Incidensfeladatok létrehozása és végrehajtása a Microsoft Sentinelben forgatókönyvek használatával
Ez a cikk bemutatja, hogyan hozhat létre és hajthat végre forgatókönyvekkel incidensfeladatokat összetett elemzői munkafolyamatok kezeléséhez a Microsoft Sentinelben.
A Feladat hozzáadása művelettel a Forgatókönyvben a Microsoft Sentinel-összekötőben automatikusan hozzáadhat egy feladatot a forgatókönyvet kiváltó incidenshez. A Standard és a Consumption munkafolyamatok is támogatottak.
Tipp.
Az incidensfeladatok nem csak forgatókönyvekkel, hanem automatizálási szabályokkal, valamint manuálisan, ad-hoc jelleggel is létrehozhatók egy incidensen belül.
További információ: Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben.
Előfeltételek
A Microsoft Sentinel Válaszadó szerepkör szükséges az incidensek megtekintéséhez és szerkesztéséhez, ami a tevékenységek hozzáadásához, megtekintéséhez és szerkesztéséhez szükséges.
Forgatókönyvek létrehozásához és szerkesztéséhez a Logic Apps közreműködői szerepköre szükséges.
További információ: Microsoft Sentinel forgatókönyv előfeltételei.
Feladat hozzáadása és végrehajtása forgatókönyv használatával
Ez a szakasz egy mintaeljárást biztosít egy forgatókönyv-művelet hozzáadásához, amely az alábbiakat hajtja végre:
- Feladat hozzáadása az incidenshez, egy sérült felhasználó jelszavának alaphelyzetbe állítása
- Hozzáad egy másik forgatókönyv-műveletet, amely jelet küld Microsoft Entra ID-védelem (AADIP) számára a jelszó tényleges alaphelyzetbe állításához
- Hozzáad egy végleges forgatókönyv-műveletet a feladat befejezésének megjelöléséhez.
A műveletek hozzáadásához és konfigurálásához hajtsa végre a következő lépéseket:
A Microsoft Sentinel-összekötőben adja hozzá a Feladat hozzáadása incidensművelethez, majd:
Válassza ki az Incidens ARM-azonosítójának dinamikus tartalomelemét az Incidens ARM-azonosító mezőjéhez.
Adja meg a felhasználói jelszó alaphelyzetbe állítását címként.
Adjon meg egy opcionális leírást.
Példa:
Adja hozzá az Entitások – Fiókok lekérése (előzetes verzió) műveletet. Adja hozzá az Entitások dinamikus tartalomelemet (a Microsoft Sentinel incidensséma alapján) az Entitások listamezőhöz . Példa:
Adjon hozzá egy Minden ciklushoz a Control Actions könyvtárból. Adja hozzá a Fiókok dinamikus tartalomelemet az Entitások – Fiókok lekérése kimenethez az Előző lépések mező kimenetének kiválasztása mezőhöz. Példa:
Az egyes ciklusok esetében válassza a Művelet hozzáadása lehetőséget. Ekkor:
- Keresse meg és válassza ki a Microsoft Entra ID-védelem összekötőt
- Válassza a Kockázatos felhasználó megerősítése sérültként (előzetes verzió) műveletet.
- Adja hozzá a Microsoft Entra fiókazonosító dinamikus tartalomelemét a userIds Item – 1 mezőhöz.
Ez a művelet mozgási folyamatokat indít el Microsoft Entra ID-védelem a felhasználó jelszavának alaphelyzetbe állításához.
Feljegyzés
Az Accounts Microsoft Entra felhasználói azonosító mező az egyik módja annak, hogy azonosítsa a felhasználót az AADIP-ben. Lehet, hogy nem feltétlenül ez a legjobb módszer minden forgatókönyvben, de példaként ide is kerül.
Segítségért tekintse meg a sérült felhasználókat kezelő forgatókönyveket vagy a Microsoft Entra ID-védelem dokumentációját.
Adja hozzá a Tevékenység megjelölése befejezettként műveletet a Microsoft Sentinel-összekötőből, és adja hozzá az Incidens tevékenységazonosító dinamikus tartalomelemét a Tevékenység ARM-azonosító mezőjéhez. Példa:
Feladat feltételes hozzáadása forgatókönyv használatával
Ez a szakasz egy példaeljárást biztosít egy forgatókönyv-művelet hozzáadásához, amely egy incidensben megjelenő IP-címet keres.
- Ha a kutatás eredményei szerint az IP-cím rosszindulatú, a forgatókönyv létrehoz egy feladatot az elemző számára, hogy letiltsa a felhasználót az IP-cím használatával.
- Ha az IP-cím nem ismert rosszindulatú cím, a forgatókönyv egy másik feladatot hoz létre, hogy az elemző kapcsolatba lépjen a felhasználóval a tevékenység ellenőrzéséhez.
A műveletek hozzáadásához és konfigurálásához hajtsa végre a következő lépéseket:
A Microsoft Sentinel-összekötőben adja hozzá az Entitások – IP-címek lekérése műveletet. Adja hozzá az Entitások dinamikus tartalomelemet (a Microsoft Sentinel incidensséma alapján) az Entitások listamezőhöz . Példa:
Adjon hozzá egy Minden ciklushoz a Control Actions könyvtárból. Adja hozzá az IP-címek dinamikus tartalomelemét az Entitások – Ip-címek lekérése kimenethez a Select an output from previous steps mezőhöz. Példa:
Az egyes ciklusok esetében válassza a Művelet hozzáadása lehetőséget, majd a következőt:
- Keresse meg és válassza ki a Vírusösszeg összekötőt.
- Válassza az IP-jelentés lekérése (előzetes verzió) műveletet.
- Adja hozzá az IP-címek dinamikus tartalomelemét az Entitások – Ip-címek lekérése kimenetből az IP-cím mezőbe.
Példa:
Az egyes ciklusok esetében válassza a Művelet hozzáadása lehetőséget, majd a következőt:
- Feltétel hozzáadása a Vezérlőműveletek tárból.
- Adja hozzá az Utolsó elemzési statisztikák rosszindulatú dinamikus tartalomelemet az IP-jelentés kimenetének lekérése parancsból . Előfordulhat, hogy a kereséshez a Továbbiak megtekintése lehetőséget kell választania.
- Válassza ki az operátornál nagyobb értéket, és adja meg
0
az értéket.
Ez a feltétel a következő kérdést kérdezi fel: "A Vírus teljes IP-jelentése rendelkezik eredménnyel?" Például:
Az Igaz beállításon belül válassza a Művelet hozzáadása lehetőséget, majd a következőt:
- Válassza a Feladat hozzáadása incidenshez műveletet a Microsoft Sentinel-összekötőből .
- Válassza ki az Incidens ARM-azonosítójának dinamikus tartalomelemét az Incidens ARM-azonosító mezőjéhez.
- Adja meg a Felhasználó megjelölése címként sérültként való megjelölését.
- Adjon meg egy opcionális leírást.
Példa:
A Hamis beállításon belül válassza a Művelet hozzáadása lehetőséget, majd a következőt:
- Válassza a Feladat hozzáadása incidenshez műveletet a Microsoft Sentinel-összekötőből .
- Válassza ki az Incidens ARM-azonosítójának dinamikus tartalomelemét az Incidens ARM-azonosító mezőjéhez.
- Ha meg szeretné erősíteni a tevékenységet címként, lépjen kapcsolatba a felhasználóval.
- Adjon meg egy opcionális leírást.
Példa:
Kapcsolódó tartalom
További információk: