Kasus penggunaan playbook, templat, dan contoh yang direkomendasikan
Artikel ini mencantumkan contoh kasus penggunaan untuk playbook Microsoft Azure Sentinel, serta playbook sampel dan templat playbook yang direkomendasikan.
Kasus penggunaan playbook yang direkomendasikan
Sebaiknya mulai dengan playbook Microsoft Sentinel untuk skenario SOC berikut, yang kami sediakan templat playbook siap pakai di luar kotak.
Pengayaan: Mengumpulkan dan melampirkan data ke insiden untuk membuat keputusan yang lebih cerdas
Jika insiden Microsoft Azure Sentinel Anda dibuat dari aturan pemberitahuan dan analitik yang menghasilkan entitas alamat IP, konfigurasikan insiden untuk memicu aturan otomatisasi untuk menjalankan playbook dan mengumpulkan lebih banyak informasi.
Konfigurasikan playbook Anda dengan langkah-langkah berikut:
Mulai playbook saat insiden dibuat. Entitas yang diwakili dalam insiden disimpan dalam bidang dinamis pemicu insiden.
Untuk setiap alamat IP, konfigurasikan playbook untuk mengkueri penyedia Inteligensi Ancaman eksternal, seperti Total Virus, untuk mengambil lebih banyak data.
Tambahkan data dan wawasan yang dikembalikan sebagai komentar insiden untuk memperkaya penyelidikan Anda.
Sinkronisasi dua arah untuk insiden Microsoft Azure Sentinel dengan sistem tiket lainnya
Untuk menyinkronkan data insiden Microsoft Azure Sentinel Anda dengan sistem tiket, seperti ServiceNow:
Buat aturan otomatisasi untuk semua pembuatan insiden.
Lampirkan playbook yang dipicu saat insiden baru dibuat.
Konfigurasikan playbook untuk membuat tiket baru di ServiceNow menggunakan konektor ServiceNow.
Pastikan tim Anda dapat dengan mudah melompat dari tiket ServiceNow kembali ke insiden Microsoft Azure Sentinel Anda dengan mengonfigurasi playbook untuk menyertakan nama insiden, bidang penting, dan URL ke insiden Microsoft Sentinel di tiket ServiceNow.
Orkestrasi: Mengontrol antrean insiden dari platform obrolan SOC Anda
Jika insiden Microsoft Azure Sentinel Anda dibuat dari aturan pemberitahuan dan analitik yang menghasilkan entitas nama pengguna dan alamat IP, konfigurasikan insiden untuk memicu aturan otomatisasi untuk menjalankan playbook dan menghubungi tim Anda melalui saluran komunikasi standar Anda.
Konfigurasikan playbook Anda dengan langkah-langkah berikut:
Mulai playbook saat insiden dibuat. Entitas yang diwakili dalam insiden disimpan dalam bidang dinamis pemicu insiden.
Konfigurasikan playbook untuk mengirim pesan ke saluran komunikasi operasi keamanan Anda, seperti di Microsoft Teams atau Slack untuk memastikan analis keamanan Anda mengetahui insiden tersebut.
Konfigurasikan playbook untuk mengirim semua informasi dalam pemberitahuan melalui email ke admin jaringan senior dan admin keamanan Anda. Pesan email menyertakan tombol opsi Blokir dan Abaikan pengguna.
Konfigurasikan playbook untuk menunggu hingga respons diterima dari admin, lalu lanjutkan untuk menjalankan.
Jika admin memilih Blokir, konfigurasikan playbook untuk mengirim perintah ke firewall untuk memblokir alamat IP dalam pemberitahuan, dan yang lain ke ID Microsoft Entra untuk menonaktifkan pengguna.
Respons terhadap ancaman segera dengan dependensi manusia minimal
Bagian ini memberikan dua contoh, menanggapi ancaman pengguna yang disusupi dan mesin yang disusupi.
Dalam kasus pengguna yang disusupi, seperti yang ditemukan oleh Microsoft Entra ID Protection:
Mulai playbook Anda saat insiden Microsoft Sentinel baru dibuat.
Untuk setiap entitas pengguna dalam insiden yang diduga disusupi, konfigurasikan playbook untuk:
Kirim pesan Teams kepada pengguna, meminta konfirmasi bahwa pengguna mengambil tindakan mencurigakan tersebut.
Tanyakan kepada Microsoft Entra ID Protection untuk mengonfirmasi status pengguna sebagai disusupi. Microsoft Entra ID Protection memberi label pengguna sebagai berisiko, dan menerapkan kebijakan penegakan apa pun yang sudah dikonfigurasi - misalnya, untuk mengharuskan pengguna menggunakan MFA saat masuk berikutnya.
Catatan
Tindakan Microsoft Entra khusus ini tidak memulai aktivitas penegakan apa pun pada pengguna, juga tidak memulai konfigurasi kebijakan penegakan apa pun. Ini hanya memberi tahu Microsoft Entra ID Protection untuk menerapkan kebijakan yang sudah ditentukan yang sesuai. Penegakan apa pun sepenuhnya bergantung pada kebijakan yang sesuai yang ditentukan dalam Microsoft Entra ID Protection.
Dalam kasus mesin yang disusupi, seperti yang ditemukan oleh Microsoft Defender untuk Titik Akhir:
Mulai playbook Anda saat insiden Microsoft Sentinel baru dibuat.
Konfigurasikan playbook Anda dengan tindakan Entitas - Dapatkan Host untuk mengurai mesin mencurigakan yang disertakan dalam entitas insiden.
Konfigurasikan playbook Anda untuk mengeluarkan perintah untuk Microsoft Defender untuk Titik Akhir mengisolasi komputer dalam pemberitahuan.
Merespons secara manual selama penyelidikan atau saat berburu tanpa meninggalkan konteks
Gunakan pemicu entitas untuk mengambil tindakan segera pada pelaku ancaman individual yang Anda temukan selama penyelidikan, satu per satu, langsung dari dalam penyelidikan Anda. Opsi ini juga tersedia dalam konteks perburuan ancaman, tidak terhubung ke insiden tertentu.
Pilih entitas dalam konteks dan lakukan tindakan di sana, hemat waktu dan kurangi kompleksitas.
Playbook dengan pemicu entitas mendukung tindakan seperti:
- Memblokir pengguna yang disusupi.
- Memblokir lalu lintas dari alamat IP berbahaya di firewall Anda.
- Mengisolasi host yang disusupi di jaringan Anda.
- Menambahkan alamat IP ke daftar pengawasan alamat aman/tidak aman, atau ke database manajemen konfigurasi eksternal (CMDB) Anda.
- Mendapatkan laporan hash file dari sumber inteligensi ancaman eksternal dan menambahkannya ke insiden sebagai komentar.
Templat playbook yang direkomendasikan
Bagian ini mencantumkan playbook yang direkomendasikan, dan playbook serupa lainnya tersedia untuk Anda di hub Konten, atau di repositori GitHub Microsoft Sentinel.
Templat playbook pemberitahuan
Playbook pemberitahuan dipicu saat pemberitahuan atau insiden dibuat dan mengirim pemberitahuan ke tujuan yang dikonfigurasi:
| Playbook | Folder di Repositori GitHub |
Solusi di Hub konten/ Azure Marketplace |
|---|---|---|
| Posting pesan di saluran Microsoft Teams | Post-Message-Teams | Solusi Penting SOAR Sentinel |
| Mengirim pemberitahuan email Outlook | Kirim-email-dasar | Solusi Penting SOAR Sentinel |
| Posting pesan di saluran Slack | Post-Message-Slack | Solusi Penting SOAR Sentinel |
| Mengirim kartu adaptif Microsoft Teams pada pembuatan insiden | Send-Teams-adaptive-card-on-incident-creation | Solusi Penting SOAR Sentinel |
Memblokir templat playbook
Memblokir playbook dipicu saat peringatan atau insiden dibuat, mengumpulkan informasi entitas seperti akun, alamat IP, dan host, dan memblokirnya dari tindakan lebih lanjut:
| Playbook | Folder di Repositori GitHub |
Solusi di Hub konten/ Azure Marketplace |
|---|---|---|
| Memblokir alamat IP di Azure Firewall | AzureFirewall-BlockIP-addNewRule | Solusi Azure Firewall untuk Sentinel |
| Memblokir pengguna Microsoft Entra | Block-AADUser | Solusi Microsoft Entra |
| Mengatur ulang kata sandi pengguna Microsoft Entra | Reset-AADUserPassword | Solusi Microsoft Entra |
| Mengisolasi atau memisahkan perangkat menggunakan Microsoft Defender untuk Titik Akhir |
Isolate-MDEMachine Unisolate-MDEMachine |
solusi Microsoft Defender untuk Titik Akhir |
Membuat, memperbarui, atau menutup templat playbook
Buat, perbarui, atau tutup playbook dapat membuat, memperbarui, atau menutup insiden di Microsoft Azure Sentinel, layanan keamanan Microsoft 365, atau sistem pengajuan tiket lainnya:
| Playbook | Folder di Repositori GitHub |
Solusi di Hub konten/ Azure Marketplace |
|---|---|---|
| Membuat insiden menggunakan Microsoft Forms | CreateIncident-MicrosoftForms | Solusi Sentinel SOAR Essentials |
| Menghubungkan peringatan dengan insiden | relateAlertsToIncident-basedOnIP | Solusi Sentinel SOAR Essentials |
| Membuat insiden Service Now | Buat rekaman SNOW | Solusi ServiceNow |
Konfigurasi playbook yang umum digunakan
Bagian ini menyediakan cuplikan layar sampel untuk konfigurasi playbook yang umum digunakan, termasuk memperbarui insiden, menggunakan detail insiden, menambahkan komentar ke insiden, atau menonaktifkan pengguna.
Perbarui insiden
Bagian ini menyediakan cuplikan layar sampel tentang bagaimana Anda mungkin menggunakan playbook untuk memperbarui insiden berdasarkan insiden atau pemberitahuan baru.
Perbarui insiden berdasarkan insiden baru (pemicu insiden):
Perbarui insiden berdasarkan pemberitahuan baru (pemicu pemberitahuan):
Menggunakan detail insiden dalam alur Anda
Bagian ini menyediakan cuplikan layar sampel tentang bagaimana Anda dapat menggunakan playbook untuk menggunakan detail insiden di tempat lain dalam alur Anda:
Kirim detail insiden melalui email, menggunakan playbook yang dipicu oleh insiden baru:
Kirim detail insiden melalui email, menggunakan playbook yang dipicu oleh pemberitahuan baru:
Menambahkan komentar ke insiden
Bagian ini menyediakan cuplikan layar sampel tentang bagaimana Anda mungkin menggunakan playbook untuk menambahkan komentar ke insiden:
Tambahkan komentar ke insiden, menggunakan playbook yang dipicu oleh insiden baru:
Tambahkan komentar ke insiden, menggunakan playbook yang dipicu oleh pemberitahuan baru:
Menonaktifkan pengguna
Cuplikan layar berikut menunjukkan contoh bagaimana Anda dapat menggunakan playbook untuk menonaktifkan akun pengguna, berdasarkan pemicu entitas Microsoft Azure Sentinel:
