Bagikan melalui

Membuat dan melakukan tugas insiden di Microsoft Azure Sentinel menggunakan playbook

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara menggunakan playbook untuk membuat, dan secara opsional melakukan tugas insiden untuk mengelola proses alur kerja analis yang kompleks di Microsoft Azure Sentinel.

Gunakan tindakan Tambahkan tugas dalam playbook, di konektor Microsoft Azure Sentinel, untuk menambahkan tugas secara otomatis ke insiden yang memicu playbook. Alur kerja Standar dan Konsumsi didukung.

Tip

Tugas insiden dapat dibuat secara otomatis tidak hanya oleh playbook, tetapi juga oleh aturan otomatisasi, dan juga secara manual, ad-hoc, dari dalam insiden.

Untuk informasi selengkapnya, lihat Menggunakan tugas untuk mengelola insiden di Microsoft Azure Sentinel.

Prasyarat

  • Peran Microsoft Sentinel Responder diperlukan untuk melihat dan mengedit insiden, yang diperlukan untuk menambahkan, melihat, dan mengedit tugas.

  • Peran Kontributor Logic Apps diperlukan untuk membuat dan mengedit playbook.

Untuk informasi selengkapnya, lihat Prasyarat playbook Microsoft Azure Sentinel.

Menggunakan playbook untuk menambahkan tugas dan melakukannya

Bagian ini menyediakan contoh prosedur untuk menambahkan tindakan playbook yang melakukan hal berikut:

  • Menambahkan tugas ke insiden, mengatur ulang kata sandi pengguna yang disusupi
  • Menambahkan tindakan playbook lain untuk mengirim sinyal ke Microsoft Entra ID Protection (AADIP) untuk benar-benar mengatur ulang kata sandi
  • Menambahkan tindakan playbook akhir untuk menandai tugas dalam insiden selesai.

Untuk menambahkan dan mengonfigurasi tindakan ini, lakukan langkah-langkah berikut:

  1. Dari konektor Microsoft Azure Sentinel , tambahkan tindakan Tambahkan tugas ke insiden lalu:

    1. Pilih item konten dinamis ID ARM Insiden untuk bidang Id ARM Insiden.

    2. Masukkan Atur ulang kata sandi pengguna sebagai Judul.

    3. Tambahkan deskripsi opsional.

    Contohnya:

    Cuplikan layar memperlihatkan tindakan playbook untuk menambahkan tugas untuk mengatur ulang kata sandi pengguna.

  2. Tambahkan tindakan Entitas - Dapatkan Akun (Pratinjau). Tambahkan item konten dinamis Entitas (dari skema insiden Microsoft Sentinel) ke bidang daftar Entitas. Contohnya:

    Cuplikan layar memperlihatkan tindakan playbook untuk mendapatkan entitas akun dalam insiden tersebut.

  3. Tambahkan untuk setiap perulangan dari pustaka Tindakan kontrol. Tambahkan item konten dinamis Akun dari output Entitas - Dapatkan Akun ke bidang Pilih output dari langkah sebelumnya. Contohnya:

    Cuplikan layar memperlihatkan cara menambahkan tindakan perulangan for-each ke playbook untuk melakukan tindakan pada setiap akun yang ditemukan.

  4. Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan. lalu:

    1. Cari dan pilih konektor Microsoft Entra ID Protection
    2. Pilih tindakan Konfirmasi pengguna berisiko sebagai disusupi (Pratinjau).
    3. Tambahkan item konten dinamis ID pengguna Akun Microsoft Entra ke bidang UserIds Item - 1.

    Tindakan ini mengatur proses gerakan di dalam Microsoft Entra ID Protection untuk mengatur ulang kata sandi pengguna.

    Cuplikan layar memperlihatkan pengiriman entitas ke AADIP untuk mengonfirmasi penyusupan.

    Catatan

    Bidang ID pengguna Akun Microsoft Entra adalah salah satu cara untuk mengidentifikasi pengguna di AADIP. Ini mungkin belum tentu menjadi cara terbaik dalam setiap skenario, tetapi dibawa ke sini hanya sebagai contoh.

    Untuk bantuan, lihat playbook lain yang menangani pengguna yang disusupi, atau dokumentasi Microsoft Entra ID Protection.

  5. Tambahkan tindakan Tandai tugas sebagai selesai dari konektor Microsoft Azure Sentinel dan tambahkan item konten dinamis ID tugas Insiden ke bidang id ARM Tugas. Contohnya:

    Cuplikan layar memperlihatkan cara menambahkan tindakan playbook untuk menandai tugas insiden selesai.

Menggunakan playbook untuk menambahkan tugas secara kondisional

Bagian ini menyediakan prosedur sampel untuk menambahkan tindakan playbook yang meneliti alamat IP yang muncul dalam insiden.

  • Jika hasil penelitian ini adalah bahwa alamat IP berbahaya, playbook membuat tugas bagi analis untuk menonaktifkan pengguna menggunakan alamat IP tersebut.
  • Jika alamat IP bukan alamat berbahaya yang diketahui, playbook membuat tugas yang berbeda, agar analis menghubungi pengguna untuk memverifikasi aktivitas.

Untuk menambahkan dan mengonfigurasi tindakan ini, lakukan langkah-langkah berikut:

  1. Dari konektor Microsoft Azure Sentinel, tambahkan tindakan Entitas - Dapatkan IP . Tambahkan item konten dinamis Entitas (dari skema insiden Microsoft Sentinel) ke bidang daftar Entitas. Contohnya:

    Cuplikan layar memperlihatkan tindakan playbook untuk mendapatkan entitas alamat IP dalam insiden tersebut.

  2. Tambahkan untuk setiap perulangan dari pustaka Tindakan kontrol. Tambahkan item konten dinamis IP dari entitas - Dapatkan output IP ke bidang Pilih output dari langkah sebelumnya. Contohnya:

    Cuplikan layar memperlihatkan cara menambahkan tindakan perulangan for-each ke playbook untuk melakukan tindakan pada setiap alamat IP yang ditemukan.

  3. Di dalam perulangan Untuk setiap, pilih Tambahkan tindakan, lalu:

    1. Cari dan pilih konektor Total Virus.
    2. Pilih tindakan Dapatkan laporan IP (Pratinjau).
    3. Tambahkan item konten dinamis Alamat IP dari entitas - Dapatkan output IP ke bidang Alamat IP.

    Contohnya:

    Cuplikan layar memperlihatkan pengiriman permintaan ke Total Virus untuk laporan alamat IP.

  4. Di dalam perulangan Untuk setiap, pilih Tambahkan tindakan, lalu:

    1. Tambahkan Kondisi dari pustaka Tindakan kontrol.
    2. Tambahkan item konten dinamis Berbahaya statistik analisis terakhir dari output Dapatkan laporan IP. Anda mungkin harus memilih Lihat selengkapnya untuk menemukannya.
    3. Pilih lebih besar dari operator dan masukkan 0 sebagai nilainya.

    Kondisi ini mengajukan pertanyaan "Apakah laporan TOTAL IP Virus memiliki hasil?" Misalnya:

    Cuplikan layar memperlihatkan cara mengatur kondisi true-false dalam playbook.

  5. Di dalam opsi True, pilih Tambahkan tindakan, lalu:

    1. Pilih tindakan Tambahkan tugas ke insiden dari konektor Microsoft Azure Sentinel.
    2. Pilih item konten dinamis ID ARM Insiden untuk bidang Id ARM Insiden.
    3. Masukkan Tandai pengguna sebagai disusupi sebagai Judul.
    4. Tambahkan deskripsi opsional.

    Contohnya:

    Cuplikan layar memperlihatkan tindakan playbook untuk menambahkan tugas untuk menandai pengguna sebagai disusupi.

  6. Di dalam opsi False, pilih Tambahkan tindakan, lalu:

    1. Pilih tindakan Tambahkan tugas ke insiden dari konektor Microsoft Azure Sentinel.
    2. Pilih item konten dinamis ID ARM Insiden untuk bidang Id ARM Insiden.
    3. Masukkan Hubungi pengguna untuk mengonfirmasi aktivitas sebagai Judul.
    4. Tambahkan deskripsi opsional.

    Contohnya:

    Cuplikan layar memperlihatkan tindakan playbook untuk menambahkan tugas agar pengguna mengonfirmasi aktivitas.

Konten terkait

Untuk informasi selengkapnya, lihat: