Membuat dan melakukan tugas insiden di Microsoft Azure Sentinel menggunakan playbook

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara menggunakan playbook untuk membuat tugas insiden (dan secara opsional), untuk mengelola proses alur kerja analis yang kompleks di Microsoft Azure Sentinel.

Tugas insiden dapat dibuat secara otomatis tidak hanya oleh playbook, tetapi juga oleh aturan otomatisasi, dan juga secara manual, ad-hoc, dari dalam insiden.

Kasus penggunaan untuk peran yang berbeda

Artikel ini membahas skenario berikut yang berlaku untuk manajer SOC, analis senior, dan insinyur otomatisasi:

Skenario lain untuk audiens ini dibahas dalam artikel pendamping berikut:

Artikel lain, pada tautan berikut, membahas skenario yang berlaku lebih banyak untuk analis SOC:

Prasyarat

Peran Microsoft Sentinel Responder diperlukan untuk melihat dan mengedit insiden, yang diperlukan untuk menambahkan, melihat, dan mengedit tugas.

Peran Kontributor Logic Apps diperlukan untuk membuat dan mengedit playbook.

Menambahkan tugas ke insiden dengan playbook

Gunakan tindakan Tambahkan tugas dalam playbook (di konektor Microsoft Azure Sentinel) untuk menambahkan tugas secara otomatis ke insiden yang memicu playbook.

Ikuti petunjuk ini untuk membuat playbook berdasarkan pemicu insiden. (Anda dapat menggunakan alur kerja Standar atau alur kerja Konsumsi.)

Ada dua cara untuk bekerja dengan playbook untuk menghasilkan tugas:

Menggunakan playbook untuk menambahkan tugas dan melakukannya

Dalam contoh ini kita akan menambahkan tindakan playbook yang menambahkan tugas ke insiden untuk mengatur ulang kata sandi pengguna yang disusupi, dan kita akan menambahkan tindakan playbook lain yang mengirim sinyal ke Microsoft Entra ID Protection (AADIP) untuk benar-benar mengatur ulang kata sandi. Kemudian kita akan menambahkan tindakan playbook akhir untuk menandai tugas dalam insiden selesai.

Untuk menambahkan dan mengonfigurasi tindakan ini, lakukan langkah-langkah berikut:

  1. Dari konektor Microsoft Azure Sentinel , tambahkan tindakan Tambahkan tugas ke insiden .
    Pilih item konten dinamis ID ARM Insiden untuk bidang id ARM Insiden. Masukkan Atur ulang kata sandi pengguna sebagai Judul. Tambahkan deskripsi jika Anda mau.

    Cuplikan layar memperlihatkan tindakan playbook untuk menambahkan tugas untuk mengatur ulang kata sandi pengguna.

  2. Tambahkan tindakan Entitas - Dapatkan Akun (Pratinjau).
    Tambahkan item konten dinamis Entitas (dari skema insiden Microsoft Sentinel) ke bidang daftar Entitas.

    Cuplikan layar memperlihatkan tindakan playbook untuk mendapatkan entitas akun dalam insiden tersebut.

  3. Tambahkan untuk setiap perulangan dari pustaka Tindakan kontrol.
    Tambahkan item konten dinamis Akun dari output Entitas - Dapatkan Akun ke bidang Pilih output dari langkah sebelumnya.

    Cuplikan layar memperlihatkan cara menambahkan tindakan perulangan for-each ke playbook untuk melakukan tindakan pada setiap akun yang ditemukan.

  4. Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan.
    Cari dan pilih konektor Microsoft Entra ID Protection, dan pilih tindakan Konfirmasi pengguna berisiko sebagai disusupi (Pratinjau).
    Tambahkan item konten dinamis ID pengguna Akun Microsoft Entra ke bidang UserIds Item - 1.

    Catatan

    Bidang ini (ID pengguna Akun Microsoft Entra) adalah salah satu cara untuk mengidentifikasi pengguna di AADIP. Ini mungkin belum tentu menjadi cara terbaik dalam setiap skenario, tetapi dibawa ke sini hanya sebagai contoh. Untuk bantuan, lihat playbook lain yang menangani pengguna yang disusupi, atau dokumentasi Microsoft Entra ID Protection.

    Tindakan ini mengatur proses gerakan di dalam Microsoft Entra ID Protection yang akan mengatur ulang kata sandi pengguna.

    Cuplikan layar memperlihatkan pengiriman entitas ke AADIP untuk mengonfirmasi penyusupan.

  5. Tambahkan tindakan Tandai tugas sebagai selesai dari konektor Microsoft Azure Sentinel.
    Tambahkan item konten dinamis ID tugas Insiden ke bidang id ARM Tugas.

    Cuplikan layar memperlihatkan cara menambahkan tindakan playbook untuk menandai tugas insiden selesai.

Menggunakan playbook untuk menambahkan tugas secara kondisional

Dalam contoh ini kita akan menambahkan tindakan playbook yang meneliti alamat IP yang muncul dalam insiden. Jika hasil penelitian ini adalah bahwa alamat IP berbahaya, playbook akan membuat tugas bagi analis untuk menonaktifkan pengguna menggunakan alamat IP tersebut. Jika alamat IP bukan alamat berbahaya yang diketahui, playbook akan membuat tugas yang berbeda, agar analis menghubungi pengguna untuk memverifikasi aktivitas.

  1. Dari konektor Microsoft Azure Sentinel, tambahkan tindakan Entitas - Dapatkan IP .
    Tambahkan item konten dinamis Entitas (dari skema insiden Microsoft Sentinel) ke bidang daftar Entitas.

    Cuplikan layar memperlihatkan tindakan playbook untuk mendapatkan entitas alamat IP dalam insiden tersebut.

  2. Tambahkan untuk setiap perulangan dari pustaka Tindakan kontrol.
    Tambahkan item konten dinamis IP dari entitas - Dapatkan output IP ke bidang Pilih output dari langkah sebelumnya.

    Cuplikan layar memperlihatkan cara menambahkan tindakan perulangan for-each ke playbook untuk melakukan tindakan pada setiap alamat IP yang ditemukan.

  3. Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan.
    Cari dan pilih konektor Total Virus, dan pilih tindakan Dapatkan laporan IP (Pratinjau).
    Tambahkan item konten dinamis Alamat IP dari entitas - Dapatkan output IP ke bidang Alamat IP.

    Cuplikan layar memperlihatkan pengiriman permintaan ke Total Virus untuk laporan alamat IP.

  4. Di dalam perulangan Untuk setiap , pilih Tambahkan tindakan.
    Tambahkan Kondisi dari pustaka Tindakan kontrol.
    Tambahkan item Konten dinamis Berbahaya statistik analisis terakhir dari output Dapatkan laporan IP (Anda mungkin harus memilih "Lihat selengkapnya" untuk menemukannya), pilih yang lebih besar dari operator, dan masukkan 0 sebagai nilai. Kondisi ini mengajukan pertanyaan "Apakah laporan TOTAL IP Virus memiliki hasil?"

    Cuplikan layar memperlihatkan cara mengatur kondisi true-false dalam playbook.

  5. Di dalam opsi True, pilih Tambahkan tindakan.
    Pilih tindakan Tambahkan tugas ke insiden dari konektor Microsoft Azure Sentinel.
    Pilih item konten dinamis ID ARM Insiden untuk bidang id ARM Insiden.
    Masukkan Tandai pengguna sebagai disusupi sebagai Judul. Tambahkan deskripsi jika Anda mau.

    Cuplikan layar memperlihatkan tindakan playbook untuk menambahkan tugas untuk menandai pengguna sebagai disusupi.

  6. Di dalam opsi False, pilih Tambahkan tindakan.
    Pilih tindakan Tambahkan tugas ke insiden dari konektor Microsoft Azure Sentinel.
    Pilih item konten dinamis ID ARM Insiden untuk bidang id ARM Insiden.
    Masukkan Hubungi pengguna untuk mengonfirmasi aktivitas sebagai Judul. Tambahkan deskripsi jika Anda mau.

    Cuplikan layar memperlihatkan tindakan playbook untuk menambahkan tugas agar pengguna mengonfirmasi aktivitas.

Langkah berikutnya