Megosztás a következőn keresztül:

Reagálás a veszélyforrás-szereplőkre a Microsoft Sentinelben történő vizsgálat vagy fenyegetéskeresés során

  • Cikk

Ez a cikk bemutatja, hogyan hajthat végre reagálási műveleteket a veszélyforrás-szereplőkkel szemben a helyszínen, incidensvizsgálat vagy fenyegetéskeresés során anélkül, hogy a nyomozásból vagy a vadászatból ki kell váltania a kimutatást vagy a kontextust. Ezt forgatókönyvek segítségével hajthatja végre az új entitás-eseményindító alapján.

Az entitás-eseményindító jelenleg a következő entitástípusokat támogatja:

Fontos

Az entitás-eseményindító jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Forgatókönyvek futtatása az entitás-eseményindítóval

Amikor egy incidenst vizsgál, és megállapítja, hogy egy adott entitás – egy felhasználói fiók, egy gazdagép, egy IP-cím, egy fájl stb. – fenyegetést jelent, azonnal elháríthatja a fenyegetést egy forgatókönyv igény szerinti futtatásával. Hasonlóképpen megteheti, ha gyanús entitásokkal találkozik, miközben proaktív módon keres fenyegetéseket az incidensek környezetén kívül.

  1. Válassza ki azt az entitást, amelyikben találkozik, és válassza ki a forgatókönyv futtatásához szükséges eszközöket az alábbiak szerint:

    • Egy incidens Áttekintés lapján az Entitások widgetben az új incidens részletei lapon (most előzetes verzióban) vagy annak Entitások lapján válasszon ki egy entitást a listából, válassza ki az entitás melletti három elemet, majd az előugró menüBen válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget.

      Képernyőkép az incidens részleteinek oldaláról.

      Képernyőkép az Entitások lapról az incidens részletei lapon.

    • Az incidens Entitások lapján válassza ki az entitást a listából, és válassza a Forgatókönyv futtatása (előzetes verzió) hivatkozást a lista sorának végén.

      Képernyőkép az entitás incidens részletei oldalról való kiválasztásáról forgatókönyv futtatásához.

    • A Vizsgálat gráfban válasszon ki egy entitást, és válassza a Forgatókönyv futtatása (előzetes verzió) gombot az entitásoldali panelen.

      Képernyőkép arról, hogy kiválaszt egy entitást a vizsgálati gráfból egy forgatókönyv futtatásához.

    • Az Entitás viselkedése lapon válasszon ki egy entitást. Az eredményként kapott entitásoldalon válassza a forgatókönyv futtatása (előzetes verzió) gombot a bal oldali panelen.

      Képernyőkép egy entitás kijelöléséről az entitás viselkedési lapján egy forgatókönyv futtatásához.

      Képernyőkép a kijelölt entitáslapról, amelyen forgatókönyvet szeretne futtatni egy entitáson.

  2. Ezek mindegyike megnyitja a Forgatókönyv futtatása entitástípus> panelen.<

    Képernyőkép: Forgatókönyv futtatása az entitáspanelen.

    A panelek bármelyikében két lap jelenik meg: forgatókönyvek és futtatások.

  3. A Forgatókönyvek lapon megjelenik azoknak a forgatókönyveknek a listája, amelyekhez hozzáféréssel rendelkezik, és amelyekhez a Microsoft Sentinel Entity eseményindítót használja az adott entitástípushoz (ebben az esetben a felhasználói fiókokhoz). Válassza ki annak a forgatókönyvnek a Futtatás gombját, amelyet azonnal futtatni szeretne.

    Ha nem látja a listában futtatni kívánt forgatókönyvet, az azt jelenti, hogy a Microsoft Sentinelnek nincs engedélye forgatókönyvek futtatására az adott erőforráscsoportban.

    Az engedélyek megadásához válassza Gépház Gépház > > forgatókönyvek engedélyeinek > konfigurálásához. Az Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget.

    További információ: A Forgatókönyvek futtatásához szükséges további engedélyek a Microsoft Sentinelhez.

  4. Az entitás-trigger forgatókönyveinek tevékenységeit a Futtatások lapon naplózhatja. Megjelenik egy lista, amely felsorolja, hogy a forgatókönyvek minden alkalommal futnak-e a kiválasztott entitáson. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen ebben a listában. Egy adott futtatás kiválasztásával megnyílik a teljes futtatási napló az Azure Logic Appsben.

Következő lépések

Ebben a cikkben megtanulhatta, hogyan futtathat forgatókönyveket manuálisan az entitások fenyegetéseinek elhárítása érdekében, miközben egy incidens kivizsgálása vagy fenyegetéskeresés közben.