Megosztás a következőn keresztül:

Incidensfeladatok létrehozása és végrehajtása a Microsoft Sentinelben forgatókönyvek használatával

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan hozhat létre és hajthat végre forgatókönyvekkel incidensfeladatokat összetett elemzői munkafolyamatok kezeléséhez a Microsoft Sentinelben.

A Feladat hozzáadása művelettel a Forgatókönyvben a Microsoft Sentinel-összekötőben automatikusan hozzáadhat egy feladatot a forgatókönyvet kiváltó incidenshez. A Standard és a Consumption munkafolyamatok is támogatottak.

Tipp.

Az incidensfeladatok nem csak forgatókönyvekkel, hanem automatizálási szabályokkal, valamint manuálisan, ad-hoc jelleggel is létrehozhatók egy incidensen belül.

További információ: Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben.

Előfeltételek

  • A Microsoft Sentinel Válaszadó szerepkör szükséges az incidensek megtekintéséhez és szerkesztéséhez, ami a tevékenységek hozzáadásához, megtekintéséhez és szerkesztéséhez szükséges.

  • Forgatókönyvek létrehozásához és szerkesztéséhez a Logic Apps közreműködői szerepköre szükséges.

További információ: Microsoft Sentinel forgatókönyv előfeltételei.

Feladat hozzáadása és végrehajtása forgatókönyv használatával

Ez a szakasz egy mintaeljárást biztosít egy forgatókönyv-művelet hozzáadásához, amely az alábbiakat hajtja végre:

  • Feladat hozzáadása az incidenshez, egy sérült felhasználó jelszavának alaphelyzetbe állítása
  • Hozzáad egy másik forgatókönyv-műveletet, amely jelet küld Microsoft Entra ID-védelem (AADIP) számára a jelszó tényleges alaphelyzetbe állításához
  • Hozzáad egy végleges forgatókönyv-műveletet a feladat befejezésének megjelöléséhez.

A műveletek hozzáadásához és konfigurálásához hajtsa végre a következő lépéseket:

  1. A Microsoft Sentinel-összekötőben adja hozzá a Feladat hozzáadása incidensművelethez, majd:

    1. Válassza ki az Incidens ARM-azonosítójának dinamikus tartalomelemét az Incidens ARM-azonosító mezőjéhez.

    2. Adja meg a felhasználói jelszó alaphelyzetbe állítását címként.

    3. Adjon meg egy opcionális leírást.

    Példa:

    Képernyőkép a felhasználói jelszó alaphelyzetbe állítására szolgáló feladat hozzáadására szolgáló forgatókönyvműveletekkel.

  2. Adja hozzá az Entitások – Fiókok lekérése (előzetes verzió) műveletet. Adja hozzá az Entitások dinamikus tartalomelemet (a Microsoft Sentinel incidensséma alapján) az Entitások listamezőhöz . Példa:

    Képernyőkép a forgatókönyv műveleteiről a fiók entitásainak az incidensben való lekéréséhez.

  3. Adjon hozzá egy Minden ciklushoz a Control Actions könyvtárból. Adja hozzá a Fiókok dinamikus tartalomelemet az Entitások – Fiókok lekérése kimenethez az Előző lépések mező kimenetének kiválasztása mezőhöz. Példa:

    Képernyőkép arról, hogyan adhat hozzá minden egyes ciklusműveletet egy forgatókönyvhöz, hogy műveleteket hajthasson végre az egyes felderített fiókokon.

  4. Az egyes ciklusok esetében válassza a Művelet hozzáadása lehetőséget. Ekkor:

    1. Keresse meg és válassza ki a Microsoft Entra ID-védelem összekötőt
    2. Válassza a Kockázatos felhasználó megerősítése sérültként (előzetes verzió) műveletet.
    3. Adja hozzá a Microsoft Entra fiókazonosító dinamikus tartalomelemét a userIds Item – 1 mezőhöz.

    Ez a művelet mozgási folyamatokat indít el Microsoft Entra ID-védelem a felhasználó jelszavának alaphelyzetbe állításához.

    Képernyőkép az entitások AADIP-be való küldéséről a biztonság megerősítéséhez.

    Feljegyzés

    Az Accounts Microsoft Entra felhasználói azonosító mező az egyik módja annak, hogy azonosítsa a felhasználót az AADIP-ben. Lehet, hogy nem feltétlenül ez a legjobb módszer minden forgatókönyvben, de példaként ide is kerül.

    Segítségért tekintse meg a sérült felhasználókat kezelő forgatókönyveket vagy a Microsoft Entra ID-védelem dokumentációját.

  5. Adja hozzá a Tevékenység megjelölése befejezettként műveletet a Microsoft Sentinel-összekötőből, és adja hozzá az Incidens tevékenységazonosító dinamikus tartalomelemét a Tevékenység ARM-azonosító mezőjéhez. Példa:

    Képernyőkép arról, hogyan adhat hozzá forgatókönyv-műveletet egy incidensfeladat befejezésének megjelöléséhez.

Feladat feltételes hozzáadása forgatókönyv használatával

Ez a szakasz egy példaeljárást biztosít egy forgatókönyv-művelet hozzáadásához, amely egy incidensben megjelenő IP-címet keres.

  • Ha a kutatás eredményei szerint az IP-cím rosszindulatú, a forgatókönyv létrehoz egy feladatot az elemző számára, hogy letiltsa a felhasználót az IP-cím használatával.
  • Ha az IP-cím nem ismert rosszindulatú cím, a forgatókönyv egy másik feladatot hoz létre, hogy az elemző kapcsolatba lépjen a felhasználóval a tevékenység ellenőrzéséhez.

A műveletek hozzáadásához és konfigurálásához hajtsa végre a következő lépéseket:

  1. A Microsoft Sentinel-összekötőben adja hozzá az Entitások – IP-címek lekérése műveletet. Adja hozzá az Entitások dinamikus tartalomelemet (a Microsoft Sentinel incidensséma alapján) az Entitások listamezőhöz . Példa:

    Képernyőkép az incidens IP-címentitásainak lekéréséhez szükséges forgatókönyvműveletekkel.

  2. Adjon hozzá egy Minden ciklushoz a Control Actions könyvtárból. Adja hozzá az IP-címek dinamikus tartalomelemét az Entitások – Ip-címek lekérése kimenethez a Select an output from previous steps mezőhöz. Példa:

    Képernyőkép arról, hogyan adhat hozzá minden egyes ciklushoz tartozó műveletet egy forgatókönyvhöz, hogy műveletet hajthasson végre az egyes felderített IP-címeken.

  3. Az egyes ciklusok esetében válassza a Művelet hozzáadása lehetőséget, majd a következőt:

    1. Keresse meg és válassza ki a Vírusösszeg összekötőt.
    2. Válassza az IP-jelentés lekérése (előzetes verzió) műveletet.
    3. Adja hozzá az IP-címek dinamikus tartalomelemét az Entitások – Ip-címek lekérése kimenetből az IP-cím mezőbe.

    Példa:

    Képernyőkép az IP-címjelentés összesítésére irányuló kérelem küldéséről.

  4. Az egyes ciklusok esetében válassza a Művelet hozzáadása lehetőséget, majd a következőt:

    1. Feltétel hozzáadása a Vezérlőműveletek tárból.
    2. Adja hozzá az Utolsó elemzési statisztikák rosszindulatú dinamikus tartalomelemet az IP-jelentés kimenetének lekérése parancsból . Előfordulhat, hogy a kereséshez a Továbbiak megtekintése lehetőséget kell választania.
    3. Válassza ki az operátornál nagyobb értéket, és adja meg 0 az értéket.

    Ez a feltétel a következő kérdést kérdezi fel: "A Vírus teljes IP-jelentése rendelkezik eredménnyel?" Például:

    Képernyőkép, amely bemutatja, hogyan állíthat be igaz-hamis állapotot egy forgatókönyvben.

  5. Az Igaz beállításon belül válassza a Művelet hozzáadása lehetőséget, majd a következőt:

    1. Válassza a Feladat hozzáadása incidenshez műveletet a Microsoft Sentinel-összekötőből .
    2. Válassza ki az Incidens ARM-azonosítójának dinamikus tartalomelemét az Incidens ARM-azonosító mezőjéhez.
    3. Adja meg a Felhasználó megjelölése címként sérültként való megjelölését.
    4. Adjon meg egy opcionális leírást.

    Példa:

    Képernyőkép a forgatókönyv műveleteiről, amelyek egy felhasználót sérültként megjelölő feladat hozzáadását mutatják be.

  6. A Hamis beállításon belül válassza a Művelet hozzáadása lehetőséget, majd a következőt:

    1. Válassza a Feladat hozzáadása incidenshez műveletet a Microsoft Sentinel-összekötőből .
    2. Válassza ki az Incidens ARM-azonosítójának dinamikus tartalomelemét az Incidens ARM-azonosító mezőjéhez.
    3. Ha meg szeretné erősíteni a tevékenységet címként, lépjen kapcsolatba a felhasználóval.
    4. Adjon meg egy opcionális leírást.

    Példa:

    Képernyőkép a forgatókönyvműveletekről, amelyek a felhasználó megerősítését célzó tevékenység hozzáadását mutatják be.

Kapcsolódó tartalom

További információk: