönyvet.

  2. A feltörtnek vélt incidens minden felhasználói entitása esetében konfigurálja a forgatókönyvet a következőre:

    1. Küldjön egy Teams-üzenetet a felhasználónak, amely megerősítést kér arról, hogy a felhasználó végrehajtotta a gyanús műveletet.

    2. Ellenőrizze Microsoft Entra ID-védelem, hogy a felhasználó állapota sérült-e. Microsoft Entra ID-védelem kockázatosként címkézheti a felhasználót, és alkalmazhatja a már konfigurált kényszerítési szabályzatokat – például azt, hogy a felhasználó a következő bejelentkezéskor használja az MFA-t.

    Feljegyzés

    Ez az adott Microsoft Entra-művelet nem kezdeményez kényszerítési tevékenységet a felhasználón, és nem kezdeményezi a kényszerítési szabályzat konfigurálását sem. Csak arra utasítja Microsoft Entra ID-védelem, hogy szükség szerint alkalmazza a már definiált szabályzatokat. Minden kényszerítés teljes mértékben a Microsoft Entra ID-védelem definiált megfelelő szabályzatoktól függ.

Feltört gép esetén, például a Végponthoz készült Microsoft Defender által felfedezett gép esetén:

  1. Új Microsoft Sentinel-incidens létrehozásakor indítsa el a forgatókönyvet.

  2. Konfigurálja a forgatókönyvet az Entitások – Gazdagépek lekérése művelettel az incidens entitásaiban szereplő gyanús gépek elemzéséhez.

  3. Konfigurálja a forgatókönyvet úgy, hogy kiadjon egy parancsot, amely Végponthoz készült Microsoft Defender a riasztásban lévő gépek elkülönítéséhez.

Válasz manuálisan a vizsgálat során vagy a keresés során a környezet elhagyása nélkül

Az entitás-eseményindítóval azonnali műveleteket hajthat végre a vizsgálat során felderített egyes veszélyforrás-szereplőkön, egyenként, közvetlenül a vizsgálaton belül. Ez a lehetőség a fenyegetéskeresési környezetben is elérhető, és nem kapcsolódik semmilyen konkrét incidenshez.

Jelöljön ki egy entitást a kontextusban, és ott végezze el a műveleteket, időt takarítva meg és csökkentve az összetettség mértékét.

Az entitás-triggerekkel rendelkező forgatókönyvek olyan műveleteket támogatnak, mint például:

  • Sérült felhasználó blokkolása.
  • Blokkolja a forgalmat egy rosszindulatú IP-címről a tűzfalon.
  • Feltört gazdagép elkülönítése a hálózaton.
  • IP-cím hozzáadása egy biztonságos/nem biztonságos címfigyelőlistához vagy a külső konfigurációkezelési adatbázishoz (CMDB).
  • Fájlkivonat-jelentés lekérése külső fenyegetésfelderítési forrásból, és megjegyzésként hozzáadva egy incidenshez.

Ez a szakasz az ajánlott forgatókönyveket sorolja fel, és más hasonló forgatókönyvek is elérhetők a Tartalomközpontban vagy a Microsoft Sentinel GitHub-adattárban.

Értesítési forgatókönyvsablonok

Az értesítési forgatókönyvek riasztás vagy incidens létrehozásakor aktiválódnak, és értesítést küldenek egy konfigurált célhelyre:

Forgatókönyv Mappa a következőben:
GitHub-adattár		 Megoldás a Content Hubban/
Azure Piactér
Üzenet közzététele Microsoft Teamschannelben Post-Message-Teams Sentinel SOAR Essentialssolution
Outlook e-mail-értesítés küldése Egyszerű e-mail küldése Sentinel SOAR Essentialssolution
Üzenet közzététele Slack-csatornában Üzenet utáni tartalékidő Sentinel SOAR Essentialssolution
Microsoft Teams adaptív kártya küldése incidens létrehozásakor Send-Teams-adaptive-card-on-incident-creation Sentinel SOAR Essentials megoldás

Forgatókönyvsablonok letiltása

A forgatókönyvek blokkolása riasztás vagy incidens létrehozásakor aktiválódik, entitásadatokat gyűjt, például a fiókot, az IP-címet és a gazdagépet, és letiltja őket a további műveletektől:

Forgatókönyv Mappa a következőben:
GitHub-adattár		 Megoldás a Content Hubban/
Azure Piactér
IP-cím letiltása az Azure Firewallban AzureFirewall-BlockIP-addNewRule Azure Firewall-megoldás a Sentinelhez
Microsoft Entra-felhasználó letiltása Block-AADUser Microsoft Entra-megoldás
Microsoft Entra felhasználói jelszó alaphelyzetbe állítása Reset-AADUserPassword Microsoft Entra-megoldás
Eszköz elkülönítése vagy feloldása
Végponthoz készült Microsoft Defender		 Izolátum-MDEMachine
Unisolate-MDEMachine		 Végponthoz készült Microsoft Defender megoldás

Forgatókönyvsablonok létrehozása, frissítése vagy bezárása

Forgatókönyvek létrehozása, frissítése vagy bezárása incidenseket hozhat létre, frissíthet vagy zárhat be a Microsoft Sentinelben, a Microsoft 365 biztonsági szolgáltatásaiban vagy más jegykezelő rendszerekben:

Forgatókönyv Mappa a következőben:
GitHub-adattár		 Megoldás a Content Hubban/
Azure Piactér
Incidens létrehozása a Microsoft Forms használatával CreateIncident-MicrosoftForms Sentinel SOAR Essentials megoldás
Riasztások összekapcsolása incidensekkel relateAlertsToIncident-basedOnIP Sentinel SOAR Essentials megoldás
ServiceNow-incidens létrehozása Create-SNOW-record ServiceNow-megoldás

Gyakran használt forgatókönyv-konfigurációk

Ez a szakasz minta képernyőképeket biztosít a gyakran használt forgatókönyv-konfigurációkhoz, beleértve az incidensek frissítését, az incidens részleteinek használatát, az incidenshez fűzött megjegyzések hozzáadását vagy a felhasználó letiltását.

Incidens frissítése

Ez a szakasz minta képernyőképeket tartalmaz arról, hogyan frissíthet egy incidenst forgatókönyv használatával egy új incidens vagy riasztás alapján.

Incidens frissítése új incidens (incidensindító) alapján:

Képernyőkép egy eseményindító egyszerű frissítési folyamatáról.

Incidens frissítése új riasztás (riasztási eseményindító) alapján:

Képernyőkép egy riasztási eseményindító egyszerű frissítési incidensfolyamatáról.

Incidens részleteinek használata a folyamatban

Ez a szakasz minta képernyőképeket tartalmaz arról, hogyan használhatja a forgatókönyvet az incidens részleteinek a folyamat más részein való használatára:

Az incidens részleteinek elküldése e-mailben egy új incidens által aktivált forgatókönyv használatával:

Képernyőkép egy eseményindító egyszerű lekéréses folyamatáról.

Az incidens részleteinek elküldése e-mailben egy új riasztás által aktivált forgatókönyv használatával:

Képernyőkép egy riasztási eseményindító egyszerű lekéréses incidensfolyamat-példájáról.

Megjegyzés hozzáadása incidenshez

Ez a szakasz minta képernyőképeket tartalmaz arról, hogyan használhatja a forgatókönyvet megjegyzések hozzáadására egy incidenshez:

Megjegyzés hozzáadása egy incidenshez egy új incidens által aktivált forgatókönyv használatával:

Képernyőkép egy incidensindító egyszerű megjegyzés hozzáadásáról.

Megjegyzés hozzáadása incidenshez egy új riasztás által aktivált forgatókönyv használatával:

Képernyőkép egy riasztási eseményindító egyszerű megjegyzés hozzáadásáról.

Felhasználó letiltása

Az alábbi képernyőképen egy példa látható arra, hogyan tilthat le egy felhasználói fiókot a forgatókönyvben egy Microsoft Sentinel-entitás eseményindítója alapján:

Képernyőkép egy entitás-eseményindító forgatókönyvben a felhasználó letiltásához végrehajtandó műveletekről.

Kapcsolódó tartalom