Megosztás a következőn keresztül:

Microsoft Sentinel-forgatókönyvek automatizálása és futtatása

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A forgatókönyvek olyan eljárások gyűjteményei, amelyeket a Microsoft Sentinel egy teljes incidensre, egy egyéni riasztásra vagy egy adott entitásra válaszul futtathat. A forgatókönyvek segíthetnek a válasz automatizálásában és vezénylésében, és automatikusan futtathatók adott riasztások létrehozásakor vagy incidensek létrehozásakor vagy frissítésekor egy automatizálási szabályhoz csatolva. Manuálisan is futtatható igény szerint adott incidenseken, riasztásokon vagy entitásokon.

Ez a cikk bemutatja, hogyan csatolhat forgatókönyveket elemzési szabályokhoz vagy automatizálási szabályokhoz, illetve hogyan futtathat forgatókönyveket manuálisan adott incidenseken, riasztásokon vagy entitásokon.

Feljegyzés

A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, ami azt jelenti, hogy a Logic Apps minden erejét, testreszabhatóságát és beépített sablonjait megkapja. További díjak is vonatkozhatnak. További részletekért látogasson el az Azure Logic Apps díjszabási oldalára.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik egy olyan forgatókönyvvel, amely automatizálható vagy futtatható egy eseményindítóval, feltételekkel és műveletekkel. További információ: Microsoft Sentinel forgatókönyvek létrehozása és kezelése.

Kötelező Azure-szerepkörök forgatókönyvek futtatásához

Forgatókönyvek futtatásához a következő Azure-szerepkörökre van szüksége:

Szerepkör Leírás
Tulajdonos Lehetővé teszi, hogy hozzáférést biztosítson az erőforráscsoport forgatókönyveihez.
Microsoft Sentinel-közreműködő Forgatókönyv csatolása elemzési szabályhoz vagy automatizálási szabályhoz
Microsoft Sentinel-válaszadó Egy incidens elérése forgatókönyv manuális futtatásához. A forgatókönyv futtatásához a következő szerepkörökre is szükség van:

- Microsoft Sentinel Forgatókönyv-kezelő, forgatókönyv manuális futtatásához
- Microsoft Sentinel Automation-közreműködői szerepkör, amely lehetővé teszi az automatizálási szabályok számára forgatókönyvek futtatását.

További információ: forgatókönyv előfeltételei.

További engedélyek szükségesek forgatókönyvek futtatásához incidensek esetén

A Microsoft Sentinel szolgáltatásfiókkal forgatókönyveket futtat az incidensekről, biztonsági beállításokat ad hozzá, és engedélyezi az automatizálási szabályok API-t a CI/CD-használati esetek támogatásához. Ez a szolgáltatásfiók incidens által aktivált forgatókönyvekhez, illetve forgatókönyvek manuális futtatásához használható egy adott incidensen.

A saját szerepkörei és engedélyei mellett ennek a Microsoft Sentinel szolgáltatásfióknak saját engedélykészlettel kell rendelkeznie azon erőforráscsoporthoz, amelyben a forgatókönyv található, a Microsoft Sentinel Automation Közreműködői szerepkör formájában. Miután a Microsoft Sentinel megkapta ezt a szerepkört, bármilyen forgatókönyvet futtathat a megfelelő erőforráscsoportban manuálisan vagy egy automatizálási szabályból.

Ahhoz, hogy a Microsoft Sentinel megkapja a szükséges engedélyeket, tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel kell rendelkeznie. A forgatókönyvek futtatásához a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoport logikai alkalmazás közreműködői szerepkörére is szüksége lesz.

Forgatókönyv-engedélyek konfigurálása több-bérlős üzemelő példány incidenseihez

Több-bérlős üzembe helyezés esetén, ha a futtatni kívánt forgatókönyv egy másik bérlőben található, engedélyt kell adnia a Microsoft Sentinel szolgáltatásfióknak, hogy a forgatókönyvet a forgatókönyv bérlőjében futtathassa.

  1. A forgatókönyvek bérlőjének Microsoft Sentinel navigációs menüjében válassza a Beállítások lehetőséget.

  2. A Beállítások lapon válassza a Beállítások lapot, majd a Forgatókönyv engedélyeinek kibontóját.

  3. Az Engedélyek konfigurálása gombot választva nyissa meg az Engedélyek kezelése panelt.

  4. Jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget. Példa:

    Képernyőkép a műveletek szakaszról, amelyen ki van jelölve a forgatókönyv futtatása.

Önnek magának kell tulajdonosi engedélyekkel rendelkeznie minden olyan erőforráscsoporthoz, amelyhez a Microsoft Sentinel-engedélyeket meg szeretné adni, és rendelkeznie kell a Microsoft Sentinel forgatókönyv-kezelő szerepkörével minden olyan erőforráscsoportban, amely forgatókönyveket tartalmaz.

Ha MSSP-forgatókönyv esetén forgatókönyvet szeretne futtatni egy ügyfélbérlelőben egy, a szolgáltató bérlőjébe bejelentkezve létrehozott automatizálási szabály alapján, akkor engedélyeznie kell a Microsoft Sentinel számára a forgatókönyv mindkét bérlőben való futtatását:

  • Az ügyfélbérlőben kövesse a több-bérlős üzembe helyezésre vonatkozó szokásos utasításokat.

  • A szolgáltató bérlőjében adja hozzá az Azure Security Insights alkalmazást az Azure Lighthouse előkészítési sablonjához az alábbiak szerint:

    1. Az Azure Portalon lépjen a Microsoft Entra-azonosítóra, és válassza ki a Nagyvállalati alkalmazásokat.
    2. Válassza ki az alkalmazástípust, és szűrjön a Microsoft-alkalmazásokra.
    3. A keresőmezőbe írja be az Azure Security Insightst.
    4. Másolja ki az Objektumazonosító mezőt. Ezt a további engedélyt hozzá kell adnia a meglévő Azure Lighthouse-delegáláshoz.

A Microsoft Sentinel Automation közreműködői szerepköre rögzített GUID azonosítóval rendelkezik f4c81013-99ee-4d62-a7ee-b3f1f648599a. Egy Azure Lighthouse-mintaengedélyezés így nézne ki a paramétersablonban:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Incidensekre és riasztásokra adott válaszok automatizálása

Ha forgatókönyvvel szeretne automatikusan reagálni a teljes incidensekre vagy egyéni riasztásokra, hozzon létre egy automatizálási szabályt, amely az incidens létrehozásakor vagy frissítésekor, illetve a riasztás létrehozásakor fut. Ez az automatizálási szabály tartalmaz egy lépést, amely meghívja a használni kívánt forgatókönyvet.

Automatizálási szabály létrehozása:

  1. A Microsoft Sentinel navigációs menüjének Automation lapján válassza a Létrehozás lehetőséget a felső menüből, majd az Automation-szabályt. Példa:

    Képernyőkép egy új automatizálási szabály hozzáadásáról.

  2. Megnyílik az Új automatizálási szabály létrehozása panel. Adja meg a szabály nevét. A beállítások attól függően különböznek, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra készítik-e. Példa:

  3. Eseményindító: Válassza ki a megfelelő eseményindítót annak a körülménynek megfelelően, amely miatt az automatizálási szabályt hozza létre – Incidens létrehozásakor, incidens frissítésekor vagy riasztás létrehozásakor.

  4. Feltételek:

    1. Ha a munkaterület még nincs előkészítve az egyesített biztonsági üzemeltetési platformra, az incidenseknek két lehetséges forrása lehet:

      Ha kiválasztotta az egyik incidens-eseményindítót, és azt szeretné, hogy az automatizálási szabály csak a Microsoft Sentinelben vagy a Microsoft Defender XDR-ben forrásként kapott incidensekre legyen érvényes, adja meg a forrást az If Incident provider equals feltételben.

      Ez a feltétel csak akkor jelenik meg, ha egy incidens-eseményindító van kiválasztva, és a munkaterület nincs előkészítve az egyesített biztonsági üzemeltetési platformra.

    2. Ha azt szeretné, hogy az automatizálási szabály csak bizonyos elemzési szabályokra érvényes legyen, az If Analytics-szabály nevének módosításával adja meg, hogy melyeket tartalmazza a feltétel.

    3. Adjon hozzá minden egyéb feltételt, amely meghatározza, hogy fut-e ez az automatizálási szabály. Válassza a +Feltételek vagy feltételcsoportok hozzáadása és kiválasztása lehetőséget a legördülő listában. A feltételek listáját a riasztás részletei és az entitásazonosító mezői töltik ki.

  5. Műveletek:

    1. Mivel ezt az automatizálási szabályt használja forgatókönyv futtatásához, válassza a Forgatókönyv futtatása műveletet a legördülő listából. Ezután a rendszer kérni fogja, hogy válasszon egy második legördülő listából, amely megjeleníti az elérhető forgatókönyveket. Az automatizálási szabályok csak azokat a forgatókönyveket futtathatják, amelyek a szabályban meghatározott eseményindítóval (incidenssel vagy riasztással) kezdődnek, így csak ezek a forgatókönyvek jelennek meg a listában.

      Ha egy forgatókönyv szürkén jelenik meg a legördülő listában, az azt jelenti, hogy a Microsoft Sentinel nem rendelkezik engedéllyel a forgatókönyv erőforráscsoportjához. Kattintson a Forgatókönyv-engedélyek kezelése hivatkozásra engedélyek hozzárendeléséhez.

      A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget. Példa:

      Képernyőkép a műveletek szakaszról, amelyen ki van jelölve a forgatókönyv futtatása.

      Önnek magának kell tulajdonosi engedélyekkel rendelkeznie minden olyan erőforráscsoporthoz, amelyhez a Microsoft Sentinel-engedélyeket meg szeretné adni, és rendelkeznie kell a Microsoft Sentinel forgatókönyv-kezelő szerepkörével minden olyan erőforráscsoportban, amely forgatókönyveket tartalmaz.

      További információt a forgatókönyvek incidensekkel kapcsolatos futtatásához szükséges további engedélyek című témakörben talál.

    2. Adjon hozzá minden más műveletet, amelyet ehhez a szabályhoz szeretne. A műveletek végrehajtásának sorrendjét úgy módosíthatja, hogy a műveletek jobb oldalán a felfelé vagy lefelé mutató nyilakat választja.

  6. Állítson be lejárati dátumot az automatizálási szabályhoz, ha azt szeretné, hogy legyen.

  7. Adjon meg egy számot a Sorrend csoportban annak meghatározásához, hogy az automatizálási szabályok sorozatában hol fut ez a szabály.

  8. Az automatizálás befejezéséhez válassza az Alkalmaz lehetőséget.

További információ: Microsoft Sentinel forgatókönyvek létrehozása és kezelése.

Válasz a riasztásokra – örökölt módszer

A forgatókönyvek riasztásokra való automatikus futtatásának másik módja, ha egy elemzési szabályból hívja meg őket. Amikor a szabály riasztást hoz létre, a forgatókönyv lefut.

Ez a módszer 2026 márciusától megszűnik.

2023 júniusától kezdődően már nem adhat hozzá forgatókönyveket az elemzési szabályokhoz. A meglévő forgatókönyveket azonban továbbra is láthatja az elemzési szabályokból, és ezek a forgatókönyvek 2026 márciusáig fognak futni. Határozottan javasoljuk, hogy hozzon létre automatizálási szabályokat, hogy ezeket a forgatókönyveket hívja meg korábban .

Forgatókönyv manuális futtatása igény szerint

Igény szerint manuálisan is futtathat forgatókönyvet, akár riasztásokra, incidensekre vagy entitásokra reagálva. Ez olyan helyzetekben lehet hasznos, amikor több emberi bemenetre van szükség a vezénylési és válaszfolyamatok szabályozásához.

Forgatókönyv manuális futtatása riasztáson

Ez az eljárás nem támogatott az egyesített biztonsági üzemeltetési platformon.

Az Azure Portalon válassza az alábbi lapok egyikét a környezetéhez szükséges módon:

  1. Az Incidensek lapon válasszon ki egy incidenst, majd válassza a Teljes adatok megtekintése lehetőséget az incidens részletei lap megnyitásához.

  2. Az incidens részletei oldalon, az Incidens idővonal widgetben válassza ki azt a riasztást, amelyen futtatni szeretné a forgatókönyvet. Válassza ki a riasztás sorának végén található három elemet, és válassza a Forgatókönyv futtatása lehetőséget az előugró menüből.

    Forgatókönyv igény szerinti riasztáson való futtatásának képernyőképe.

  3. Megnyílik a Riasztás forgatókönyvek panel. Megjelenik a Microsoft Sentinel Alert Logic Apps eseményindítóval konfigurált összes forgatókönyv listája, amelyhez hozzáféréssel rendelkezik.

  4. Válassza a Futtatás lehetőséget egy adott forgatókönyv sorában az azonnali futtatáshoz.

A forgatókönyvek futtatási előzményeit egy riasztásban a Riasztás forgatókönyvek panel Futtatások lapjának kiválasztásával tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztása megnyitja a teljes futtatási naplót a Logic Appsben.

Forgatókönyv manuális futtatása incidens esetén

Ez az eljárás eltér attól függően, hogy a Microsoft Sentinelben vagy az egyesített biztonsági üzemeltetési platformon dolgozik-e. Válassza ki a környezet megfelelő lapját:

  1. Az Incidensek lapon válasszon ki egy incidenst.

  2. Az oldalon megjelenő incidens részletei panelen válassza az Actions Run forgatókönyvet>.

    Ha kiválasztja az incidens vonalának végén található három elemet a rácson, vagy a jobb gombbal az incidensre kattint, ugyanaz a lista jelenik meg, mint a Művelet gomb.

  3. Az incidenspanelen megnyílik a Forgatókönyv futtatása az oldalon . Megjelenik a Microsoft Sentinel Incident Logic Apps eseményindítóval konfigurált összes forgatókönyv listája, amelyhez hozzáféréssel rendelkezik.

    Ha nem látja a listában futtatni kívánt forgatókönyvet, az azt jelenti, hogy a Microsoft Sentinelnek nincs engedélye forgatókönyvek futtatására az adott erőforráscsoportban.

    Az engedélyek megadásához válassza a Beállítások beállításai>>forgatókönyv engedélyeinek konfigurálásához szükséges engedélyeket.> A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget.

    További információt a forgatókönyvek incidensekkel kapcsolatos futtatásához szükséges további engedélyek című témakörben talál.

  4. Válassza a Futtatás lehetőséget egy adott forgatókönyv sorában az azonnali futtatáshoz.

    Minden futtatni kívánt forgatókönyvet tartalmazó erőforráscsoportban Rendelkeznie kell a Microsoft Sentinel forgatókönyv-operátori szerepkörével. Ha hiányzó engedélyek miatt nem tudja futtatni a forgatókönyvet, javasoljuk, hogy forduljon egy rendszergazdához, hogy adja meg Önnek a megfelelő engedélyeket. További információ: Microsoft Sentinel forgatókönyv előfeltételei.

Az incidens forgatókönyveinek futtatási előzményeit a Forgatókönyv futtatása az incidens panel Futtatás lapján található Futtatások fülre kattintva tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztása megnyitja a teljes futtatási naplót a Logic Appsben.

Forgatókönyv manuális futtatása entitáson

Ez az eljárás nem támogatott az egyesített biztonsági üzemeltetési platformon.

Válasszon ki egy entitást az alábbi módok egyikén, az eredeti környezettől függően:

Ha egy incidens részleteit tartalmazó oldalon (új verzió) található:

Az Áttekintés lapon található Entitások widgetben keresse meg az entitást, és tegye az alábbiak egyikét:

  • Ne válassza ki az entitást. Ehelyett válassza ki az entitástól jobbra található három elemet, majd válassza a Forgatókönyv futtatása lehetőséget. Keresse meg a futtatni kívánt forgatókönyvet, és válassza a Futtatás lehetőséget a forgatókönyv sorában.

  • Válassza ki az entitást az incidens részletei lap Entitások lapjának megnyitásához. Keresse meg az entitást a listában, és válassza ki a jobb oldalon található három elemet. Keresse meg a futtatni kívánt forgatókönyvet, és válassza a Futtatás lehetőséget a forgatókönyv sorában.

  • Jelöljön ki egy entitást, és lépjen le az entitás részletei lapra. Ezután válassza a forgatókönyv futtatása gombot a bal oldali panelen. Keresse meg a futtatni kívánt forgatókönyvet, és válassza a Futtatás lehetőséget a forgatókönyv sorában.

Függetlenül attól, hogy milyen környezetből származik, az eljárás utolsó lépése az entitástípus-panel> forgatókönyvének <futtatása. Ez a panel azoknak a forgatókönyveknek a listáját jeleníti meg, amelyekhez hozzáféréssel rendelkezik, és amelyekhez a Microsoft Sentinel Entity Logic Apps-eseményindítóval konfigurálva van a kiválasztott entitástípushoz.

A *Forgatókönyv futtatása entitástípus> panelen< válassza a Futtatások lapot egy adott entitás forgatókönyv-futtatási előzményeinek megtekintéséhez. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztása megnyitja a teljes futtatási naplót a Logic Appsben.

Kapcsolódó tartalom

További információk: