Membuat dan mengelola playbook Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbook adalah kumpulan prosedur yang dapat dijalankan dari Microsoft Azure Sentinel sebagai respons terhadap seluruh insiden, ke pemberitahuan individual, atau ke entitas tertentu. Playbook dapat membantu mengotomatiskan dan mengatur respons Anda, dan dapat dilampirkan ke aturan otomatisasi untuk berjalan secara otomatis saat pemberitahuan tertentu dihasilkan atau ketika insiden dibuat atau diperbarui. Playbook juga dapat dijalankan secara manual sesuai permintaan pada insiden, pemberitahuan, atau entitas tertentu.

Artikel ini menjelaskan cara membuat dan mengelola playbook Microsoft Azure Sentinel. Anda nantinya dapat melampirkan playbook ini ke aturan analitik atau aturan otomatisasi, atau menjalankannya secara manual pada insiden, pemberitahuan, atau entitas tertentu.

Catatan

Playbook di Microsoft Azure Sentinel didasarkan pada alur kerja yang dibuat di Azure Logic Apps, yang berarti Anda mendapatkan semua kekuatan, penyesuaian, dan templat bawaan Logic Apps. Biaya tambahan mungkin berlaku. Buka halaman harga Azure Logic Apps untuk mengetahui detail selengkapnya.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Untuk membuat dan mengelola playbook, Anda memerlukan akses ke Microsoft Azure Sentinel dengan salah satu peran Azure berikut:

• Kontributor Aplikasi Logika, untuk mengedit dan mengelola aplikasi logika
• Operator Aplikasi Logika, untuk membaca, mengaktifkan, dan menonaktifkan aplikasi logika

Untuk informasi selengkapnya, lihat Prasyarat playbook Microsoft Azure Sentinel.

Kami menyarankan agar Anda membaca Azure Logic Apps untuk playbook Microsoft Azure Sentinel sebelum membuat playbook Anda.

Buat buku pedoman

Ikuti langkah-langkah ini untuk membuat playbook baru di Microsoft Azure Sentinel:

1. Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Otomatisasi Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Otomatisasi Konfigurasi>Microsoft Sentinel.>

   Portal Azure

   

   Portal pertahanan

   

2. Dari menu atas, pilih Buat, lalu pilih salah satu opsi berikut:

   1. Jika Anda membuat playbook Standar, pilih Playbook kosong lalu ikuti langkah-langkah untuk jenis aplikasi logika Standar.

   2. Jika Anda membuat playbook Konsumsi, pilih salah satu opsi berikut, bergantung pada pemicu yang ingin Anda gunakan, lalu ikuti langkah-langkah di tab Konsumsi Logic Apps di bawah ini:

      • Playbook dengan pemicu insiden
      • Playbook dengan pemicu pemberitahuan
      • Playbook dengan pemicu entitas

   Untuk informasi selengkapnya, lihat Jenis aplikasi logika yang didukung dan Pemicu dan tindakan yang didukung di playbook Microsoft Azure Sentinel.

Menyiapkan Aplikasi Logika playbook Anda

Pilih salah satu tab berikut untuk detail tentang cara membuat aplikasi logika untuk playbook Anda, bergantung pada apakah Anda menggunakan alur kerja Konsumsi atau Standar . Untuk informasi selengkapnya, lihat Jenis aplikasi logika yang didukung.

Consumption

Wizard Buat playbook muncul setelah memilih pemicu yang ingin Anda gunakan, termasuk pemicu insiden, pemberitahuan, atau entitas. Contohnya:

Lakukan hal berikut untuk membuat playbook Anda:

1. Di tab Dasar:

   1. Pilih Langganan, Grup sumber daya, dan Wilayah yang Anda pilih dari daftar drop-down masing-masing. Wilayah yang dipilih adalah tempat informasi Aplikasi Logika Anda disimpan.

   2. Masukkan nama untuk playbook Anda di bagian Nama playbook.

   3. Jika Anda ingin memantau aktivitas playbook ini untuk tujuan diagnostik, pilih kotak centang Aktifkan log diagnostik di Analitik Log, dan pilih ruang kerja Analitik Log Anda dari daftar drop-down.

   4. Jika playbook Anda memerlukan akses ke sumber daya yang dilindungi yang berada di dalam atau terhubung ke jaringan virtual Azure, Anda mungkin perlu menggunakan lingkungan layanan integrasi (ISE). Jika demikian, pilih kotak centang Kaitkan dengan lingkungan layanan integrasi, dan pilih ISE yang relevan dari daftar drop-down.

   5. Pilih Berikutnya : Koneksi >.

2. Di tab Koneksi ions, sebaiknya tinggalkan nilai default, mengonfigurasi Logic Apps untuk terhubung ke Microsoft Azure Sentinel dengan identitas terkelola. Untuk informasi selengkapnya, lihat Mengautentikasi playbook ke Microsoft Azure Sentinel.

   Pilih Berikutnya : Tinjau dan buat > untuk melanjutkan.

3. Di tab Tinjau dan buat , tinjau pilihan konfigurasi yang Anda buat, dan pilih Buat dan lanjutkan ke perancang.

   Playbook Anda akan memakan waktu beberapa menit untuk dibuat dan disebarkan, setelah itu Anda melihat pesan "Penyebaran Anda selesai" dan Anda dibawa ke Logic App Designer playbook baru Anda. Pemicu yang Anda pilih di awal secara otomatis ditambahkan sebagai langkah pertama, dan Anda dapat terus merancang alur kerja dari sana.

   

4. Jika Anda memilih pemicu entitas Microsoft Azure Sentinel, pilih jenis entitas yang Anda inginkan untuk diterima playbook ini sebagai input.

   

Standard

Karena playbook berdasarkan alur kerja Standar tidak mendukung templat playbook, Anda harus terlebih dahulu membuat aplikasi logika, lalu membuat playbook, dan akhirnya memilih pemicu untuk playbook Anda.

Setelah memilih opsi Playbook kosong, tab browser baru terbuka dengan wizard Buat Aplikasi Logika. Contohnya:

Membuat aplikasi logika

1. Di tab Dasar, masukkan detail berikut ini:

   1. Pilih Langganan dan Grup Sumber Daya yang Anda pilih dari daftar drop-down masing-masing.
   2. Masukkan nama untuk Aplikasi Logika Anda. Untuk Terbitkan, pilih Alur Kerja. Pilih Wilayah tempat Anda ingin menyebarkan aplikasi logika.
   3. Untuk Jenis paket, pilih Standar.
   4. Pilih Berikutnya: Hosting>.

2. Di tab Hosting:

   1. Untuk Jenis penyimpanan, pilih Azure Storage, dan pilih atau buat akun Storage.
   2. Pilih Paket Windows.

3. Di tab Pemantauan:

   1. Jika Anda ingin mengaktifkan pemantauan performa di Azure Monitor untuk aplikasi ini, biarkan tombol pada Ya. Jika tidak, alihkan ke Tidak.

      Catatan

      Pemantauan ini tidak diwajibkan untuk Microsoft Sentinel dan akan dikenakan biaya tambahan.

   2. Secara opsional, pilih Berikutnya : Tag > untuk menerapkan tag ke Aplikasi Logika ini untuk tujuan kategorisasi dan penagihan sumber daya. Jika tidak, pilih Tinjau + buat.

4. Di tab Tinjau + buat , tinjau pilihan konfigurasi yang Anda buat, dan pilih Buat.

   Playbook Anda membutuhkan waktu beberapa menit untuk dibuat dan disebarkan, di mana Anda melihat beberapa pesan penyebaran. Di akhir proses, Anda dibawa ke layar penyebaran akhir, tempat Anda melihat pesan: "Penyebaran Anda selesai."

5. Pilih Buka sumber daya. Anda dibawa ke halaman utama Aplikasi Logika baru Anda.

   Tidak seperti playbook Konsumsi klasik, Anda belum selesai. Sekarang Anda harus membuat alur kerja.

Membuat alur kerja untuk playbook Anda

1. Dari halaman detail Aplikasi Logika Anda, pilih Alur > Kerja + Tambahkan. Mungkin perlu beberapa saat agar tombol + Tambahkan menjadi aktif.

2. Di panel Alur kerja baru yang muncul:

   1. Masukkan nama yang bermakna untuk alur kerja Anda.
   2. Di bagian Jenis status, pilih Stateful. Microsoft Azure Sentinel tidak mendukung penggunaan alur kerja tanpa status sebagai playbook.
   3. Pilih Buat.

   Alur kerja Anda disimpan dan muncul dalam daftar alur kerja di Aplikasi Logika Anda.

3. Pilih alur kerja baru untuk melanjutkan dan mengakses halaman detail alur kerja Anda. Di sini Anda dapat melihat semua informasi tentang alur kerja Anda, termasuk catatan setiap kali berjalan.

4. Dari halaman detail alur kerja, pilih Perancang.

5. Halaman Perancang terbuka dan Anda diminta untuk menambahkan pemicu dan terus merancang alur kerja. Contohnya:

   

Menambahkan pemicu Anda

1. Di halaman Perancang, pilih tab Azure dan masukkan Sentinel di kotak Pencarian. Tab Pemicu menunjukkan pemicu yang didukung oleh Microsoft Azure Sentinel, termasuk:

   • Pemberitahuan Microsoft Azure Sentinel
   • Entitas Microsoft Azure Sentinel
   • Insiden Microsoft Azure Sentinel

   Contohnya:

   

2. Jika Anda memilih pemicu entitas Microsoft Azure Sentinel, pilih jenis entitas yang Anda inginkan untuk diterima playbook ini sebagai input. Contohnya:

   

Untuk informasi selengkapnya, lihat Pemicu dan tindakan yang didukung di playbook Microsoft Azure Sentinel.

Menambahkan tindakan ke playbook Anda

Sekarang setelah Anda memiliki aplikasi logika, tentukan apa yang terjadi saat Anda memanggil playbook. Tambahkan tindakan, kondisi logis, perulangan, atau beralih kondisi kasus, semuanya dengan memilih Langkah baru. Pilihan ini membuka bingkai baru di perancang, tempat Anda dapat memilih sistem atau aplikasi untuk berinteraksi dengan atau kondisi yang akan ditetapkan. Masukkan nama sistem atau aplikasi di bilah pencarian di bagian atas bingkai, lalu pilih dari hasil yang tersedia.

Di setiap langkah ini, mengklik bidang apa pun menampilkan panel dengan menu berikut:

• Konten dinamis: Tambahkan referensi ke atribut pemberitahuan atau insiden yang diteruskan ke playbook, termasuk nilai dan atribut semua entitas yang dipetakan dan detail kustom yang terkandung dalam pemberitahuan atau insiden. Untuk contoh penggunaan konten dinamis, lihat:

  • Menggunakan playbook entitas tanpa ID insiden
  • Bekerja dengan detail kustom

• Ekspresi: Pilih dari pustaka besar fungsi untuk menambahkan lebih banyak logika ke langkah Anda.

Untuk informasi selengkapnya, lihat Pemicu dan tindakan yang didukung di playbook Microsoft Azure Sentinel.

Perintah autentikasi

Saat Anda memilih pemicu, atau tindakan berikutnya, Anda diminta untuk mengautentikasi ke penyedia sumber daya mana pun yang berinteraksi dengan Anda. Dalam hal ini, penyedianya adalah Microsoft Sentinel, dan ada beberapa opsi autentikasi. Untuk informasi selengkapnya, lihat:

• Mengautentikasi playbook ke Microsoft Azure Sentinel
• Pemicu dan tindakan yang didukung di playbook Microsoft Azure Sentinel

Konten dinamis: Menggunakan playbook entitas tanpa ID insiden

Playbook yang dibuat dengan pemicu entitas sering menggunakan bidang ID ARM Insiden, seperti untuk memperbarui insiden setelah mengambil tindakan pada entitas.

Jika playbook seperti itu dipicu dalam konteks yang tidak terhubung ke insiden, seperti ketika perburuan ancaman, tidak ada insiden yang ID-nya dapat mengisi bidang ini. Dalam hal ini, bidang diisi dengan nilai null.

Akibatnya, playbook mungkin gagal berjalan hingga selesai. Untuk mencegah kegagalan ini, kami sarankan Anda membuat kondisi yang memeriksa nilai di bidang ID insiden sebelum mengambil tindakan apa pun di atasnya, dan meresepkan serangkaian tindakan yang berbeda jika bidang memiliki nilai null - yaitu, jika playbook tidak dijalankan dari insiden.

Lakukan langkah-langkah berikut:

1. Sebelum tindakan pertama yang merujuk ke bidang ID ARM Insiden, tambahkan langkah Kondisi .

2. Di samping, pilih bidang Pilih nilai untuk memasukkan dialog Tambahkan konten dinamis.

3. Pilih ID ARM Insiden (Opsional), dan tidak sama dengan operator.

4. Pilih Pilih nilai lagi untuk memasukkan dialog Tambahkan konten dinamis.

5. Pilih tab Ekspresi dan fungsi null .

Contohnya:

Konten dinamis: Bekerja dengan detail kustom

Bidang dinamis Pemberitahuan detail kustom, yang tersedia dalam pemicu insiden, adalah objek JSON array, yang masing-masing mewakili detail kustom pemberitahuan. Detail kustom adalah pasangan kunci-nilai yang memungkinkan Anda menampilkan informasi dari peristiwa dalam pemberitahuan sehingga dapat diwakili, dilacak, dan dianalisis sebagai bagian dari insiden.

Karena bidang dalam peringatan ini dapat disesuaikan, skemanya bergantung pada jenis peristiwa yang muncul. Berikan data dari instans peristiwa ini untuk menghasilkan skema yang menentukan bagaimana bidang detail kustom diurai.

Contohnya:

Dalam pasangan kunci-nilai ini:

• Kunci, di kolom kiri, mewakili bidang kustom yang Anda buat.
• Nilai, di kolom kanan, mewakili bidang dari data peristiwa yang mengisi bidang kustom.

Berikan kode JSON berikut untuk menghasilkan skema. Kode menunjukkan nama kunci sebagai array, dan nilai sebagai item dalam array. Nilai ditampilkan sebagai nilai aktual, bukan kolom yang berisi nilai.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Untuk menggunakan bidang kustom untuk pemicu insiden:

1. Menambahkan langkah baru menggunakan tindakan bawaan dari Mengurai JSON. Masukkan 'uraikan json' di bidang Pencarian untuk menemukannya jika perlu.

2. Temukan dan pilih Detail Kustom Pemberitahuan dalam daftar Konten dinamis, di pemicu insiden. Contohnya:

   

   Ini membuat untuk setiap perulangan, karena insiden berisi array pemberitahuan.

3. Pilih tautan Gunakan payload sampel untuk menghasilkan skema. Contohnya:

   

4. Menyediakan sampel payload. Misalnya, Anda dapat menemukan contoh payload dengan melihat di Analitik Log untuk instans lain dari pemberitahuan ini dan menyalin objek detail kustom, yang ditemukan di bawah Properti yang Diperluas. Akses data Analitik Log baik di halaman Log di portal Azure atau halaman Perburuan tingkat lanjut di portal Defender. Pada cuplikan layar di bawah ini, kami menggunakan kode JSON yang ditunjukkan di atas.

   

Bidang kustom siap digunakan sebagai bidang dinamis jenis Array. Misalnya, cuplikan layar berikut menunjukkan array dan itemnya, baik dalam skema maupun dalam daftar yang muncul di bawah Konten dinamis, yang kami jelaskan di bagian ini:

Mengelola playbook Anda

Pilih tab Playbook Aktif Automation > untuk melihat semua playbook yang dapat Anda akses, difilter menurut tampilan langganan Anda.

Setelah onboarding ke platform operasi keamanan terpadu, secara default tab Playbook aktif menunjukkan filter yang telah ditentukan sebelumnya dengan langganan ruang kerja onboarding. Di portal Azure, edit langganan yang Anda tampilkan dari menu Direktori + langganan di header halaman Azure global.

Meskipun tab Playbook aktif menampilkan semua playbook aktif yang tersedia di semua langganan yang dipilih, secara default playbook hanya dapat digunakan dalam langganan tempat playbook berada, kecuali Anda secara khusus memberikan izin Microsoft Sentinel ke grup sumber daya playbook.

Tab Playbook aktif menampilkan playbook Anda dengan detail berikut:

Nama kolom	Deskripsi
Keadaan	Menunjukkan apakah playbook diaktifkan atau dinonaktifkan.
Rencana	Menunjukkan apakah playbook menggunakan jenis sumber daya Azure Logic Apps Standar atau Konsumsi . Playbook jenis Standar menggunakan LogicApp/Workflow konvensi penamaan, yang mencerminkan bagaimana playbook Standar mewakili alur kerja yang ada bersama alur kerja lain dalam satu Aplikasi Logika. Untuk informasi selengkapnya, lihat Azure Logic Apps untuk playbook Microsoft Azure Sentinel.
Jenis pemicu	Menunjukkan pemicu Azure Logic Apps yang memulai playbook ini: - Insiden/Peringatan/Entitas Microsoft Sentinel: Playbook dimulai dengan salah satu pemicu Sentinel, termasuk insiden, pemberitahuan, atau entitas - Menggunakan Tindakan Microsoft Azure Sentinel: Playbook dimulai dengan pemicu non-Microsoft Sentinel tetapi menggunakan tindakan Microsoft Azure Sentinel - Lainnya: Playbook tidak menyertakan komponen Microsoft Azure Sentinel apa pun - Tidak diinisialisasi: Playbook dibuat, tetapi tidak berisi komponen, tidak memicu tidak ada tindakan.

Pilih playbook untuk membuka halaman Azure Logic Apps-nya, yang menampilkan detail selengkapnya tentang playbook. Pada halaman Azure Logic Apps:

• Melihat log sepanjang waktu playbook dijalankan
• Lihat hasil eksekusi, termasuk keberhasilan dan kegagalan dan detail lainnya
• Jika Anda memiliki izin yang relevan, buka perancang alur kerja di Azure Logic Apps untuk mengedit playbook secara langsung

Konten terkait

Setelah Anda membuat playbook, lampirkan ke aturan yang akan dipicu oleh peristiwa di lingkungan Anda, atau jalankan playbook Anda secara manual pada insiden, pemberitahuan, atau entitas tertentu.

Untuk informasi selengkapnya, lihat:

• Mengotomatiskan dan menjalankan playbook Microsoft Azure Sentinel
• Mengautentikasi playbook ke Microsoft Azure Sentinel
• Menggunakan playbook Microsoft Azure Sentinel untuk menghentikan pengguna yang berpotensi disusupi