Oktatóanyag: Fenyegetések elhárítása forgatókönyvek és automatizálási szabályok használatával a Microsoft Sentinelben

Ez az oktatóanyag bemutatja, hogyan használhat forgatókönyveket automatizálási szabályokkal együtt az incidensek elhárításának automatizálására és a Microsoft Sentinel által észlelt biztonsági fenyegetések elhárítására. Az oktatóanyag elvégzése után a következőket végezheti el:

  • Automatizálási szabály létrehozása
  • Forgatókönyv létrehozása
  • Műveletek hozzáadása forgatókönyvhöz
  • Forgatókönyv csatolása automatizálási szabályhoz vagy elemzési szabályhoz a fenyegetéskezelés automatizálásához

Megjegyzés:

Ez az oktatóanyag alapvető útmutatást nyújt a legfontosabb ügyfélfeladatokhoz: automatizálás létrehozása incidensek osztályozásához. További információ: Útmutató szakaszunk, például a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben és a Triggerek és műveletek használata a Microsoft Sentinel-forgatókönyvekben.

Mik azok az automatizálási szabályok és forgatókönyvek?

Az automatizálási szabályok segítenek az incidensek osztályozásában a Microsoft Sentinelben. Segítségével automatikusan hozzárendelheti az incidenseket a megfelelő személyzethez, lezárhatja a zajos incidenseket vagy az ismert téves pozitívumokat, módosíthatja azok súlyosságát, és címkéket adhat hozzá. Ez az a mechanizmus, amellyel forgatókönyveket futtathat incidensekre vagy riasztásokra válaszul.

A forgatókönyvek olyan eljárások gyűjteményei, amelyeket a Microsoft Sentinel egy teljes incidensre, egy egyéni riasztásra vagy egy adott entitásra válaszul futtathat. A forgatókönyvek segíthetnek a válasz automatizálásában és vezénylésében, és automatikusan futtathatók adott riasztások létrehozásakor vagy incidensek létrehozásakor vagy frissítésekor egy automatizálási szabályhoz csatolva. Manuálisan is futtatható igény szerint adott incidenseken, riasztásokon vagy entitásokon.

A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, ami azt jelenti, hogy a Logic Apps minden erejét, testreszabhatóságát és beépített sablonjait megkapja. Minden forgatókönyv ahhoz az előfizetéshez jön létre, amelyhez tartozik, de a Forgatókönyvek megjelenítése megjeleníti a kiválasztott előfizetésekben elérhető összes forgatókönyvet.

Megjegyzés:

Mivel a forgatókönyvek az Azure Logic Appst használják, további díjak is vonatkozhatnak. További részletekért látogasson el az Azure Logic Apps díjszabási oldalára.

Ha például meg szeretné akadályozni, hogy a potenciálisan sérült felhasználók mozogjanak a hálózaton, és adatokat lopjanak el, automatikus, sokoldalú választ hozhat létre a feltört felhasználókat észlelő szabályok által generált incidensekre. Először hozzon létre egy forgatókönyvet, amely a következő műveleteket hajtja végre:

  1. Amikor a forgatókönyvet egy incidenst átadó automatizálási szabály hívja meg, a forgatókönyv megnyit egy jegyet a ServiceNow-ban vagy bármely más informatikai jegykezelő rendszerben.

  2. Üzenetet küld a Microsoft Teams vagy a Slack biztonsági üzemeltetési csatornájának, hogy a biztonsági elemzők értesüljenek az incidensről.

  3. Emellett egy e-mailben elküldi az incidens összes információját a felsőbb szintű hálózati rendszergazdának és biztonsági rendszergazdának. Az e-mail-üzenet tartalmazza a Felhasználó letiltása és mellőzése gombokat.

  4. A forgatókönyv megvárja, amíg választ kap a rendszergazdáktól, majd folytatja a következő lépéseket.

  5. Ha a rendszergazdák a Letiltás lehetőséget választják, egy parancsot küld a Microsoft Entra ID-nak a felhasználó letiltásához, egyet pedig a tűzfalnak az IP-cím letiltásához.

  6. Ha a rendszergazdák a Mellőzés lehetőséget választják, a forgatókönyv bezárja az incidenst a Microsoft Sentinelben, a jegyet pedig a ServiceNow-ban.

A forgatókönyv aktiválásához létre fog hozni egy automatizálási szabályt, amely akkor fut, amikor ezek az incidensek létrejönnek. Ez a szabály a következő lépéseket hajtja végre:

  1. A szabály aktívra módosítja az incidens állapotát.

  2. Hozzárendeli az incidenst az ilyen típusú incidens kezelésével megbízott elemzőhöz.

  3. Hozzáadja a "sérült felhasználó" címkét.

  4. Végül meghívja az imént létrehozott forgatókönyvet. (Ehhez a lépéshez speciális engedélyek szükségesek.)

A forgatókönyvek automatikusan futtathatók incidensekre reagálva, olyan automatizálási szabályok létrehozásával, amelyek a forgatókönyveket műveletként hívják, a fenti példához hasonlóan. A riasztásokra válaszul automatikusan is futtathatók, ha az elemzési szabályt arra utasítja, hogy a riasztás létrehozásakor automatikusan futtasson egy vagy több forgatókönyvet.

Azt is választhatja, hogy manuálisan, igény szerint futtat egy forgatókönyvet a kiválasztott riasztásra adott válaszként.

A Fenyegetéskezelés automatizálási szabályok és forgatókönyvek használatával történő automatizálásának teljesebb és részletesebb bemutatása a Microsoft Sentinelben.

Forgatókönyv létrehozása

Az alábbi lépéseket követve hozzon létre egy új forgatókönyvet a Microsoft Sentinelben:

Screenshot of the menu selection for adding a new playbook in the Automation screen.

  1. A Microsoft Sentinel navigációs menüjében válassza az Automation lehetőséget.

  2. A felső menüben válassza a Létrehozás lehetőséget.

  3. A Létrehozás területen megjelenő legördülő menüben négy lehetőség közül választhat forgatókönyvek létrehozásához:

    1. Ha standard forgatókönyvet hoz létre (az új típus – lásd a logikai alkalmazástípusokat), válassza az Üres forgatókönyv lehetőséget, majd kövesse az alábbi Logic Apps Standard lapon található lépéseket.

    2. Ha használati forgatókönyvet (az eredeti, klasszikus típust) hoz létre, akkor attól függően, hogy melyik eseményindítót szeretné használni, válassza ki az incidensindítóval rendelkező forgatókönyvet, a riasztási eseményindítóval rendelkező forgatókönyvet vagy az entitás-eseményindítóval rendelkező forgatókönyvet. Ezután folytassa az alábbi Logic Apps-használat lapon található lépésekkel.

      A használni kívánt eseményindítóról további információt az Eseményindítók és műveletek használata a Microsoft Sentinel forgatókönyveiben című témakörben talál.

A forgatókönyv és a logikai alkalmazás előkészítése

Függetlenül attól, hogy melyik eseményindítóval hozta létre a forgatókönyvet az előző lépésben, megjelenik a Forgatókönyv létrehozása varázsló.

Create a logic app

  1. Az Alapismeretek lapon:

    1. Válassza ki a kívánt előfizetést, erőforráscsoportot és régiót a megfelelő legördülő listákból. A logikai alkalmazás adatai a kiválasztott régióban lesznek tárolva.

    2. Írja be a forgatókönyv nevét a forgatókönyv neve alatt.

    3. Ha diagnosztikai célból szeretné monitorozni a forgatókönyv tevékenységeit, jelölje be a Diagnosztikai naplók engedélyezése jelölőnégyzetet a Log Analyticsben, és válassza ki a Log Analytics-munkaterületeta legördülő listából.

    4. Ha a forgatókönyveknek hozzáférésre van szükségük egy Azure-beli virtuális hálózaton belüli vagy ahhoz kapcsolódó védett erőforrásokhoz, előfordulhat, hogy integrációs szolgáltatási környezetet (I Standard kiadás) kell használnia. Ha igen, jelölje be a Társítás az integrációs szolgáltatás környezetével jelölőnégyzetet, és válassza ki a kívánt I Standard kiadás a legördülő listából.

    5. Válassza a Következő: Csatlakozás ions >lehetőséget.

  2. A Csatlakozás ions lapon:

    Ideális esetben hagyja el ezt a szakaszt, és konfigurálja a Logic Appst, hogy felügyelt identitással csatlakozzon a Microsoft Sentinelhez. További információ erről és más hitelesítési lehetőségekről.

    Válassza a Tovább elemet : Áttekintés és létrehozás >.

  3. A Véleményezés és létrehozás lapon:

    Tekintse át az elvégzett konfigurációs beállításokat, és válassza a Létrehozás lehetőséget, és folytassa a tervezői munkát.

  4. A forgatókönyv létrehozása és üzembe helyezése néhány percet vesz igénybe, majd megjelenik a "Az üzembe helyezés befejeződött" üzenet, és az új forgatókönyv logikai alkalmazásának Tervező. Az elején kiválasztott eseményindító automatikusan hozzá lesz adva első lépésként, és onnan folytathatja a munkafolyamat megtervezését.

    Screenshot of logic app designer screen with opening trigger.

    Ha a Microsoft Sentinel entitás (előzetes verzió) eseményindítóját választotta, válassza ki azt az entitástípust, amelyet a forgatókönyv bemenetként szeretne kapni.

    Screenshot of drop-down list of entity types to choose from to set playbook schema.

Műveletek hozzáadása

Most már meghatározhatja, mi történik, ha meghívja a forgatókönyvet. Az Új lépés kiválasztásával műveleteket, logikai feltételeket, hurkokat vagy kapcsoló-esetfeltételeket adhat hozzá. Ez a kijelölés egy új keretet nyit meg a tervezőben, ahol kiválaszthat egy rendszert vagy alkalmazást, amellyel kommunikálhat, vagy beállíthat egy feltételt. Adja meg a rendszer vagy alkalmazás nevét a keret tetején található keresősávban, majd válasszon a rendelkezésre álló eredmények közül.

A lépések mindegyikében egy mezőre kattintva megjelenik egy két menüből álló panel: dinamikus tartalom és kifejezés. A Dinamikus tartalom menüben hivatkozásokat adhat a forgatókönyvnek átadott riasztás vagy incidens attribútumaihoz, beleértve a riasztásban vagy incidensben szereplő összes hozzárendelt entitás értékeit és attribútumait. A Kifejezés menüben egy nagy függvénytár közül választhat, hogy további logikát adjon hozzá a lépésekhez.

Ez a képernyőkép azokat a műveleteket és feltételeket mutatja be, amelyeket a dokumentum elején, a példában ismertetett forgatókönyv létrehozásakor adna hozzá. További információ a műveletek forgatókönyvekhez való hozzáadásáról.

Screenshot showing the Logic App designer with an incident trigger workflow.

Az eseményindítók és műveletek használata a Microsoft Sentinel-forgatókönyvekben a forgatókönyvekhez különböző célokra felvehető műveletek részletes leírását tartalmazza.

Jegyezze fel különösen ezt a fontos információt a forgatókönyvekről az entitás eseményindítóján alapuló, nem incidensalapú környezetben.

Veszélyforrásokra adott válaszok automatizálása

Létrehozta a forgatókönyvet, meghatározta az eseményindítót, beállította a feltételeket, és előírta a végrehajtandó műveleteket és az általa előállított kimeneteket. Most meg kell határoznia azokat a feltételeket, amelyek alapján futni fog, és be kell állítania azt az automatizálási mechanizmust, amely a feltételek teljesülésekor futtatja azt.

Reagálás incidensekre és riasztásokra

Ha forgatókönyvet szeretne használni arra, hogy automatikusan reagáljon egy teljes incidensre vagy egy egyéni riasztásra, hozzon létre egy automatizálási szabályt , amely az incidens létrehozásakor vagy frissítésekor, illetve a riasztás létrehozásakor fog futni. Ez az automatizálási szabály tartalmaz egy lépést, amely meghívja a használni kívánt forgatókönyvet.

Automatizálási szabály létrehozása:

  1. A Microsoft Sentinel navigációs menüjének Automation paneljén válassza a Létrehozás lehetőséget a felső menüből, majd az Automation-szabályt.

    Screenshot showing how to add a new automation rule.

  2. Megnyílik az Új automatizálási szabály létrehozása panel. Adja meg a szabály nevét.

    Screenshot showing the automation rule creation wizard.

  3. Eseményindító: Válassza ki a megfelelő eseményindítót annak a körülménynek megfelelően, amely miatt az automatizálási szabályt hozza létre – incidens létrehozásakor, incidens frissítésekor vagy riasztás létrehozásakor.

  4. Feltételek:

    1. Az incidenseknek két lehetséges forrása lehet: a Microsoft Sentinelben hozhatók létre, és a Microsoft Defender XDR-ből is importálhatók és szinkronizálhatók.

      Ha kiválasztotta az egyik incidens-eseményindítót, és azt szeretné, hogy az automatizálási szabály csak a Microsoft Sentinelben vagy a Microsoft Defender XDR-ben forrásként kapott incidensekre legyen érvényes, adja meg a forrást az If Incident provider equals feltételben. (Ez a feltétel csak akkor jelenik meg, ha egy incidensindító van kiválasztva.)

    2. Ha azt szeretné, hogy az automatizálási szabály csak bizonyos elemzési szabályokra érvényes legyen, az If Analytics-szabály nevének módosításával adja meg, hogy melyeket tartalmazza a feltétel.

    3. Adjon hozzá minden egyéb feltételt, amely meghatározza, hogy ez az automatizálási szabály futni fog-e. Válassza a +Feltételek vagy feltételcsoportok hozzáadása és kiválasztása lehetőséget a legördülő listában. A feltételek listáját a riasztás részletei és az entitásazonosító mezői töltik ki.

  5. Műveletek:

    1. Mivel ezt az automatizálási szabályt használja forgatókönyv futtatásához, válassza a Forgatókönyv futtatása műveletet a legördülő listából. Ezután a rendszer kérni fogja, hogy válasszon egy második legördülő listából, amely megjeleníti az elérhető forgatókönyveket. Az automatizálási szabály csak azokat a forgatókönyveket futtathatja, amelyek a szabályban meghatározott eseményindítóval (incidenssel vagy riasztással) kezdődnek, így csak ezek a forgatókönyvek jelennek meg a listában.

      Fontos

      A Microsoft Sentinelnek explicit engedélyekkel kell rendelkeznie a forgatókönyvek manuális vagy automatizálási szabályokból történő futtatásához. Ha egy forgatókönyv "szürkén" jelenik meg a legördülő listában, az azt jelenti, hogy a Sentinel nem rendelkezik engedéllyel a forgatókönyv erőforráscsoportjához. Kattintson a Forgatókönyv-engedélyek kezelése hivatkozásra engedélyek hozzárendeléséhez.

      A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és kattintson az Alkalmaz gombra.

      Screenshot that shows the actions section with run playbook selected.

      • Önnek magának kell tulajdonosi engedélyekkel rendelkeznie minden olyan erőforráscsoporthoz, amelyhez a Microsoft Sentinel-engedélyeket meg szeretné adni, és a logikai alkalmazás közreműködői szerepkörével kell rendelkeznie minden olyan erőforráscsoportban, amely forgatókönyveket tartalmaz.

      • Több-bérlős üzembe helyezés esetén, ha a futtatni kívánt forgatókönyv egy másik bérlőben található, engedélyt kell adnia a Microsoft Sentinelnek a forgatókönyv futtatására a forgatókönyv bérlőjében.

        1. A forgatókönyvek bérlőjének Microsoft Sentinel navigációs menüjében válassza a Gépház.
        2. A Gépház panelen válassza a Gépház lapot, majd a Forgatókönyv engedélyeinek kibontóját.
        3. Az Engedélyek konfigurálása gombra kattintva nyissa meg a fent említett Engedélyek kezelése panelt, és folytassa az ott leírtak szerint.
      • Ha MSSP-forgatókönyv esetén forgatókönyvet szeretne futtatni egy ügyfélbérlelőben egy, a szolgáltató bérlőjébe bejelentkezve létrehozott automatizálási szabályból, akkor engedélyt kell adnia a Microsoft Sentinelnek arra, hogy mindkét bérlőben futtathassa a forgatókönyvet. Az ügyfélbérlében kövesse a több-bérlős üzembe helyezésre vonatkozó utasításokat az előző felsorolási pontban. A szolgáltatói bérlőben hozzá kell adnia az Azure Security Elemzések alkalmazást az Azure Lighthouse előkészítési sablonjához:

        1. Az Azure Portalon lépjen a Microsoft Entra-azonosítóra.
        2. Kattintson a Vállalati alkalmazások elemre.
        3. Válassza ki az alkalmazástípust, és szűrjön a Microsoft-alkalmazásokra.
        4. A keresőmezőbe írja be az Azure Security Elemzések.
        5. Másolja ki az Objektumazonosító mezőt. Ezt a további engedélyt hozzá kell adnia a meglévő Azure Lighthouse-delegáláshoz.

        A Microsoft Sentinel Automation közreműködői szerepköre rögzített GUID azonosítóval rendelkezik, amely a f4c81013-99ee-4d62-a7ee-b3f1f648599akövetkező: . Egy Azure Lighthouse-mintaengedélyezés így nézne ki a paramétersablonban:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        
    2. Adjon hozzá minden más műveletet, amelyet ehhez a szabályhoz szeretne. A műveletek végrehajtásának sorrendjét úgy módosíthatja, hogy a műveletek jobb oldalán a felfelé vagy lefelé mutató nyilakat választja.

  6. Állítson be lejárati dátumot az automatizálási szabályhoz, ha azt szeretné, hogy legyen.

  7. Adjon meg egy számot a Sorrend csoportban annak meghatározásához, hogy az automatizálási szabályok sorozatában a szabály hol fog futni.

  8. Kattintson az Apply (Alkalmaz) gombra . Elkészült!

Az automatizálási szabályok létrehozásának egyéb módjai .

Válasz a riasztásokra – örökölt módszer

A forgatókönyvek riasztásokra való automatikus futtatásának másik módja, ha egy elemzési szabályból hívja meg őket. Amikor a szabály riasztást hoz létre, a forgatókönyv lefut.

Ez a módszer 2026 márciusától megszűnik.

2023 júniusától kezdődően már nem adhat hozzá forgatókönyveket az elemzési szabályokhoz. A meglévő forgatókönyveket azonban továbbra is láthatja az elemzési szabályokból, és ezek a forgatókönyvek 2026 márciusáig fognak futni. Javasoljuk, hogy olyan automatizálási szabályokat hozzon létre, amelyek ezeket a forgatókönyveket hívják meg korábban .

Forgatókönyvek igény szerinti futtatása

Igény szerint manuálisan is futtathat forgatókönyvet, akár riasztásokra, incidensekre (előzetes verzióban) vagy entitásokra (szintén előzetes verzióban). Ez olyan helyzetekben lehet hasznos, amikor több emberi bemenetre van szükség a vezénylési és válaszfolyamatok szabályozásához.

Forgatókönyv manuális futtatása riasztáson

  1. Az Incidensek lapon válasszon ki egy incidenst.

  2. Válassza a Teljes adatok megtekintése lehetőséget az incidens részletei panel alján.

  3. Az incidens részletei oldalon, az Incidens idővonala widgetben válassza ki azt a riasztást, amelyen futtatni szeretné a forgatókönyvet. Válassza ki a riasztás sorának végén található három elemet, és válassza a Forgatókönyv futtatása lehetőséget az előugró menüből.

    Screenshot of running a playbook on an alert on-demand.

  4. Megnyílik a Riasztás forgatókönyvek panel. Megjelenik a Microsoft Sentinel Alert Logic Apps eseményindítóval konfigurált összes forgatókönyv listája, amelyhez hozzáféréssel rendelkezik.

  5. Válassza a Futtatás lehetőséget egy adott forgatókönyv sorában az azonnali futtatáshoz.

A forgatókönyvek futtatási előzményeit egy riasztásban a Riasztás forgatókönyvek panel Futtatások lapjának kiválasztásával tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztásával megnyílik a teljes futtatási napló a Logic Appsben.

Forgatókönyv manuális futtatása incidensen (előzetes verzió)

  1. Az Incidensek lapon válasszon ki egy incidenst.

  2. A jobb oldalon megjelenő incidens részletei panelen válassza az Actions > Run forgatókönyv (előzetes verzió) lehetőséget.
    (Ha kiválasztja az incidens vonalának végén található három elemet a rácson, vagy a jobb gombbal az incidensre kattint, ugyanaz a lista jelenik meg, mint a Művelet gomb.)

  3. A forgatókönyv futtatása az incidenspanelen a jobb oldalon nyílik meg. Megjelenik a Microsoft Sentinel Incident Logic Apps eseményindítóval konfigurált összes forgatókönyv listája, amelyhez hozzáféréssel rendelkezik.

    Megjegyzés:

    Ha nem látja a listában futtatni kívánt forgatókönyvet, az azt jelenti, hogy a Microsoft Sentinelnek nincs engedélye forgatókönyvek futtatására az adott erőforráscsoportban (lásd a fenti megjegyzést). Az engedélyek megadásához válassza a főmenü Gépház elemét, válassza a Gépház lapot, bontsa ki a Forgatókönyv engedélyei bővítőt, és válassza az Engedélyek konfigurálása lehetőséget. A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget.

  4. Válassza a Futtatás lehetőséget egy adott forgatókönyv sorában az azonnali futtatáshoz.

Az incidens forgatókönyveinek futtatási előzményeit a Forgatókönyv futtatása az incidens panelEn a Futtatás lapon található Futtatások fülre kattintva tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztásával megnyílik a teljes futtatási napló a Logic Appsben.

Forgatókönyv manuális futtatása entitáson (előzetes verzió)

  1. Válasszon ki egy entitást az alábbi módok egyikén, az eredeti környezettől függően:

    Ha egy incidens részleteit tartalmazó oldalon (új verzió) található:

    1. Az Áttekintés lap Entitások vezérlőjében keressen egy entitást a listából (ne jelölje ki).
    2. Válassza ki az entitástól jobbra található három elemet.
    3. Válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget az előugró menüben, és folytassa az alábbi 2. lépéssel.
      Ha kiválasztotta az entitást, és beírta az Incidens részletei lap Entitások lapját , folytassa az alábbi sortal.
    4. Entitás keresése a listából (ne jelölje ki).
    5. Válassza ki az entitástól jobbra található három elemet.
    6. Válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget az előugró menüben.
      Ha kiválasztotta az entitást, és megadta annak entitáslapját, válassza a forgatókönyv futtatása (előzetes verzió) gombot a bal oldali panelen.

    Ha egy incidens részleteit tartalmazó lapon (örökölt verzió) található:

    1. Válassza az incidens Entitások lapját.
    2. Entitás keresése a listából (ne jelölje ki).
    3. Válassza a Forgatókönyv futtatása (előzetes verzió) hivatkozást a lista sorának végén.
      Ha kiválasztotta az entitást, és megadta annak entitáslapját, válassza a forgatókönyv futtatása (előzetes verzió) gombot a bal oldali panelen.

    Ha a Vizsgálati gráfban van:

    1. Jelöljön ki egy entitást a gráfban.
    2. Válassza a Forgatókönyv futtatása (előzetes verzió) gombot az entitásoldali panelen.
      Egyes entitástípusok esetében előfordulhat, hogy ki kell választania az Entitásműveletek gombot, és az eredményként kapott menüben válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget.

    Ha proaktívan keres fenyegetéseket:

    1. Az Entitás viselkedése képernyőn válasszon ki egy entitást a lap listái közül, vagy keressen és válasszon ki egy másik entitást.
    2. Az entitásoldalon válassza a Forgatókönyv futtatása (előzetes verzió) gombot a bal oldali panelen.
  2. A kapott környezettől függetlenül a fenti utasítások mindegyike megnyitja a Run forgatókönyvet az entitástípus> panelen.< Megjelenik azoknak a forgatókönyveknek a listája, amelyekhez hozzáféréssel rendelkezik, és amelyekhez a Microsoft Sentinel Entity Logic Apps-eseményindítóval konfigurálták a kiválasztott entitástípushoz.

  3. Válassza a Futtatás lehetőséget egy adott forgatókönyv sorában az azonnali futtatáshoz.

A forgatókönyvek futtatási előzményeit egy adott entitáson a Forgatókönyv futtatása< entitástípus> panel Futtatások lapján tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztásával megnyílik a teljes futtatási napló a Logic Appsben.

További lépések

Ebben az oktatóanyagban megtanulta, hogyan használhat forgatókönyveket és automatizálási szabályokat a Microsoft Sentinelben a fenyegetésekre való reagáláshoz.