Ajánlott forgatókönyv-használati esetek, sablonok és példák
Ez a cikk a Microsoft Sentinel-forgatókönyvek mintahasználati eseteit, valamint a minta forgatókönyveket és az ajánlott forgatókönyvsablonokat sorolja fel.
Ajánlott forgatókönyv-használati esetek
Javasoljuk, hogy kezdje a Microsoft Sentinel forgatókönyvekkel a következő SOC-forgatókönyvekhez , amelyekhez beépített forgatókönyvsablonokat biztosítunk.
Bővítés: Adatok gyűjtése és csatolása incidenshez intelligensebb döntések meghozatalához
Ha a Microsoft Sentinel-incidens egy OLYAN riasztási és elemzési szabályból jön létre, amely IP-cím entitásokat hoz létre, konfigurálja az incidenst úgy, hogy egy automatizálási szabályt aktiváljon egy forgatókönyv futtatásához és további információk gyűjtéséhez.
Konfigurálja a forgatókönyvet a következő lépésekkel:
Indítsa el a forgatókönyvet az incidens létrehozásakor. Az incidensben képviselt entitások az incidensindító dinamikus mezőiben vannak tárolva.
Minden IP-címhez konfigurálja a forgatókönyvet úgy, hogy lekérdezze a külső fenyegetésintelligencia-szolgáltatót( például a Virus Totalt) további adatok lekéréséhez.
Adja hozzá a visszaadott adatokat és megállapításokat az incidens megjegyzéseiként, hogy bővítse a vizsgálatot.
Kétirányú szinkronizálás a Microsoft Sentinel-incidensekhez más jegykezelő rendszerekkel
A Microsoft Sentinel incidensadatainak szinkronizálása egy jegykezelő rendszerrel, például a ServiceNow-nal:
Hozzon létre egy automatizálási szabályt az összes incidens létrehozásához.
Csatoljon egy forgatókönyvet, amely egy új incidens létrehozásakor aktiválódik.
Konfigurálja a forgatókönyvet úgy, hogy új jegyet hozzon létre a ServiceNow-ban a ServiceNow-összekötő használatával.
Győződjön meg arról, hogy csapatai könnyedén visszaugorhatnak a ServiceNow-jegyről a Microsoft Sentinel-incidensre. Ehhez konfigurálja a forgatókönyvet úgy, hogy tartalmazza az incidens nevét, a fontos mezőket és a Microsoft Sentinel-incidens URL-címét a ServiceNow-jegyben.
Vezénylés: Az incidensek üzenetsorának szabályozása az SOC-csevegőplatformról
Ha a Microsoft Sentinel-incidens olyan riasztási és elemzési szabályból jön létre, amely felhasználónevet és IP-cím entitásokat hoz létre, konfigurálja az incidenst úgy, hogy egy automatizálási szabályt aktiváljon egy forgatókönyv futtatásához, és lépjen kapcsolatba a csapatával a szokásos kommunikációs csatornákon keresztül.
Konfigurálja a forgatókönyvet a következő lépésekkel:
Indítsa el a forgatókönyvet az incidens létrehozásakor. Az incidensben képviselt entitások az incidensindító dinamikus mezőiben vannak tárolva.
Konfigurálja úgy a forgatókönyvet, hogy üzenetet küldjön a biztonsági műveletek kommunikációs csatornájának, például a Microsoft Teamsben vagy a Slackben, hogy a biztonsági elemzők értesüljenek az incidensről.
Konfigurálja a forgatókönyvet úgy, hogy a riasztásban szereplő összes információt e-mailben küldje el a vezető hálózati rendszergazdának és biztonsági rendszergazdának. Az e-mail tartalmazza a Felhasználói beállítások blokkolása és mellőzése gombokat.
Konfigurálja úgy a forgatókönyvet, hogy várja meg, amíg választ nem kapnak a rendszergazdák, majd futtassa tovább.
Ha a rendszergazdák a Letiltás lehetőséget választják, konfigurálja úgy a forgatókönyvet, hogy küldjön egy parancsot a tűzfalnak a riasztás IP-címének letiltásához, egy másik pedig a Microsoft Entra-azonosítóhoz a felhasználó letiltásához.
Azonnali reagálás a fenyegetésekre minimális emberi függőségekkel
Ez a szakasz két példát mutat be, amely egy feltört felhasználó és egy feltört gép fenyegetéseire reagál.
Sérült felhasználó esetén, például a Microsoft Entra ID-védelem által felfedezett felhasználó esetén:
Új Microsoft Sentinel-incidens létrehozásakor indítsa el a forgatókönyvet.
A feltörtnek vélt incidens minden felhasználói entitása esetében konfigurálja a forgatókönyvet a következőre:
Küldjön egy Teams-üzenetet a felhasználónak, amely megerősítést kér arról, hogy a felhasználó végrehajtotta a gyanús műveletet.
Ellenőrizze Microsoft Entra ID-védelem, hogy a felhasználó állapota sérült-e. Microsoft Entra ID-védelem kockázatosként címkézheti a felhasználót, és alkalmazhatja a már konfigurált kényszerítési szabályzatokat – például azt, hogy a felhasználó a következő bejelentkezéskor használja az MFA-t.
Feljegyzés
Ez az adott Microsoft Entra-művelet nem kezdeményez kényszerítési tevékenységet a felhasználón, és nem kezdeményezi a kényszerítési szabályzat konfigurálását sem. Csak arra utasítja Microsoft Entra ID-védelem, hogy szükség szerint alkalmazza a már definiált szabályzatokat. Minden kényszerítés teljes mértékben a Microsoft Entra ID-védelem definiált megfelelő szabályzatoktól függ.
Feltört gép esetén, például a Végponthoz készült Microsoft Defender által felfedezett gép esetén:
Új Microsoft Sentinel-incidens létrehozásakor indítsa el a forgatókönyvet.
Konfigurálja a forgatókönyvet az Entitások – Gazdagépek lekérése művelettel az incidens entitásaiban szereplő gyanús gépek elemzéséhez.
Konfigurálja a forgatókönyvet úgy, hogy kiadjon egy parancsot, amely Végponthoz készült Microsoft Defender a riasztásban lévő gépek elkülönítéséhez.
Válasz manuálisan a vizsgálat során vagy a keresés során a környezet elhagyása nélkül
Az entitás-eseményindítóval azonnali műveleteket hajthat végre a vizsgálat során felderített egyes veszélyforrás-szereplőkön, egyenként, közvetlenül a vizsgálaton belül. Ez a lehetőség a fenyegetéskeresési környezetben is elérhető, és nem kapcsolódik semmilyen konkrét incidenshez.
Jelöljön ki egy entitást a kontextusban, és ott végezze el a műveleteket, időt takarítva meg és csökkentve az összetettség mértékét.
Az entitás-triggerekkel rendelkező forgatókönyvek olyan műveleteket támogatnak, mint például:
- Sérült felhasználó blokkolása.
- Blokkolja a forgalmat egy rosszindulatú IP-címről a tűzfalon.
- Feltört gazdagép elkülönítése a hálózaton.
- IP-cím hozzáadása egy biztonságos/nem biztonságos címfigyelőlistához vagy a külső konfigurációkezelési adatbázishoz (CMDB).
- Fájlkivonat-jelentés lekérése külső fenyegetésfelderítési forrásból, és megjegyzésként hozzáadva egy incidenshez.
Ajánlott forgatókönyvsablonok
Ez a szakasz az ajánlott forgatókönyveket sorolja fel, és más hasonló forgatókönyvek is elérhetők a Tartalomközpontban vagy a Microsoft Sentinel GitHub-adattárban.
Értesítési forgatókönyvsablonok
Az értesítési forgatókönyvek riasztás vagy incidens létrehozásakor aktiválódnak, és értesítést küldenek egy konfigurált célhelyre:
| Forgatókönyv | Mappa a következőben: GitHub-adattár |
Megoldás a Content Hubban/ Azure Piactér |
|---|---|---|
| Üzenet közzététele Microsoft Teams-csatornán | Post-Message-Teams | Sentinel SOAR Essentials megoldás |
| Outlook e-mail-értesítés küldése | Egyszerű e-mail küldése | Sentinel SOAR Essentials megoldás |
| Üzenet közzététele Slack-csatornában | Üzenet utáni tartalékidő | Sentinel SOAR Essentials megoldás |
| Microsoft Teams adaptív kártya küldése incidens létrehozásakor | Send-Teams-adaptive-card-on-incident-creation | Sentinel SOAR Essentials megoldás |
Forgatókönyvsablonok letiltása
A forgatókönyvek blokkolása riasztás vagy incidens létrehozásakor aktiválódik, entitásadatokat gyűjt, például a fiókot, az IP-címet és a gazdagépet, és letiltja őket a további műveletektől:
| Forgatókönyv | Mappa a következőben: GitHub-adattár |
Megoldás a Content Hubban/ Azure Piactér |
|---|---|---|
| IP-cím letiltása az Azure Firewallban | AzureFirewall-BlockIP-addNewRule | Azure Firewall-megoldás a Sentinelhez |
| Microsoft Entra-felhasználó letiltása | Block-AADUser | Microsoft Entra-megoldás |
| Microsoft Entra felhasználói jelszó alaphelyzetbe állítása | Reset-AADUserPassword | Microsoft Entra-megoldás |
| Eszköz elkülönítése vagy feloldása Végponthoz készült Microsoft Defender |
Izolátum-MDEMachine Unisolate-MDEMachine |
Végponthoz készült Microsoft Defender megoldás |
Forgatókönyvsablonok létrehozása, frissítése vagy bezárása
Forgatókönyvek létrehozása, frissítése vagy bezárása incidenseket hozhat létre, frissíthet vagy zárhat be a Microsoft Sentinelben, a Microsoft 365 biztonsági szolgáltatásaiban vagy más jegykezelő rendszerekben:
| Forgatókönyv | Mappa a következőben: GitHub-adattár |
Megoldás a Content Hubban/ Azure Piactér |
|---|---|---|
| Incidens létrehozása a Microsoft Forms használatával | CreateIncident-MicrosoftForms | Sentinel SOAR Essentials megoldás |
| Riasztások összekapcsolása incidensekkel | relateAlertsToIncident-basedOnIP | Sentinel SOAR Essentials megoldás |
| Service Now-incidens létrehozása | Create-SNOW-record | ServiceNow-megoldás |
Gyakran használt forgatókönyv-konfigurációk
Ez a szakasz minta képernyőképeket biztosít a gyakran használt forgatókönyv-konfigurációkhoz, beleértve az incidensek frissítését, az incidens részleteinek használatát, az incidenshez fűzött megjegyzések hozzáadását vagy a felhasználó letiltását.
Incidens frissítése
Ez a szakasz minta képernyőképeket tartalmaz arról, hogyan frissíthet egy incidenst forgatókönyv használatával egy új incidens vagy riasztás alapján.
Incidens frissítése új incidens (incidensindító) alapján:
Incidens frissítése új riasztás (riasztási eseményindító) alapján:
Incidens részleteinek használata a folyamatban
Ez a szakasz minta képernyőképeket tartalmaz arról, hogyan használhatja a forgatókönyvet az incidens részleteinek a folyamat más részein való használatára:
Az incidens részleteinek elküldése e-mailben egy új incidens által aktivált forgatókönyv használatával:
Az incidens részleteinek elküldése e-mailben egy új riasztás által aktivált forgatókönyv használatával:
Megjegyzés hozzáadása incidenshez
Ez a szakasz minta képernyőképeket tartalmaz arról, hogyan használhatja a forgatókönyvet megjegyzések hozzáadására egy incidenshez:
Megjegyzés hozzáadása egy incidenshez egy új incidens által aktivált forgatókönyv használatával:
Megjegyzés hozzáadása incidenshez egy új riasztás által aktivált forgatókönyv használatával:
Felhasználó letiltása
Az alábbi képernyőképen egy példa látható arra, hogyan tilthat le egy felhasználói fiókot a forgatókönyvben egy Microsoft Sentinel-entitás eseményindítója alapján:
