Megosztás a következőn keresztül:


Microsoft Sentinel-forgatókönyvek létrehozása és testreszabása sablonokból

A forgatókönyvsablonok a Microsoft Sentinel előre összeállított, tesztelt és használatra kész automatizálási munkafolyamatai, amelyek igényeinek megfelelően testre szabhatók. A sablonok referenciaként szolgálhatnak az ajánlott eljárásokhoz, amikor forgatókönyveket fejlesztenek az alapoktól kezdve, vagy inspirációként szolgálnak az új automatizálási forgatókönyvekhez.

A forgatókönyvsablonok nem maguk az aktív forgatókönyvek, ezért létre kell hoznia egy szerkeszthető példányt az igényeinek megfelelően.

Számos forgatókönyvsablont a Microsoft Sentinel közössége, a független szoftvergyártók (ISV-k) és a Microsoft saját szakértői fejlesztettek ki a világ biztonsági üzemeltetési központjai által használt népszerű automatizálási forgatókönyvek alapján.

Fontos

A forgatókönyvsablonok jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Forgatókönyvek létrehozásához és kezeléséhez hozzá kell férnie a Microsoft Sentinelhez az alábbi Azure-szerepkörök egyikével:

  • Logikai alkalmazás közreműködője a logikai alkalmazások szerkesztéséhez és kezeléséhez
  • Logikai alkalmazás operátora a logikai alkalmazások olvasásához, engedélyezéséhez és letiltásához

További információ: Microsoft Sentinel forgatókönyv előfeltételei.

Javasoljuk, hogy a forgatókönyv létrehozása előtt olvassa el az Azure Logic Apps for Microsoft Sentinel forgatókönyveket .

Forgatókönyvsablonok elérése

Az alábbi forrásokból érheti el a forgatókönyvsablonokat:

Hely Leírás
Microsoft Sentinel Automation oldal A Forgatókönyvsablonok lap felsorolja az összes telepített forgatókönyvet. Hozzon létre egy vagy több aktív forgatókönyvet ugyanazzal a sablonnal.

A sablon új verziójának közzétételekor a sablonból létrehozott aktív forgatókönyvek az Aktív forgatókönyvek lapon egy további címkével rendelkeznek, amely jelzi, hogy elérhető frissítés.
Microsoft Sentinel Content Hub oldal A forgatókönyvsablonok termékmegoldások vagy a Content Hubról telepített különálló tartalmak részeként érhetők el.

További információ:
A Microsoft Sentinel tartalmai és megoldásai
A Microsoft Sentinel beépített tartalmainak felderítése és kezelése
GitHub A Microsoft Sentinel GitHub-adattár számos más forgatókönyvsablont tartalmaz. Válassza az Üzembe helyezés az Azure-ban lehetőséget, ha sablont szeretne üzembe helyezni az Azure-előfizetésében.

A forgatókönyvsablonok gyakorlatilag egy Azure Resource Manager-sablont (ARM) alkotnak, amely több erőforrásból áll: egy Azure Logic Apps-munkafolyamatból és az egyes kapcsolatokHOZ tartozó API-kapcsolatokból.

Ez a cikk egy forgatókönyvsablon üzembe helyezésére összpontosít az Automation alatti Forgatókönyvsablonok lapon.

Forgatókönyvsablonok felfedezése

A Microsoft Sentinel esetében az Azure Portalon válassza a Tartalomkezelési>tartalomközpont lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

A Tartalomközpont lapon válassza ki a Forgatókönyvre szűrni kívánt tartalomtípust. Ez a szűrt nézet felsorolja az összes olyan megoldást és különálló tartalmat, amely egy vagy több forgatókönyvsablont tartalmaz. Telepítse a megoldást vagy az önálló tartalmat a sablon lekéréséhez.

Ezután válassza a Configuration>Automation>forgatókönyvsablonok lapját a telepített sablonok megtekintéséhez. Példa:

Képernyőkép a forgatókönyvsablonok gyűjteményéről.

A követelményeknek megfelelő forgatókönyvsablon megkereséséhez szűrje a listát az alábbi feltételek szerint:

Szűrő Leírás
Eseményindító Szűrjön a forgatókönyv aktiválásával, beleértve az incidenseket, riasztásokat vagy entitásokat. További információ: Támogatott Microsoft Sentinel-eseményindítók.
Logic Apps-összekötők Szűrjön azon külső szolgáltatások alapján, amelyekkel a forgatókönyvek kommunikálnak. Az üzembe helyezési folyamat során minden összekötőnek fel kell vennie egy identitást a külső szolgáltatásban való hitelesítéshez.
Entitások Szűrje azokat az entitástípusokat, amelyeket a forgatókönyv az incidensben várhatóan megtalál.

Például egy forgatókönyv, amely arra utasítja a tűzfalat, hogy tiltsa le az IP-címeket, várhatóan ip-címeket fog találni az incidensben. Ilyen incidenseket a Brute Force támadáselemzési szabálya hozhat létre.
Címkék Szűrjön a forgatókönyvre alkalmazott címkék alapján, a forgatókönyvet egy adott forgatókönyvhöz kapcsolódóan, vagy jelezve a különleges jellemzőket. Például:

- Bővítés – Forgatókönyvek, amelyek információkat lekérnek egy másik szolgáltatásból, hogy kontextust adjanak egy incidenshez. Ezeket az információkat általában az incidens megjegyzéseként adjuk hozzá, vagy elküldjük az SOC-nek.
- Szervizelés – Forgatókönyvek, amelyek műveletet hajtanak végre az érintett entitásokon a potenciális fenyegetés kiküszöbölése érdekében.
- Szinkronizálás – Forgatókönyv, amely segít megőrizni egy külső szolgáltatást, például egy incidenskezelési szolgáltatást, frissítve az incidens tulajdonságaival.
- Értesítés – Forgatókönyvek, amelyek e-mailt vagy üzenetet küldenek.
- A Teams válasza – Forgatókönyvek, amelyek lehetővé teszik az elemzők számára, hogy interaktív kártyák használatával manuális műveletet hajthassanak végre a Teamsből.

Példa:

Képernyőkép a forgatókönyvsablonok listájának szűréséről.

Forgatókönyv testreszabása sablonból

Ez az eljárás bemutatja, hogyan helyezhet üzembe forgatókönyvsablonokat, és megismételhető, hogy több forgatókönyvet hozzon létre ugyanabból a sablonból.

Bár a legtöbb forgatókönyvsablon használható, de azt javasoljuk, hogy szükség szerint módosítsa őket, hogy a forgatókönyv megfeleljen az SOC igényeinek.

  1. A Forgatókönyvsablonok lapon válasszon ki egy forgatókönyvet, amelyből kiindulni szeretne.

  2. Ha a forgatókönyvnek vannak előfeltételei, mindenképpen kövesse az utasításokat. Példa:

    • Egyes forgatókönyvek más forgatókönyveket műveleteknek neveznek. Ezt a második forgatókönyvet beágyazott forgatókönyvnek nevezzük. Ilyen esetben az egyik előfeltétele a beágyazott forgatókönyv üzembe helyezése.

    • Egyes forgatókönyvekhez egyéni Logic Apps-összekötőt vagy Azure-függvényt kell üzembe helyezni. Ilyen esetekben létezik egy Üzembe helyezés az Azure-ban hivatkozás, amely az ÁLTALÁNOS ARM-sablon üzembehelyezési folyamatához vezet.

  3. Válassza a Forgatókönyv létrehozása lehetőséget a forgatókönyv-létrehozási varázsló megnyitásához a kiválasztott sablon alapján. A varázslónak négy lapja van:

    • Alapismeretek: Keresse meg az új forgatókönyvet, amely egy Logic Apps-erőforrás, és adjon neki nevet. Használhatja az alapértelmezett beállítást. Példa:

      Képernyőkép a Forgatókönyv létrehozása varázsló Alapismeretek lapról.

    • Paraméterek: Adja meg a forgatókönyv által használt ügyfélspecifikus értékeket. Ha például a forgatókönyv e-mailt küld az SOC-nak, adja meg a címzett címét. Ha a forgatókönyvben egyéni összekötő van használatban, azt ugyanabban az erőforráscsoportban kell üzembe helyezni, és a rendszer kéri, hogy adja meg a nevét a Paraméterek lapon.

      A Paraméterek lap csak akkor jelenik meg, ha a forgatókönyv paraméterekkel rendelkezik. Példa:

      Képernyőkép a Forgatókönyv létrehozása varázsló Paraméterek lapról.

    • Kapcsolatok: Bontsa ki az egyes műveletet az előző forgatókönyvekhez létrehozott meglévő kapcsolatok megtekintéséhez. Választhat, hogy meglévő kapcsolatokat használ- vagy újat hoz létre. Példa:

      Képernyőkép a Forgatókönyv létrehozása varázsló Kapcsolatok lapról.

      • Új kapcsolat létrehozásához válassza az Új kapcsolat létrehozása az üzembe helyezés után lehetőséget. Ez a beállítás az üzembe helyezési folyamat befejezése után a Logic Apps-tervezőhöz nyitja meg.

      • Az egyéni összekötőket a Paraméterek lapon megadott egyéni összekötő neve sorolja fel.

      • A felügyelt identitással (például Microsoft Sentinel) való csatlakozást támogató összekötők esetében a felügyelt identitás az alapértelmezett kapcsolati módszer.

      További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.

    • Áttekintés és létrehozás: Tekintse meg a folyamat összegzését, és várja meg a bemenet érvényesítését a forgatókönyv létrehozása előtt.

  4. Miután végigkövette a forgatókönyv-létrehozási varázsló lépéseit, a rendszer az új forgatókönyv munkafolyamat-kialakítását végzi el a Logic Apps-tervezőben. Példa:

    Képernyőkép a Logic Apps-tervező forgatókönyvéről.

  5. Minden kiválasztott összekötőhöz hozzon létre egy új kapcsolatot az üzembe helyezés után:

    1. A navigációs menüben válassza ki az API-kapcsolatokat , majd válassza ki a kapcsolat nevét. Példa:

      A P I-kapcsolatok megtekintését bemutató képernyőkép.

    2. Válassza az API-kapcsolat szerkesztése lehetőséget a navigációs menüben.

    3. Töltse ki a szükséges paramétereket, és válassza a Mentés lehetőséget. Példa:

      A P I-kapcsolatok szerkesztését bemutató képernyőkép.

    Másik lehetőségként hozzon létre egy új kapcsolatot a Logic Apps-tervező megfelelő lépéseiből:

    1. A hibajellel megjelenő minden lépésnél jelölje ki a kibontáshoz, majd válassza az Új hozzáadása lehetőséget.

    2. Hitelesítés a vonatkozó utasításoknak megfelelően. További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.

    3. Ha ugyanezzel az összekötővel más lépések is vannak, bontsa ki a mezőiket. A megjelenő kapcsolatok listájában válassza ki az imént létrehozott kapcsolatot.

  6. Ha úgy döntött, hogy felügyelt identitáskapcsolatot használ a Microsoft Sentinelhez vagy más támogatott kapcsolatokhoz, győződjön meg arról, hogy engedélyeket ad az új forgatókönyvnek a Microsoft Sentinel-munkaterületen vagy más összekötők megfelelő célerőforrásaihoz.

  7. Mentse a forgatókönyvet. A forgatókönyv megjelenik az Aktív forgatókönyvek lapon.

A forgatókönyv futtatásához állítson be egy automatikus választ, vagy futtassa manuálisan. További információ: Válasz a fenyegetésekre a Microsoft Sentinel forgatókönyveivel.

Probléma jelentése forgatókönyvsablonban

Ha hibajelentést szeretne küldeni, vagy javítást szeretne kérni egy forgatókönyvhöz, válassza a Forgatókönyv részletei ablaktáblán a Támogatott hivatkozás hivatkozását. Ha ez egy közösség által támogatott forgatókönyv, a hivatkozással megnyithat egy GitHub-problémát. Ellenkező esetben a rendszer a támogató oldalára irányítja a visszajelzés elküldésével kapcsolatos információkat.