Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan apa itu playbook Microsoft Azure Sentinel, dan cara menggunakannya untuk mengimplementasikan operasi Orkestrasi, Otomatisasi, dan Respons Keamanan (SOAR), dengan mencapai hasil yang lebih baik sekaligus menghemat waktu dan sumber daya.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Apa itu playbook?

Analis SOC biasanya dibanjiri dengan peringatan keamanan dan insiden secara teratur, pada volume yang sangat besar sehingga personel yang tersedia kewalahan. Hal ini sering menyebabkan banyaknya pemberitahuan yang diabaikan dan banyak insiden tidak diselidiki, sehingga organisasi rentan terhadap serangan yang luput dari perhatian.

Banyak, jika tidak sebagian besar, dari peringatan dan insiden ini sesuai dengan pola berulang yang dapat diatasi dengan serangkaian tindakan remediasi yang spesifik dan terdefinisi. Analis juga ditugaskan dengan remediasi dasar dan penyelidikan insiden yang dikelola untuk ditangani. Sejauh aktivitas ini dapat diotomatisasi, SOC dapat jauh lebih produktif dan efisien, memungkinkan analis untuk menculik lebih banyak waktu dan energi untuk aktivitas investigasi.

Playbook adalah kumpulan tindakan remediasi yang Anda jalankan dari Microsoft Sentinel sebagai rutinitas, untuk membantu mengotomatiskan dan mengatur respons ancaman Anda. Ini dapat dijalankan dengan dua cara:

• Secara manual sesuai permintaan, pada entitas atau pemberitahuan tertentu
• Secara otomatis sebagai respons terhadap pemberitahuan atau insiden tertentu, saat dipicu oleh aturan otomatisasi.

Misalnya, jika akun dan komputer disusupi, Playbook dapat mengisolasi komputer dari jaringan dan memblokir akun pada saat tim SOC diberitahu tentang insiden tersebut.

Sementara tab Playbook aktif di halaman Automation menampilkan semua playbook aktif yang tersedia di semua langganan yang dipilih, secara default playbook hanya dapat digunakan dalam langganan tempat playbook berada, kecuali Anda secara khusus memberikan izin Microsoft Azure Sentinel ke grup sumber daya playbook.

Setelah onboarding ke platform operasi keamanan terpadu, tab Playbook aktif menunjukkan filter yang telah ditentukan sebelumnya dengan langganan ruang kerja yang di-onboarding. Di portal Azure, tambahkan data untuk langganan lain menggunakan filter langganan Azure.

Template playbook

Templat playbook adalah alur kerja bawaan, diuji, dan siap digunakan yang dapat disesuaikan untuk memenuhi kebutuhan Anda. Template juga dapat berfungsi sebagai referensi untuk praktik terbaik saat mengembangkan playbook dari awal, atau sebagai inspirasi untuk skenario otomatisasi baru.

Templat playbook tidak dapat digunakan sebagai playbook itu sendiri. Anda membuat playbook (salinan templat yang dapat diedit) darinya.

Anda bisa mendapatkan templat playbook dari sumber berikut:

• Pada halaman Automation , tab Templat playbook mencantumkan templat playbook yang diinstal. Beberapa playbook aktif dapat dibuat dari templat yang sama.

  Saat versi baru templat diterbitkan, playbook aktif yang dibuat dari templat tersebut muncul di tab Playbook aktif yang menampilkan label yang menunjukkan bahwa pembaruan tersedia.

• Templat playbook tersedia sebagai bagian dari solusi produk atau konten mandiri yang Anda instal dari halaman Hub konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Konten dan solusi Microsoft Azure Sentinel dan Menemukan dan mengelola konten siap pakai Microsoft Azure Sentinel.

• Repositori GitHub Microsoft Azure Sentinel berisi banyak templat playbook. Playbook dapat disebarkan ke langganan Azure dengan memilih tombol Sebarkan ke Azure.

Secara teknis, template playbook adalah template ARM yang terdiri dari beberapa sumber daya: alur kerja Azure Logic Apps dan koneksi API untuk setiap koneksi yang terlibat.

Penting

Templat playbook saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Konsep dasar Azure Logic Apps

Playbook di Microsoft Azure Sentinel didasarkan pada alur kerja yang dirancang di Azure Logic Apps, yakni layanan cloud yang membantu Anda menjadwalkan, mengotomatiskan, serta mengatur tugas dan alur kerja di seluruh sistem di semua perusahaan. Ini berarti bahwa playbook dapat memanfaatkan semua manfaat dan kemampuan templat bawaan di Azure Logic Apps.

Catatan

Azure Logic Apps membuat sumber daya terpisah, sehingga biaya tambahan mungkin berlaku. Untuk informasi selengkapnya, kunjungi halaman harga Azure Logic Apps.

Azure Logic Apps berkomunikasi dengan sistem dan layanan lain menggunakan konektor. Berikut ini adalah penjelasan singkat tentang konektor dan beberapa atribut penting mereka:

• Konektor terkelola: Serangkaian tindakan dan pemicu yang membungkus panggilan API ke produk atau layanan tertentu. Azure Logic Apps menawarkan ratusan konektor untuk berkomunikasi dengan Microsoft dan layanan non-Microsoft. Untuk informasi selengkapnya, lihat Konektor Azure Logic Apps dan dokumentasinya

• Konektor kustom: Anda mungkin ingin berkomunikasi dengan layanan yang tidak tersedia sebagai konektor bawaan. Konektor kustom mengatasi kebutuhan ini dengan memungkinkan Anda membuat (dan bahkan berbagi) konektor dan menentukan pemicu dan tindakannya sendiri. Untuk informasi selengkapnya, lihat Membuat konektor Azure Logic Apps kustom Anda sendiri.

• Konektor Microsoft Azure Sentinel: Untuk membuat playbook yang berinteraksi dengan Microsoft Azure Sentinel, gunakan konektor Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat dokumentasi konektor Microsoft Azure Sentinel.

• Pemicu: Komponen konektor yang memulai alur kerja, dalam hal ini, playbook. Pemicu Microsoft Azure Sentinel mendefinisikan skema yang diharapkan playbook untuk diterima saat dipicu. Konektor Microsoft Azure Sentinel saat ini memiliki tiga pemicu:

  • Pemicu pemberitahuan: Playbook menerima pemberitahuan sebagai input.
  • Pemicu entitas (Pratinjau): Playbook menerima entitas sebagai input.
  • Pemicu insiden: Playbook menerima insiden sebagai input, bersama dengan semua pemberitahuan dan entitas yang disertakan.

• Tindakan: Tindakan adalah semua langkah yang terjadi setelah pemicu. Mereka dapat diatur secara berurutan, secara paralel, atau dalam matriks kondisi kompleks.

• Bidang dinamis: Bidang sementara, ditentukan oleh skema output pemicu dan tindakan dan diisi oleh output aktualnya, yang dapat digunakan dalam tindakan yang mengikuti.

Jenis aplikasi logika

Microsoft Sentinel sekarang mendukung jenis sumber daya aplikasi logika berikut:

• Konsumsi, yang berjalan di Azure Logic Apps multipenyewa dan menggunakan mesin Azure Logic Apps klasik dan asli.
• Standar, yang berjalan di Azure Logic Apps penyewa tunggal dan menggunakan mesin Azure Logic Apps yang didesain ulang.

Jenis aplikasi logika Standar menawarkan performa yang lebih tinggi, harga tetap, beberapa kemampuan alur kerja, manajemen koneksi API yang lebih mudah, kemampuan jaringan asli seperti dukungan untuk jaringan virtual dan titik akhir privat (lihat catatan di bawah), fitur CI/CD bawaan, integrasi Visual Studio Code yang lebih baik, perancang alur kerja yang diperbarui, dan banyak lagi.

Untuk menggunakan versi aplikasi logika ini, buat playbook Standar baru di Microsoft Azure Sentinel (lihat catatan di bawah). Anda dapat menggunakan playbook ini dengan cara yang sama seperti Anda menggunakan playbook Konsumsi:

• Lampirkan ke aturan otomatisasi dan/atau aturan analitik.
• Jalankan sesuai permintaan, dari insiden dan pemberitahuan.
• Kelola di tab Playbook Aktif.

Catatan

• Alur kerja standar saat ini tidak mendukung templat Playbook, yang berarti Anda tidak dapat membuat playbook berbasis alur kerja Standar langsung di Microsoft Azure Sentinel. Sebagai gantinya, Anda harus membuat alur kerja di Azure Logic Apps. Setelah Anda membuat alur kerja, alur kerja tersebut muncul sebagai playbook di Microsoft Azure Sentinel.

• Alur kerja Standar aplikasi logika mendukung titik akhir privat seperti disebutkan di atas, tetapi Microsoft Sentinel memerlukan pendefinisian kebijakan pembatasan akses di Aplikasi logika untuk mendukung penggunaan titik akhir privat dalam playbook berdasarkan alur kerja Standar.

  Jika kebijakan pembatasan akses tidak ditentukan, alur kerja dengan titik akhir privat mungkin masih terlihat dan dapat dipilih saat Anda memilih playbook dari daftar di Microsoft Azure Sentinel (apakah akan berjalan secara manual, untuk ditambahkan ke aturan otomatisasi, atau di galeri playbook), dan Anda akan dapat memilihnya, tetapi eksekusinya akan gagal.

• Indikator mengidentifikasi alur kerja Standar sebagai stateful atau stateless. Microsoft Sentinel saat ini tidak mendukung alur kerja tanpa status. Pelajari perbedaan antara alur kerja stateful dan stateless.

Ada banyak perbedaan antara kedua jenis sumber daya ini, beberapa di antaranya memengaruhi beberapa cara mereka dapat digunakan dalam playbook di Microsoft Sentinel. Dalam kasus seperti itu, dokumentasi akan menunjukkan apa yang perlu Anda ketahui. Untuk informasi selengkapnya, lihat Jenis sumber daya dan perbedaan lingkungan host dalam dokumentasi Azure Logic Apps.

Izin yang diperlukan

Untuk memberi tim SecOps Anda kemampuan untuk menggunakan Azure Logic Apps untuk membuat dan menjalankan playbook di Microsoft Azure Sentinel, tetapkan peran Azure ke tim operasi keamanan Anda atau ke pengguna tertentu di tim. Berikut ini menjelaskan berbagai peran yang tersedia, dan tugas yang harus ditetapkan:

Peran Azure untuk Azure Logic Apps

• Kontributor Azure Logic Apps memungkinkan Anda mengelola aplikasi logika dan menjalankan playbook, tetapi Anda tidak dapat mengubah akses ke aplikasi tersebut (untuk itu Anda memerlukan peran Pemilik).
• Operator Aplikasi Logika memungkinkan Anda membaca, mengaktifkan, dan menonaktifkan aplikasi logika, tetapi Anda tidak dapat mengedit atau memperbaruinya.

Peran Azure untuk Microsoft Azure Sentinel

• Peran Kontributor Microsoft Azure Sentinel memungkinkan Anda melampirkan playbook ke aturan analitik atau otomatisasi.

• Peran Microsoft Sentinel Responder memungkinkan Anda mengakses insiden untuk menjalankan playbook secara manual. Tetapi untuk benar-benar menjalankan playbook, Anda juga perlu ...

  • Peran Operator Playbook Microsoft Sentinel memungkinkan Anda menjalankan playbook secara manual.
  • Kontributor Otomatisasi Microsoft Azure Sentinel memungkinkan aturan otomatisasi menjalankan playbook. Ini tidak digunakan untuk tujuan lain.

Pelajari lebih lanjut

• Pelajari selengkapnya tentang peran Microsoft Azure di Microsoft Azure Logic Apps.
• Pelajari peran Azure lebih lanjut di Microsoft Azure Sentinel.

Langkah-langkah untuk membuat playbook

• Tentukan skenario automasi.

• Buat aplikasi logika Anda.

• Menguji aplikasi logika Anda.

• Lampirkan playbook ke aturan automasi atau aturan analitik, atau jalankan secara manual saat diperlukan.

Menggunakan kasus untuk playbook

Platform Azure Logic Apps menawarkan ratusan tindakan dan pemicu, sehingga hampir semua skenario otomatisasi dapat dibuat. Microsoft Sentinel merekomendasikan untuk memulai dengan skenario SOC berikut, di mana templat playbook siap pakai tersedia di luar kotak:

Pengayaan

Kumpulkan data dan lampirkan ke insiden untuk membuat keputusan yang lebih cerdas.

Contohnya:

Insiden Microsoft Azure Sentinel dibuat dari pemberitahuan oleh aturan analitik yang menghasilkan entitas alamat IP.

Insiden ini memicu aturan automasi yang menjalankan playbook dengan langkah-langkah berikut:

• Mulai saat insiden Microsoft Azure Sentinel baru dibuat. Entitas yang diwakili dalam insiden disimpan dalam bidang dinamis pemicu insiden.

• Untuk setiap alamat IP, kueri penyedia Threat Intelligence eksternal, seperti Total Virus, untuk mengambil lebih banyak data.

• Tambahkan data dan insight yang dikembalikan sebagai komentar dari insiden tersebut.

Sinkronisasi dua arah

Playbook dapat digunakan untuk menyinkronkan insiden Microsoft Azure Sentinel Anda dengan sistem pengajuan tiket lainnya.

Contohnya:

Buat aturan automasi untuk semua pembuatan insiden, dan lampirkan playbook yang membuka tiket di ServiceNow:

• Mulai saat insiden Microsoft Azure Sentinel baru dibuat.

• Buat tiket baru di ServiceNow.

• Sertakan nama insiden, bidang penting, dan URL ke insiden Microsoft Azure Sentinel dalam tiket agar mudah di-pivot.

Orkestrasi

Gunakan platform obrolan SOC untuk mengontrol antrean insiden dengan lebih baik.

Contohnya:

Insiden Microsoft Azure Sentinel dibuat dari pemberitahuan oleh aturan analitik yang menghasilkan entitas nama pengguna dan alamat IP.

Insiden ini memicu aturan automasi yang menjalankan playbook dengan langkah-langkah berikut:

• Mulai saat insiden Microsoft Azure Sentinel baru dibuat.

• Kirim pesan ke saluran operasi keamanan Anda di Microsoft Teams atau Slack untuk memastikan analis keamanan Anda mengetahui insiden tersebut.

• Kirim semua informasi dalam pemberitahuan melalui email ke admin jaringan senior dan admin keamanan Anda. Pesan email akan menyertakan tombol opsi Blokir dan Abaikan pengguna.

• Tunggu hingga respons diterima dari admin, lalu lanjutkan berjalan.

• Jika admin telah memilih Blokir, kirim perintah ke firewall untuk memblokir alamat IP dalam pemberitahuan, dan yang lain ke ID Microsoft Entra untuk menonaktifkan pengguna.

Respons

Segera tanggapi ancaman, dengan ketergantungan manusia minimal.

Dua contoh:

Contoh 1: Tanggapi aturan analitik yang menunjukkan pengguna yang disusupi, seperti yang ditemukan oleh Microsoft Entra ID Protection:

• Mulai saat insiden Microsoft Azure Sentinel baru dibuat.

• Untuk setiap entitas pengguna dalam insiden yang dicurigai sebagai dikompromikan:

  • Kirim pesan Teams kepada pengguna, meminta konfirmasi bahwa pengguna mengambil tindakan mencurigakan tersebut.

  • Tanyakan kepada Microsoft Entra ID Protection untuk mengonfirmasi status pengguna sebagai disusupi. Microsoft Entra ID Protection akan memberi label pengguna sebagai berisiko, dan menerapkan kebijakan penegakan apa pun yang sudah dikonfigurasi - misalnya, untuk mengharuskan pengguna menggunakan MFA saat masuk berikutnya.

    Catatan

    Tindakan Microsoft Entra khusus ini tidak memulai aktivitas penegakan apa pun pada pengguna, juga tidak memulai konfigurasi kebijakan penegakan apa pun. Ini hanya memberi tahu Microsoft Entra ID Protection untuk menerapkan kebijakan yang sudah ditentukan yang sesuai. Penegakan apa pun sepenuhnya bergantung pada kebijakan yang sesuai yang ditentukan dalam Microsoft Entra ID Protection.

Contoh 2: Tanggapi aturan analitik yang menunjukkan mesin yang disusupi, seperti yang ditemukan oleh Pertahanan Microsoft untuk Titik Akhir:

• Mulai saat insiden Microsoft Azure Sentinel baru dibuat.

• Gunakan tindakan Entitas - Get Hosts di Microsoft Sentinel untuk mengurai komputer mencurigakan yang disertakan dalam entitas insiden.

• Keluarkan perintah ke Pertahanan Microsoft untuk Titik Akhir untuk mengisolasi mesin dalam peringatan.

Respons manual selama penyelidikan atau saat berburu

Menanggapi ancaman selama aktivitas investigasi aktif tanpa melakukan pivot di luar konteks.

Berkat pemicu entitas baru (sekarang dalam Pratinjau), Anda dapat segera mengambil tindakan pada pelaku ancaman individual yang Anda temukan selama penyelidikan, satu per satu, langsung dari dalam penyelidikan. Opsi ini juga tersedia dalam konteks perburuan ancaman, tidak terhubung ke insiden tertentu. Anda dapat memilih entitas dalam konteks dan melakukan tindakan di atasnya di sana, menghemat waktu dan mengurangi kompleksitas.

Tindakan yang dapat Anda ambil pada entitas menggunakan jenis playbook ini meliputi:

• Memblokir pengguna yang disusupi.
• Memblokir lalu lintas dari alamat IP berbahaya di firewall Anda.
• Mengisolasi host yang disusupi di jaringan Anda.
• Menambahkan alamat IP ke daftar pengawasan alamat aman/tidak aman, atau ke CMDB eksternal Anda.
• Mendapatkan laporan hash file dari sumber inteligensi ancaman eksternal dan menambahkannya ke insiden sebagai komentar.

Cara menjalankan playbook

Playbook dapat dijalankan secara manual atau otomatis.

Mereka dirancang untuk dijalankan secara otomatis, dan idealnya itulah cara mereka harus dijalankan dalam operasi normal. Anda menjalankan playbook secara otomatis dengan menetapkannya sebagai respons otomatis dalam aturan analitik (untuk peringatan), atau sebagai tindakan dalam aturan otomatisasi (untuk insiden).

Namun, ada keadaan yang memanggil untuk menjalankan playbook secara manual. Contohnya:

• Saat membuat playbook baru, Anda harus mengujinya sebelum memasukkannya ke dalam produksi.

• Mungkin ada situasi di mana Anda mungkin ingin memiliki lebih banyak kontrol dan input manusia ke dalam kapan dan apakah playbook tertentu berjalan.

  Anda menjalankan playbook secara manual dengan membuka insiden, pemberitahuan, atau entitas dan memilih dan menjalankan playbook terkait yang ditampilkan di sana. Saat ini fitur ini umumnya tersedia untuk pemberitahuan, dan dalam pratinjau untuk insiden dan entitas.

Mengatur respons otomatis

Tim operasi keamanan dapat secara signifikan mengurangi beban kerja mereka dengan sepenuhnya mengotomatiskan respons rutin terhadap jenis insiden dan peringatan yang berulang, memungkinkan Anda untuk lebih berkonsentrasi pada insiden dan peringatan unik, menganalisis pola, berburu ancaman, dan banyak lagi.

Mengatur respons otomatis berarti bahwa setiap kali aturan analitik dipicu, selain membuat peringatan, aturan akan menjalankan playbook, yang akan menerima sebagai input peringatan yang dibuat oleh aturan.

Jika pemberitahuan membuat insiden, insiden akan memicu aturan otomatisasi yang pada gilirannya menjalankan playbook, yang akan menerima sebagai input insiden yang dibuat oleh pemberitahuan.

Respons otomatis pembuatan peringatan

Untuk plabook yang dipicu oleh pembuatan pemberitahuan dan menerima pemberitahuan sebagai inputnya (langkah pertamanya adalah "Pemberitahuan Microsoft Sentinel"), sertakan playbook ke aturan analitik:

1. Edit aturan analitik yang menghasilkan pemberitahuan yang ingin Anda tentukan respons otomatisnya.

2. Di bawah Automasi pemberitahuan di tab Tanggapan otomatis, pilih playbook atau playbook yang akan dipicu oleh aturan analitik ini saat pemberitahuan dibuat.

Respons otomatis pembuatan insiden

Untuk playbook yang dipicu oleh pembuatan insiden dan menerima insiden sebagai inputnya (langkah pertamanya adalah "Insiden Microsoft Sentinel"), buat aturan otomatisasi dan tentukan tindakan Jalankan playbook di dalamnya. Ini dapat dilakukan dengan 2 cara:

• Edit aturan analitik yang menghasilkan insiden yang ingin Anda tentukan respons otomatisnya. Di bawah Automasi insiden di tab Respons otomatis, buat aturan automasi. Ini akan membuat respons otomatis hanya untuk aturan analitik ini.

• Dari tab Aturan otomatisasi di halaman Automation , buat aturan otomatisasi baru dan tentukan kondisi yang sesuai dan tindakan yang diinginkan. Aturan automasi ini akan diterapkan pada aturan analitik apa pun yang memenuhi ketentuan yang ditentukan.

  Catatan

  Microsoft Sentinel memerlukan izin untuk menjalankan playbook pemicu insiden.

  Untuk menjalankan playbook berdasarkan pemicu insiden, baik secara manual atau dari aturan otomatisasi, Microsoft Sentinel menggunakan akun layanan yang secara khusus berwenang untuk melakukannya. Penggunaan akun ini (dibandingkan dengan akun pengguna Anda) meningkatkan tingkat keamanan layanan dan memungkinkan API aturan automasi untuk mendukung kasus penggunaan CI/CD.

  Akun ini harus diberikan izin eksplisit (mengambil bentuk peran Kontributor otomatisasi Microsoft Azure Sentinel) di grup sumber daya tempat playbook berada. Pada saat itu, Anda akan dapat menjalankan playbook apa pun di grup sumber daya itu, baik secara manual atau dari aturan otomatisasi apa pun.

  Saat Anda menambahkan tindakan jalankan playbook ke aturan automasi, daftar drop-down playbook akan muncul untuk pilihan Anda. Playbook yang tidak dapat diakses oleh Microsoft Azure Sentinel akan ditampilkan sebagai tidak tersedia ("berwarna abu-abu"). Anda dapat memberikan izin ke Microsoft Azure Sentinel di tempat dengan memilih tautan Kelola izin playbook.

  Dalam skenario multi-penyewa (Mercusuar), Anda harus menentukan izin penyewa tempat buku pedoman berada, meskipun aturan automasi yang memanggil playbook berada di penyewa yang berbeda. Untuk melakukannya, Anda harus memiliki izin Pemilik di grup sumber daya buku pedoman.

  Ada skenario unik yang dihadapi Penyedia Layanan Keamanan Terkelola (MSSP), di mana penyedia layanan, saat masuk ke penyewanya sendiri, membuat aturan automasi di ruang kerja pelanggan menggunakan Azure Lighthouse. Aturan otomatisasi ini kemudian memanggil playbook milik penyewa pelanggan. Dalam hal ini, Microsoft Sentinel harus diberikan izin pada kedua penyewa. Dalam penyewa pelanggan, Anda memberikannya di panel _Kelola izin playbook, seperti dalam skenario multi-penyewa reguler di atas. Untuk memberikan izin yang relevan di penyewa penyedia layanan, Anda perlu menambahkan delegasi Azure Lighthouse tambahan yang memberikan hak akses ke aplikasi Azure Security Insights, dengan peran Kontributor Otomatisasi Microsoft Azure Sentinel, pada grup sumber daya tempat playbook berada. Pelajari cara menambahkan delegasi ini.

Lihat petunjuk lengkap untuk membuat aturan automasi.

Menjalankan playbook secara manual

Otomatisasi penuh adalah solusi terbaik untuk sebanyak mungkin tugas penanganan insiden, investigasi, dan mitigasi saat Anda nyaman mengotomatiskan. Setelah mengatakan bahwa, mungkin ada alasan yang baik untuk semacam otomatisasi hibrid: menggunakan playbook untuk mengonsolidasikan serangkaian aktivitas terhadap berbagai sistem menjadi satu perintah, tetapi menjalankan playbook hanya kapan dan di mana Anda memutuskan. Contohnya:

• Anda mungkin lebih suka analis SOC Anda memiliki lebih banyak input dan kontrol manusia atas beberapa situasi.

• Anda mungkin juga ingin mereka dapat mengambil tindakan terhadap pelaku ancaman tertentu (entitas) sesuai permintaan, selama penyelidikan atau perburuan ancaman, dalam konteks tanpa harus melakukan pivot ke layar lain. (Kemampuan ini sekarang dalam Pratinjau.)

• Anda mungkin ingin teknisi SOC Anda menulis playbook yang bertindak pada entitas tertentu (sekarang dalam Pratinjau) dan yang hanya dapat dijalankan secara manual.

• Anda mungkin ingin teknisi Anda dapat menguji playbook yang mereka tulis sebelum sepenuhnya menyebarkannya dalam aturan otomatisasi.

Untuk alasan ini dan lainnya, Microsoft Azure Sentinel memungkinkan Anda menjalankan playbook secara manual sesuai permintaan untuk entitas dan insiden (keduanya sekarang dalam Pratinjau), serta untuk pemberitahuan.

• Untuk menjalankan playbook pada insiden tertentu, pilih insiden dari kisi di halaman Insiden . Di portal Azure, pilih Tindakan dari panel detail insiden, dan pilih Jalankan playbook (Pratinjau) dari menu konteks. Di portal Defender, pilih Jalankan playbook (Pratinjau) langsung dari halaman detail insiden.

  Ini membuka panel Menjalankan playbook di insiden.

• Untuk menjalankan playbook pada peringatan, pilih insiden, masukkan detail insiden, dan dari tab Peringatan, pilih peringatan dan pilih Tampilkan playbook.

  Ini membuka panel playbook Peringatan.

• Untuk menjalankan playbook pada entitas, pilih entitas dengan salah satu cara berikut:

  • Dari tab Entitas dari insiden, pilih entitas dari daftar dan pilih tautan Jalankan playbook (Pratinjau) di akhir barisnya dalam daftar.
  • Dari grafik Investigasi, pilih entitas dan pilih tombol Jalankan playbook (Pratinjau) di panel sisi entitas.
  • Dari Perilaku entitas, pilih entitas dan dari halaman entitas, pilih tombol Jalankan playbook (Pratinjau) di panel sebelah kiri.

  Ini semua akan membuka run playbook pada< panel jenis> entitas.

Di salah satu panel ini, Anda akan melihat dua tab: Playbook dan Runs.

• Di tab Playbook , Anda akan melihat daftar semua playbook yang dapat Anda akses dan yang menggunakan pemicu yang sesuai - apakah Insiden Microsoft Sentinel, Pemberitahuan Microsoft Sentinel, atau Entitas Microsoft Sentinel. Setiap playbook dalam daftar memiliki tombol Eksekusi yang Anda pilih untuk segera menjalankan playbook.
  Jika Anda ingin menjalankan playbook pemicu insiden yang tidak Anda lihat dalam daftar, lihat catatan tentang izin Microsoft Sentinel di atas.

• Di tab Eksekusi, Anda akan melihat daftar setiap kali playbook apa pun telah dijalankan pada insiden atau peringatan yang Anda pilih. Mungkin perlu waktu beberapa detik agar proses yang baru saja selesai muncul dalam daftar ini. Memilih eksekusi tertentu akan membuka log eksekusi penuh di Azure Logic Apps.

Mengelola playbook Anda

Di tab Playbook aktif, muncul daftar semua playbook yang dapat Anda akses, difilter oleh langganan yang saat ini ditampilkan di Azure. Filter langganan tersedia dari menu Direktori + langganan di header halaman global.

Mengklik nama playbook mengarahkan Anda ke halaman utama playbook di Azure Logic Apps. Kolom Status menunjukkan apakah kolom diaktifkan atau dinonaktifkan.

Kolom Paket menunjukkan apakah playbook menggunakan jenis sumber daya Standar atau Konsumsi di Azure Logic Apps. Anda dapat memfilter daftar menurut jenis paket untuk melihat hanya satu jenis playbook. Anda akan melihat bahwa playbook jenis Standar menggunakan LogicApp/Workflow konvensi penamaan. Konvensi ini mencerminkan fakta bahwa playbook Standar mewakili alur kerja yang ada bersama alur kerja lain dalam satu Aplikasi Logika.

Jenis pemicu mewakili pemicu Azure Logic Apps yang memulai playbook ini.

Jenis pemicu	Menunjukkan tipe komponen dalam playbook
Insiden/Peringatan/Entitas Microsoft Azure Sentinel	Playbook dimulai dengan salah satu pemicu Sentinel (insiden, pemberitahuan, entitas)
Menggunakan Tindakan Microsoft Azure Sentinel	Playbook dimulai dengan pemicu non-Sentinel tetapi menggunakan tindakan Microsoft Azure Sentinel
Lainnya	Playbook tidak menyertakan komponen Sentinel
Tidak diinisialisasi	Playbook telah dibuat, tetapi tidak berisi komponen (pemicu atau tindakan).

Di halaman Azure Logic Apps playbook, Anda dapat melihat informasi selengkapnya tentang playbook, termasuk log setiap kali dijalankan, dan hasilnya (berhasil atau gagal, dan detail lainnya). Anda juga dapat membuka perancang alur kerja di Azure Logic Apps, dan mengedit playbook secara langsung, jika Anda memiliki izin yang sesuai.

Koneksi API

Koneksi API digunakan untuk menyambungkan Azure Logic Apps ke layanan lain. Setiap kali autentikasi baru dibuat untuk konektor di Azure Logic Apps, sumber daya baru jenis koneksi API dibuat, dan berisi informasi yang disediakan saat mengonfigurasi akses ke layanan.

Untuk melihat semua koneksi API, masukkan koneksi API di kotak pencarian header portal Microsoft Azure. Perhatikan kolom yang menarik:

• Nama tampilan - nama "ramah" yang Anda berikan ke koneksi setiap kali Anda membuatnya.
• Status - menunjukkan status koneksi: kesalahan, tersambung.
• Grup sumber daya - Koneksi API dibuat di grup sumber daya sumber daya playbook (Azure Logic Apps).

Cara lain untuk melihat koneksi API adalah dengan membuka halaman Semua Sumber Daya dan memfilternya berdasarkan jenis koneksi API. Cara ini memungkinkan pemilihan, penandaan, dan penghapusan beberapa koneksi sekaligus.

Untuk mengubah otorisasi koneksi yang ada, masukkan resource koneksi, dan pilih Edit koneksi API.

Playbook yang direkomendasikan

Playbook yang direkomendasikan berikut, dan playbook serupa lainnya tersedia untuk Anda di hub Konten, atau di repositori GitHub Microsoft Sentinel:

• Playbook pemberitahuan dipicu saat pemberitahuan atau insiden dibuat dan mengirim pemberitahuan ke tujuan yang dikonfigurasi:

  Playbook	Folder di Repositori GitHub	Solusi di Hub konten/ Azure Marketplace
  Posting pesan di saluran Microsoft Teams	Post-Message-Teams	Solusi Sentinel SOAR Essentials
  Mengirim pemberitahuan email Outlook	Kirim-email-dasar	Solusi Sentinel SOAR Essentials
  Posting pesan di saluran Slack	Post-Message-Slack	Solusi Sentinel SOAR Essentials
  Mengirim kartu adaptif Microsoft Teams pada pembuatan insiden	Send-Teams-adaptive-card-on-incident-creation	Solusi Sentinel SOAR Essentials

• Memblokir playbook dipicu saat peringatan atau insiden dibuat, mengumpulkan informasi entitas seperti akun, alamat IP, dan host, dan memblokirnya dari tindakan lebih lanjut:

  Playbook	Folder di Repositori GitHub	Solusi di Hub konten/ Azure Marketplace
  Memblokir alamat IP di Azure Firewall	AzureFirewall-BlockIP-addNewRule	Solusi Azure Firewall untuk Sentinel
  Memblokir pengguna Microsoft Entra	Block-AADUser	Solusi Microsoft Entra
  Mengatur ulang kata sandi pengguna Microsoft Entra	Reset-AADUserPassword	Solusi Microsoft Entra
  Mengisolasi atau memisahkan perangkat menggunakan Microsoft Defender untuk Titik Akhir	Isolate-MDEMachine Unisolate-MDEMachine	solusi Microsoft Defender untuk Titik Akhir

• Buat, perbarui, atau tutup playbook dapat membuat, memperbarui, atau menutup insiden di Microsoft Azure Sentinel, layanan keamanan Microsoft 365, atau sistem pengajuan tiket lainnya:

  Playbook	Folder di Repositori GitHub	Solusi di Hub konten/ Azure Marketplace
  Membuat insiden menggunakan Microsoft Forms	CreateIncident-MicrosoftForms	Solusi Sentinel SOAR Essentials
  Menghubungkan peringatan dengan insiden	relateAlertsToIncident-basedOnIP	Solusi Sentinel SOAR Essentials
  Buat insiden ServiceNow	Buat rekaman SNOW	Solusi ServiceNow

Langkah berikutnya

• Tutorial: Menggunakan playbook untuk mengotomatiskan respons ancaman di Microsoft Azure Sentinel
• Membuat dan melakukan tugas insiden di Microsoft Azure Sentinel menggunakan playbook