Microsoft Sentinel-forgatókönyvek létrehozása és testreszabása sablonokból
A forgatókönyvsablonok a Microsoft Sentinel előre összeállított, tesztelt és használatra kész automatizálási munkafolyamatai, amelyek igényeinek megfelelően testre szabhatók. A sablonok referenciaként szolgálhatnak az ajánlott eljárásokhoz, amikor forgatókönyveket fejlesztenek az alapoktól kezdve, vagy inspirációként szolgálnak az új automatizálási forgatókönyvekhez.
A forgatókönyvsablonok nem maguk az aktív forgatókönyvek, ezért létre kell hoznia egy szerkeszthető példányt az igényeinek megfelelően.
Számos forgatókönyvsablont a Microsoft Sentinel közössége, a független szoftvergyártók (ISV-k) és a Microsoft saját szakértői fejlesztettek ki a világ biztonsági üzemeltetési központjai által használt népszerű automatizálási forgatókönyvek alapján.
Fontos
A forgatókönyvsablonok jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
Forgatókönyvek létrehozásához és kezeléséhez hozzá kell férnie a Microsoft Sentinelhez az alábbi Azure-szerepkörök egyikével:
- Logikai alkalmazás közreműködője a logikai alkalmazások szerkesztéséhez és kezeléséhez
- Logikai alkalmazás operátora a logikai alkalmazások olvasásához, engedélyezéséhez és letiltásához
További információ: Microsoft Sentinel forgatókönyv előfeltételei.
Javasoljuk, hogy a forgatókönyv létrehozása előtt olvassa el az Azure Logic Apps for Microsoft Sentinel forgatókönyveket .
Forgatókönyvsablonok elérése
Az alábbi forrásokból érheti el a forgatókönyvsablonokat:
| Hely | Leírás |
|---|---|
| Microsoft Sentinel Automation oldal | A Forgatókönyvsablonok lap felsorolja az összes telepített forgatókönyvet. Hozzon létre egy vagy több aktív forgatókönyvet ugyanazzal a sablonnal. A sablon új verziójának közzétételekor a sablonból létrehozott aktív forgatókönyvek az Aktív forgatókönyvek lapon egy további címkével rendelkeznek, amely jelzi, hogy elérhető frissítés. |
| Microsoft Sentinel Content Hub oldal | A forgatókönyvsablonok termékmegoldások vagy a Content Hubról telepített különálló tartalmak részeként érhetők el. További információ: A Microsoft Sentinel tartalmai és megoldásai A Microsoft Sentinel beépített tartalmainak felderítése és kezelése |
| GitHub | A Microsoft Sentinel GitHub-adattár számos más forgatókönyvsablont tartalmaz. Válassza az Üzembe helyezés az Azure-ban lehetőséget, ha sablont szeretne üzembe helyezni az Azure-előfizetésében. |
A forgatókönyvsablonok gyakorlatilag egy Azure Resource Manager-sablont (ARM) alkotnak, amely több erőforrásból áll: egy Azure Logic Apps-munkafolyamatból és az egyes kapcsolatokHOZ tartozó API-kapcsolatokból.
Ez a cikk egy forgatókönyvsablon üzembe helyezésére összpontosít az Automation alatti Forgatókönyvsablonok lapon.
Forgatókönyvsablonok felfedezése
A Microsoft Sentinel esetében az Azure Portalon válassza a Tartalomkezelési>tartalomközpont lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.
A Tartalomközpont lapon válassza ki a Forgatókönyvre szűrni kívánt tartalomtípust. Ez a szűrt nézet felsorolja az összes olyan megoldást és különálló tartalmat, amely egy vagy több forgatókönyvsablont tartalmaz. Telepítse a megoldást vagy az önálló tartalmat a sablon lekéréséhez.
Ezután válassza a Configuration>Automation>forgatókönyvsablonok lapját a telepített sablonok megtekintéséhez. Példa:
A követelményeknek megfelelő forgatókönyvsablon megkereséséhez szűrje a listát az alábbi feltételek szerint:
| Szűrő | Leírás |
|---|---|
| Eseményindító | Szűrjön a forgatókönyv aktiválásával, beleértve az incidenseket, riasztásokat vagy entitásokat. További információ: Támogatott Microsoft Sentinel-eseményindítók. |
| Logic Apps-összekötők | Szűrjön azon külső szolgáltatások alapján, amelyekkel a forgatókönyvek kommunikálnak. Az üzembe helyezési folyamat során minden összekötőnek fel kell vennie egy identitást a külső szolgáltatásban való hitelesítéshez. |
| Entitások | Szűrje azokat az entitástípusokat, amelyeket a forgatókönyv az incidensben várhatóan megtalál. Például egy forgatókönyv, amely arra utasítja a tűzfalat, hogy tiltsa le az IP-címeket, várhatóan ip-címeket fog találni az incidensben. Ilyen incidenseket a Brute Force támadáselemzési szabálya hozhat létre. |
| Címkék | Szűrjön a forgatókönyvre alkalmazott címkék alapján, a forgatókönyvet egy adott forgatókönyvhöz kapcsolódóan, vagy jelezve a különleges jellemzőket. Például: - Bővítés – Forgatókönyvek, amelyek információkat lekérnek egy másik szolgáltatásból, hogy kontextust adjanak egy incidenshez. Ezeket az információkat általában az incidens megjegyzéseként adjuk hozzá, vagy elküldjük az SOC-nek. - Szervizelés – Forgatókönyvek, amelyek műveletet hajtanak végre az érintett entitásokon a potenciális fenyegetés kiküszöbölése érdekében. - Szinkronizálás – Forgatókönyv, amely segít megőrizni egy külső szolgáltatást, például egy incidenskezelési szolgáltatást, frissítve az incidens tulajdonságaival. - Értesítés – Forgatókönyvek, amelyek e-mailt vagy üzenetet küldenek. - A Teams válasza – Forgatókönyvek, amelyek lehetővé teszik az elemzők számára, hogy interaktív kártyák használatával manuális műveletet hajthassanak végre a Teamsből. |
Példa:
Forgatókönyv testreszabása sablonból
Ez az eljárás bemutatja, hogyan helyezhet üzembe forgatókönyvsablonokat, és megismételhető, hogy több forgatókönyvet hozzon létre ugyanabból a sablonból.
Bár a legtöbb forgatókönyvsablon használható, de azt javasoljuk, hogy szükség szerint módosítsa őket, hogy a forgatókönyv megfeleljen az SOC igényeinek.
A Forgatókönyvsablonok lapon válasszon ki egy forgatókönyvet, amelyből kiindulni szeretne.
Ha a forgatókönyvnek vannak előfeltételei, mindenképpen kövesse az utasításokat. Példa:
Egyes forgatókönyvek más forgatókönyveket műveleteknek neveznek. Ezt a második forgatókönyvet beágyazott forgatókönyvnek nevezzük. Ilyen esetben az egyik előfeltétele a beágyazott forgatókönyv üzembe helyezése.
Egyes forgatókönyvekhez egyéni Logic Apps-összekötőt vagy Azure-függvényt kell üzembe helyezni. Ilyen esetekben létezik egy Üzembe helyezés az Azure-ban hivatkozás, amely az ÁLTALÁNOS ARM-sablon üzembehelyezési folyamatához vezet.
Válassza a Forgatókönyv létrehozása lehetőséget a forgatókönyv-létrehozási varázsló megnyitásához a kiválasztott sablon alapján. A varázslónak négy lapja van:
Alapismeretek: Keresse meg az új forgatókönyvet, amely egy Logic Apps-erőforrás, és adjon neki nevet. Használhatja az alapértelmezett beállítást. Példa:
Paraméterek: Adja meg a forgatókönyv által használt ügyfélspecifikus értékeket. Ha például a forgatókönyv e-mailt küld az SOC-nak, adja meg a címzett címét. Ha a forgatókönyvben egyéni összekötő van használatban, azt ugyanabban az erőforráscsoportban kell üzembe helyezni, és a rendszer kéri, hogy adja meg a nevét a Paraméterek lapon.
A Paraméterek lap csak akkor jelenik meg, ha a forgatókönyv paraméterekkel rendelkezik. Példa:
Kapcsolatok: Bontsa ki az egyes műveletet az előző forgatókönyvekhez létrehozott meglévő kapcsolatok megtekintéséhez. Választhat, hogy meglévő kapcsolatokat használ- vagy újat hoz létre. Példa:
Új kapcsolat létrehozásához válassza az Új kapcsolat létrehozása az üzembe helyezés után lehetőséget. Ez a beállítás az üzembe helyezési folyamat befejezése után a Logic Apps-tervezőhöz nyitja meg.
Az egyéni összekötőket a Paraméterek lapon megadott egyéni összekötő neve sorolja fel.
A felügyelt identitással (például Microsoft Sentinel) való csatlakozást támogató összekötők esetében a felügyelt identitás az alapértelmezett kapcsolati módszer.
További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.
Áttekintés és létrehozás: Tekintse meg a folyamat összegzését, és várja meg a bemenet érvényesítését a forgatókönyv létrehozása előtt.
Miután végigkövette a forgatókönyv-létrehozási varázsló lépéseit, a rendszer az új forgatókönyv munkafolyamat-kialakítását végzi el a Logic Apps-tervezőben. Példa:
Minden kiválasztott összekötőhöz hozzon létre egy új kapcsolatot az üzembe helyezés után:
A navigációs menüben válassza ki az API-kapcsolatokat , majd válassza ki a kapcsolat nevét. Példa:
Válassza az API-kapcsolat szerkesztése lehetőséget a navigációs menüben.
Töltse ki a szükséges paramétereket, és válassza a Mentés lehetőséget. Példa:
Másik lehetőségként hozzon létre egy új kapcsolatot a Logic Apps-tervező megfelelő lépéseiből:
A hibajellel megjelenő minden lépésnél jelölje ki a kibontáshoz, majd válassza az Új hozzáadása lehetőséget.
Hitelesítés a vonatkozó utasításoknak megfelelően. További információ: Forgatókönyvek hitelesítése a Microsoft Sentinelnek.
Ha ugyanezzel az összekötővel más lépések is vannak, bontsa ki a mezőiket. A megjelenő kapcsolatok listájában válassza ki az imént létrehozott kapcsolatot.
Ha úgy döntött, hogy felügyelt identitáskapcsolatot használ a Microsoft Sentinelhez vagy más támogatott kapcsolatokhoz, győződjön meg arról, hogy engedélyeket ad az új forgatókönyvnek a Microsoft Sentinel-munkaterületen vagy más összekötők megfelelő célerőforrásaihoz.
Mentse a forgatókönyvet. A forgatókönyv megjelenik az Aktív forgatókönyvek lapon.
A forgatókönyv futtatásához állítson be egy automatikus választ, vagy futtassa manuálisan. További információ: Válasz a fenyegetésekre a Microsoft Sentinel forgatókönyveivel.
Probléma jelentése forgatókönyvsablonban
Ha hibajelentést szeretne küldeni, vagy javítást szeretne kérni egy forgatókönyvhöz, válassza a Forgatókönyv részletei ablaktáblán a Támogatott hivatkozás hivatkozását. Ha ez egy közösség által támogatott forgatókönyv, a hivatkozással megnyithat egy GitHub-problémát. Ellenkező esetben a rendszer a támogató oldalára irányítja a visszajelzés elküldésével kapcsolatos információkat.