Membuat dan melakukan tugas insiden di Microsoft Azure Sentinel menggunakan playbook
Artikel ini menjelaskan cara menggunakan playbook untuk membuat tugas insiden (dan secara opsional), untuk mengelola proses alur kerja analis yang kompleks di Microsoft Azure Sentinel.
Tugas insiden dapat dibuat secara otomatis tidak hanya oleh playbook, tetapi juga oleh aturan otomatisasi, dan juga secara manual, ad-hoc, dari dalam insiden.
Kasus penggunaan untuk peran yang berbeda
Artikel ini membahas skenario berikut yang berlaku untuk manajer SOC, analis senior, dan insinyur otomatisasi:
- Menggunakan playbook untuk menambahkan tugas dan melakukannya
- Menggunakan playbook untuk menambahkan tugas secara kondisional
Skenario lain untuk audiens ini dibahas dalam artikel pendamping berikut:
- Menampilkan aturan otomatisasi dengan tindakan tugas insiden
- Menambahkan tugas ke insiden dengan aturan otomatisasi
Artikel lain, pada tautan berikut, membahas skenario yang berlaku lebih banyak untuk analis SOC:
Prasyarat
Peran Microsoft Sentinel Responder diperlukan untuk melihat dan mengedit insiden, yang diperlukan untuk menambahkan, melihat, dan mengedit tugas.
Peran Kontributor Logic Apps diperlukan untuk membuat dan mengedit playbook.
Menambahkan tugas ke insiden dengan playbook
Gunakan tindakan Tambahkan tugas dalam playbook (di konektor Microsoft Azure Sentinel) untuk menambahkan tugas secara otomatis ke insiden yang memicu playbook.
Ikuti petunjuk ini untuk membuat playbook berdasarkan pemicu insiden. (Anda dapat menggunakan alur kerja Standar atau alur kerja Konsumsi.)
Ada dua cara untuk bekerja dengan playbook untuk menghasilkan tugas:
Menggunakan playbook untuk menambahkan tugas dan melakukannya
Dalam contoh ini kita akan menambahkan tindakan playbook yang menambahkan tugas ke insiden untuk mengatur ulang kata sandi pengguna yang disusupi, dan kita akan menambahkan tindakan playbook lain yang mengirim sinyal ke Microsoft Entra ID Protection (AADIP) untuk benar-benar mengatur ulang kata sandi. Kemudian kita akan menambahkan tindakan playbook akhir untuk menandai tugas dalam insiden selesai.
Untuk menambahkan dan mengonfigurasi tindakan ini, lakukan langkah-langkah berikut:
Dari konektor Microsoft Azure Sentinel , tambahkan tindakan Tambahkan tugas ke insiden .
Pilih item konten dinamis ID ARM Insiden untuk bidang id ARM Insiden. Masukkan Atur ulang kata sandi pengguna sebagai Judul. Tambahkan deskripsi jika Anda mau.Tambahkan tindakan Entitas - Dapatkan Akun (Pratinjau).
Tambahkan item konten dinamis Entitas (dari skema insiden Microsoft Sentinel) ke bidang daftar Entitas.Tambahkan untuk setiap perulangan dari pustaka Tindakan kontrol.
Tambahkan item konten dinamis Akun dari output Entitas - Dapatkan Akun ke bidang Pilih output dari langkah sebelumnya.Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan.
Cari dan pilih konektor Microsoft Entra ID Protection, dan pilih tindakan Konfirmasi pengguna berisiko sebagai disusupi (Pratinjau).
Tambahkan item konten dinamis ID pengguna Akun Microsoft Entra ke bidang UserIds Item - 1.Catatan
Bidang ini (ID pengguna Akun Microsoft Entra) adalah salah satu cara untuk mengidentifikasi pengguna di AADIP. Ini mungkin belum tentu menjadi cara terbaik dalam setiap skenario, tetapi dibawa ke sini hanya sebagai contoh. Untuk bantuan, lihat playbook lain yang menangani pengguna yang disusupi, atau dokumentasi Microsoft Entra ID Protection.
Tindakan ini mengatur proses gerakan di dalam Microsoft Entra ID Protection yang akan mengatur ulang kata sandi pengguna.
Tambahkan tindakan Tandai tugas sebagai selesai dari konektor Microsoft Azure Sentinel.
Tambahkan item konten dinamis ID tugas Insiden ke bidang id ARM Tugas.
Menggunakan playbook untuk menambahkan tugas secara kondisional
Dalam contoh ini kita akan menambahkan tindakan playbook yang meneliti alamat IP yang muncul dalam insiden. Jika hasil penelitian ini adalah bahwa alamat IP berbahaya, playbook akan membuat tugas bagi analis untuk menonaktifkan pengguna menggunakan alamat IP tersebut. Jika alamat IP bukan alamat berbahaya yang diketahui, playbook akan membuat tugas yang berbeda, agar analis menghubungi pengguna untuk memverifikasi aktivitas.
Dari konektor Microsoft Azure Sentinel, tambahkan tindakan Entitas - Dapatkan IP .
Tambahkan item konten dinamis Entitas (dari skema insiden Microsoft Sentinel) ke bidang daftar Entitas.Tambahkan untuk setiap perulangan dari pustaka Tindakan kontrol.
Tambahkan item konten dinamis IP dari entitas - Dapatkan output IP ke bidang Pilih output dari langkah sebelumnya.Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan.
Cari dan pilih konektor Total Virus, dan pilih tindakan Dapatkan laporan IP (Pratinjau).
Tambahkan item konten dinamis Alamat IP dari entitas - Dapatkan output IP ke bidang Alamat IP.Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan.
Tambahkan Kondisi dari pustaka Tindakan kontrol.
Tambahkan item Konten dinamis Berbahaya statistik analisis terakhir dari output Dapatkan laporan IP (Anda mungkin harus memilih "Lihat selengkapnya" untuk menemukannya), pilih yang lebih besar dari operator, dan masukkan0
sebagai nilai. Kondisi ini mengajukan pertanyaan "Apakah laporan TOTAL IP Virus memiliki hasil?"Di dalam opsi True, pilih Tambahkan tindakan.
Pilih tindakan Tambahkan tugas ke insiden dari konektor Microsoft Azure Sentinel.
Pilih item konten dinamis ID ARM Insiden untuk bidang id ARM Insiden.
Masukkan Tandai pengguna sebagai disusupi sebagai Judul. Tambahkan deskripsi jika Anda mau.Di dalam opsi False, pilih Tambahkan tindakan.
Pilih tindakan Tambahkan tugas ke insiden dari konektor Microsoft Azure Sentinel.
Pilih item konten dinamis ID ARM Insiden untuk bidang id ARM Insiden.
Masukkan Hubungi pengguna untuk mengonfirmasi aktivitas sebagai Judul. Tambahkan deskripsi jika Anda mau.
Langkah berikutnya
- Pelajari selengkapnya tentang tugas insiden.
- Pelajari cara menyelidiki insiden.
- Pelajari cara menambahkan tugas ke grup insiden secara otomatis menggunakan aturan otomatisasi.
- Pelajari cara menggunakan tugas untuk menangani alur kerja insiden di Microsoft Azure Sentinel.
- Pelajari selengkapnya tentang playbook, cara membuatnya, dan terutama tentang bekerja dengan tindakan.