Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt uitgelegd wat Microsoft Sentinel-playbooks zijn en hoe u deze kunt gebruiken om uw SOAR-bewerkingen (Security Orchestration, Automation and Response) te implementeren en betere resultaten te behalen terwijl u tijd en resources bespaart.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Wat is een playbook?

SOC-analisten worden doorgaans regelmatig overspoeld met beveiligingswaarschuwingen en incidenten, op volumes die zo groot zijn dat het beschikbare personeel wordt overspoeld. Dit resulteert te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar blijft voor aanvallen die onopgemerkt blijven.

Veel, zo niet de meeste, van deze waarschuwingen en incidenten voldoen aan terugkerende patronen die kunnen worden aangepakt door specifieke en gedefinieerde sets herstelacties. Analisten worden ook belast met basisherstel en onderzoek van de incidenten die ze wel beheren om aan te pakken. Voor zover deze activiteiten kunnen worden geautomatiseerd, kan een SOC zoveel productiever en efficiënter zijn, waardoor analisten meer tijd en energie kunnen besteden aan onderzoeksactiviteiten.

Een playbook is een verzameling van deze herstelacties die u uitvoert vanuit Microsoft Sentinel als routine, om uw reactie op bedreigingen te automatiseren en te organiseren. Deze kan op twee manieren worden uitgevoerd:

• Handmatig op aanvraag, op een bepaalde entiteit of waarschuwing
• Automatisch reageren op specifieke waarschuwingen of incidenten, wanneer deze worden geactiveerd door een automatiseringsregel.

Als bijvoorbeeld een account en computer zijn aangetast, kan een playbook de computer isoleren van het netwerk en het account blokkeren op het moment dat het SOC-team op de hoogte wordt gesteld van het incident.

Terwijl op het tabblad Actieve playbooks op de automation-pagina alle actieve playbooks worden weergegeven die beschikbaar zijn voor alle geselecteerde abonnementen, kan standaard alleen een playbook worden gebruikt binnen het abonnement waartoe het behoort, tenzij u specifiek Microsoft Sentinel-machtigingen verleent aan de resourcegroep van het playbook.

Nadat de onboarding naar het geïntegreerde platform voor beveiligingsbewerkingen is uitgevoerd, toont het tabblad Actieve playbooks een vooraf gedefinieerd filter met het abonnement van de onboarded werkruimte. Voeg in Azure Portal gegevens toe voor andere abonnementen met behulp van het Azure-abonnementsfilter.

Playbooksjablonen

Een playbooksjabloon is een vooraf gedefinieerde, geteste en kant-en-klare werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.

Playbooksjablonen zijn niet bruikbaar als playbooks zelf. U maakt er een playbook (een bewerkbare kopie van de sjabloon) van.

U kunt playbooksjablonen ophalen uit de volgende bronnen:

• Op de pagina Automation worden op het tabblad Playbook-sjablonen de playbooksjablonen weergegeven die zijn geïnstalleerd. Er kunnen meerdere actieve playbooks worden gemaakt op basis van dezelfde sjabloon.

  Wanneer een nieuwe versie van de sjabloon wordt gepubliceerd, worden de actieve playbooks die op basis van die sjabloon zijn gemaakt, weergegeven op het tabblad Actieve playbooks met een label dat aangeeft dat er een update beschikbaar is.

• Playbooksjablonen zijn beschikbaar als onderdeel van productoplossingen of zelfstandige inhoud die u installeert vanaf de pagina Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel-inhoud en -oplossingen voor meer informatie en ontdek en beheer de out-of-the-box-inhoud van Microsoft Sentinel.

• De GitHub-opslagplaats van Microsoft Sentinel bevat veel playbooksjablonen. Ze kunnen worden geïmplementeerd in een Azure-abonnement door de knop Implementeren in Azure te selecteren.

Technisch gezien is een playbooksjabloon een ARM-sjabloon die bestaat uit verschillende resources: een Azure Logic Apps-werkstroom en API-verbindingen voor elke betrokken verbinding.

Belangrijk

Playbooksjablonen zijn momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Basisconcepten van Azure Logic Apps

Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in alle systemen in de hele onderneming kunt plannen, automatiseren en organiseren. Dit betekent dat playbooks kunnen profiteren van alle kracht en mogelijkheden van de ingebouwde sjablonen in Azure Logic Apps.

Notitie

Azure Logic Apps maakt afzonderlijke resources, dus er kunnen extra kosten van toepassing zijn. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.

Azure Logic Apps communiceert met andere systemen en services met behulp van connectors. Hier volgt een korte uitleg van connectors en enkele van hun belangrijke kenmerken:

• Beheerde connector: een set acties en triggers die API-aanroepen naar een bepaald product of een bepaalde service verpakken. Azure Logic Apps biedt honderden connectors om te communiceren met zowel Microsoft als niet-Microsoft-services. Zie Azure Logic Apps-connectors en de bijbehorende documentatie voor meer informatie

• Aangepaste connector: mogelijk wilt u communiceren met services die niet beschikbaar zijn als vooraf gedefinieerde connectors. Aangepaste connectors hebben betrekking op deze behoefte door u in staat te stellen een connector te maken (en zelfs te delen) en eigen triggers en acties te definiëren. Zie Uw eigen aangepaste Azure Logic Apps-connectors maken voor meer informatie.

• Microsoft Sentinel-connector: Als u playbooks wilt maken die communiceren met Microsoft Sentinel, gebruikt u de Microsoft Sentinel-connector. Zie de microsoft Sentinel-connectordocumentatie voor meer informatie.

• Trigger: Een connectoronderdeel waarmee een werkstroom wordt gestart, in dit geval een playbook. De Microsoft Sentinel-trigger definieert het schema dat het playbook verwacht te ontvangen wanneer deze wordt geactiveerd. De Microsoft Sentinel-connector heeft momenteel drie triggers:

  • Waarschuwingstrigger: het playbook ontvangt de waarschuwing als invoer.
  • Entiteitstrigger (preview): het playbook ontvangt een entiteit als invoer.
  • Incidenttrigger: Het playbook ontvangt het incident als invoer, samen met alle opgenomen waarschuwingen en entiteiten.

• Acties: acties zijn alle stappen die na de trigger plaatsvinden. Ze kunnen opeenvolgend, parallel of in een matrix met complexe voorwaarden worden gerangschikt.

• Dynamische velden: tijdelijke velden, bepaald door het uitvoerschema van triggers en acties en ingevuld door hun werkelijke uitvoer, die kunnen worden gebruikt in de acties die volgen.

Typen logische apps

Microsoft Sentinel ondersteunt nu de volgende resourcetypen voor logische apps:

• Verbruik, dat wordt uitgevoerd in multitenant Azure Logic Apps en gebruikmaakt van de klassieke, oorspronkelijke Azure Logic Apps-engine.
• Standard, dat wordt uitgevoerd in Azure Logic Apps met één tenant en een opnieuw ontworpen Azure Logic Apps-engine gebruikt.

Het type standaard logische app biedt hogere prestaties, vaste prijzen, meerdere werkstroommogelijkheden, eenvoudiger API-verbindingenbeheer, systeemeigen netwerkmogelijkheden zoals ondersteuning voor virtuele netwerken en privé-eindpunten (zie hieronder), ingebouwde CI/CD-functies, betere integratie van Visual Studio Code, een bijgewerkte werkstroomontwerper en meer.

Als u deze versie van de logische app wilt gebruiken, maakt u nieuwe Standard-playbooks in Microsoft Sentinel (zie de opmerking hieronder). U kunt deze playbooks op dezelfde manier gebruiken als playbooks voor verbruik:

• Koppel ze aan automatiseringsregels en/of analyseregels.
• Voer ze op aanvraag uit, van incidenten en waarschuwingen.
• Beheer ze op het tabblad Active Playbooks.

Notitie

• Standaardwerkstromen bieden momenteel geen ondersteuning voor Playbook-sjablonen. Dit betekent dat u in Microsoft Sentinel geen playbook op basis van een standaardwerkstroom kunt maken. In plaats daarvan moet u de werkstroom maken in Azure Logic Apps. Nadat u de werkstroom hebt gemaakt, wordt deze weergegeven als een playbook in Microsoft Sentinel.

• De standaardwerkstromen van logische apps ondersteunen privé-eindpunten zoals hierboven vermeld, maar Microsoft Sentinel vereist het definiëren van een toegangsbeperkingsbeleid in Logische apps om het gebruik van privé-eindpunten in playbooks te ondersteunen op basis van Standaardwerkstromen.

  Als er geen toegangsbeperkingsbeleid is gedefinieerd, zijn werkstromen met privé-eindpunten mogelijk nog steeds zichtbaar en selecteerbaar wanneer u een playbook kiest in een lijst in Microsoft Sentinel (of u handmatig wilt uitvoeren, als u wilt toevoegen aan een automatiseringsregel of in de playbooksgalerie), en u kunt deze selecteren, maar de uitvoering mislukt.

• Een indicator identificeert standaardwerkstromen als stateful of stateless. Microsoft Sentinel biedt momenteel geen ondersteuning voor staatloze werkstromen. Meer informatie over de verschillen tussen stateful en stateless werkstromen.

Er zijn veel verschillen tussen deze twee resourcetypen, waarvan sommige van invloed zijn op een aantal manieren waarop ze kunnen worden gebruikt in playbooks in Microsoft Sentinel. In dergelijke gevallen wordt in de documentatie opgegeven wat u moet weten. Zie de verschillen in resourcetypen en hostomgevingen in de documentatie van Azure Logic Apps voor meer informatie.

Vereiste machtigingen

Als u uw SecOps-team de mogelijkheid wilt bieden om Azure Logic Apps te gebruiken om playbooks te maken en uit te voeren in Microsoft Sentinel, wijst u Azure-rollen toe aan uw beveiligingsteam of aan specifieke gebruikers in het team. Hieronder worden de verschillende beschikbare rollen beschreven en de taken waaraan ze moeten worden toegewezen:

Azure-rollen voor Azure Logic Apps

• Met inzender voor logische apps kunt u logische apps beheren en playbooks uitvoeren, maar u kunt de toegang ervan niet wijzigen (hiervoor hebt u de rol Eigenaar nodig).
• Met Logic App Operator kunt u logische apps lezen, inschakelen en uitschakelen, maar u kunt ze niet bewerken of bijwerken.

Azure-rollen voor Microsoft Sentinel

• Met de rol Microsoft Sentinel-inzender kunt u een playbook koppelen aan een analyse- of automatiseringsregel.

• Met de rol Microsoft Sentinel Responder kunt u toegang krijgen tot een incident om handmatig een playbook uit te voeren. Maar om het playbook daadwerkelijk uit te voeren, hebt u ook...

  • Met de rol Microsoft Sentinel Playbook Operator kunt u handmatig een playbook uitvoeren.
  • Met Inzender voor Microsoft Sentinel Automation kunnen automatiseringsregels playbooks uitvoeren. De puntkomma wordt niet gebruikt voor andere doeleinden.

Meer informatie

• Meer informatie over Azure-rollen in Azure Logic Apps.
• Meer informatie over Azure-rollen in Microsoft Sentinel.

Stappen voor het maken van een playbook

• Definieer het automatiseringsscenario.

• Bouw uw logische app.

• Test uw logische app.

• Koppel het playbook aan een automatiseringsregel of een analyseregel, of voer het handmatig uit wanneer dat nodig is.

Gebruiksvoorbeelden voor playbooks

Het Azure Logic Apps-platform biedt honderden acties en triggers, zodat bijna elk automatiseringsscenario kan worden gemaakt. Microsoft Sentinel raadt aan om te beginnen met de volgende SOC-scenario's, waarvoor kant-en-klare playbooksjablonen standaard beschikbaar zijn:

Enrichment

Verzamel gegevens en koppel deze aan het incident om slimmere beslissingen te nemen.

Voorbeeld:

Er is een Microsoft Sentinel-incident gemaakt op basis van een waarschuwing door een analyseregel waarmee IP-adresentiteiten worden gegenereerd.

Het incident activeert een automatiseringsregel die een playbook uitvoert met de volgende stappen:

• Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt. De entiteiten die in het incident worden weergegeven, worden opgeslagen in de dynamische velden van de incidenttrigger.

• Voer voor elk IP-adres een query uit op een externe bedreigingsinformatieprovider, zoals Virus Total, om meer gegevens op te halen.

• Voeg de geretourneerde gegevens en inzichten toe als opmerkingen van het incident.

Bidirectionele synchronisatie

Playbooks kunnen worden gebruikt om uw Microsoft Sentinel-incidenten te synchroniseren met andere ticketsystemen.

Voorbeeld:

Maak een automatiseringsregel voor het maken van alle incidenten en voeg een playbook toe waarmee een ticket wordt geopend in ServiceNow:

• Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.

• Maak een nieuw ticket in ServiceNow.

• Neem in het ticket de naam van het incident, belangrijke velden en een URL naar het Microsoft Sentinel-incident op voor eenvoudige draaiing.

Orchestration

Gebruik het SOC-chatplatform om de incidentenwachtrij beter te beheren.

Voorbeeld:

Er is een Microsoft Sentinel-incident gemaakt op basis van een waarschuwing door een analyseregel waarmee gebruikersnamen en IP-adresentiteiten worden gegenereerd.

Het incident activeert een automatiseringsregel die een playbook uitvoert met de volgende stappen:

• Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.

• Verzend een bericht naar uw beveiligingskanaal in Microsoft Teams of Slack om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident.

• Stuur alle informatie in de waarschuwing per e-mail naar uw senior netwerkbeheerder en beveiligingsbeheerder. Het e-mailbericht bevat knoppen voor de optie Blokkeren en Negeren van gebruikers.

• Wacht totdat een antwoord van de beheerders is ontvangen en ga door met uitvoeren.

• Als de beheerders Blokkeren hebben gekozen, stuurt u een opdracht naar de firewall om het IP-adres in de waarschuwing te blokkeren en een andere naar Microsoft Entra-id om de gebruiker uit te schakelen.

Respons

Onmiddellijk reageren op bedreigingen, met minimale menselijke afhankelijkheden.

Twee voorbeelden:

Voorbeeld 1: Reageren op een analyseregel die een aangetaste gebruiker aangeeft, zoals gedetecteerd door Microsoft Entra ID Protection:

• Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.

• Voor elke gebruikersentiteit in het incident verdacht als gecompromitteerd:

  • Stuur een Teams-bericht naar de gebruiker en vraag om bevestiging dat de gebruiker de verdachte actie heeft ondernomen.

  • Neem contact op met Microsoft Entra ID Protection om de status van de gebruiker te bevestigen als gecompromitteerd. Microsoft Entra ID Protection labelt de gebruiker als riskant en past het afdwingingsbeleid toe dat al is geconfigureerd, bijvoorbeeld om te vereisen dat de gebruiker MFA gebruikt bij de volgende aanmelding.

    Notitie

    Deze specifieke Microsoft Entra-actie initieert geen afdwingingsactiviteiten voor de gebruiker, noch wordt er een configuratie van het afdwingingsbeleid gestart. Er wordt alleen aan Microsoft Entra ID Protection aangegeven dat alle al gedefinieerde beleidsregels moeten worden toegepast, indien van toepassing. Elke afdwinging is volledig afhankelijk van het juiste beleid dat wordt gedefinieerd in Microsoft Entra ID Protection.

Voorbeeld 2: Reageren op een analyseregel die aangeeft dat een geïnfecteerde machine is gedetecteerd door Microsoft Defender voor Eindpunt:

• Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.

• Gebruik de actie Entiteiten - Hosts ophalen in Microsoft Sentinel om de verdachte machines te parseren die zijn opgenomen in de incidententiteiten.

• Geef een opdracht uit om Microsoft Defender voor Eindpunt om de machines in de waarschuwing te isoleren.

Handmatige reactie tijdens onderzoek of tijdens opsporing

Reageren op bedreigingen in de loop van actieve onderzoeksactiviteit zonder dat er context wordt gebruikt.

Dankzij de nieuwe entiteittrigger (nu in preview) kunt u direct actie ondernemen op afzonderlijke bedreigingsactoren die u tijdens een onderzoek ontdekt, één voor één, rechtstreeks vanuit het onderzoek. Deze optie is ook beschikbaar in de context voor het opsporen van bedreigingen, niet verbonden met een bepaald incident. U kunt een entiteit in context selecteren en daar acties op uitvoeren, tijd besparen en complexiteit verminderen.

De acties die u op entiteiten kunt uitvoeren met dit playbooktype zijn onder andere:

• Een gecompromitteerde gebruiker blokkeren.
• Verkeer blokkeren van een schadelijk IP-adres in uw firewall.
• Een geïnfecteerde host isoleren in uw netwerk.
• Een IP-adres toevoegen aan een veilige/onveilige adreswachtlijst of aan uw externe CMDB.
• Haal een bestandshashrapport op uit een externe bron voor bedreigingsinformatie en voeg het toe aan een incident als opmerking.

Een playbook uitvoeren

Playbooks kunnen handmatig of automatisch worden uitgevoerd.

Ze zijn ontworpen om automatisch te worden uitgevoerd en in het ideale geval moeten ze worden uitgevoerd in de normale gang van zaken. U voert een playbook automatisch uit door het te definiëren als een geautomatiseerd antwoord in een analyseregel (voor waarschuwingen) of als een actie in een automatiseringsregel (voor incidenten).

Er zijn echter omstandigheden die het handmatig uitvoeren van playbooks aanroepen. Voorbeeld:

• Wanneer u een nieuw playbook maakt, moet u het testen voordat u het in productie plaatst.

• Er kunnen situaties zijn waarin u meer controle en menselijke invoer wilt hebben wanneer en of een bepaald playbook wordt uitgevoerd.

  U voert een playbook handmatig uit door een incident, waarschuwing of entiteit te openen en het bijbehorende playbook te selecteren en uit te voeren dat daar wordt weergegeven. Deze functie is momenteel algemeen beschikbaar voor waarschuwingen en in preview voor incidenten en entiteiten.

Een geautomatiseerd antwoord instellen

Beveiligingsteams kunnen hun workload aanzienlijk verminderen door de routinereacties op terugkerende typen incidenten en waarschuwingen volledig te automatiseren, zodat u zich meer kunt concentreren op unieke incidenten en waarschuwingen, het analyseren van patronen, het opsporen van bedreigingen en meer.

Het instellen van een geautomatiseerd antwoord betekent dat telkens wanneer een analyseregel wordt geactiveerd, naast het maken van een waarschuwing, de regel een playbook uitvoert, dat als invoer wordt ontvangen van de waarschuwing die door de regel is gemaakt.

Als de waarschuwing een incident maakt, activeert het incident een automatiseringsregel die op zijn beurt een playbook kan uitvoeren, dat als invoer wordt ontvangen van het incident dat door de waarschuwing is gemaakt.

Geautomatiseerd antwoord voor het maken van waarschuwingen

Voor playbooks die worden geactiveerd door het maken van waarschuwingen en het ontvangen van waarschuwingen als invoer (de eerste stap is 'Microsoft Sentinel-waarschuwing'),voegt u het playbook toe aan een analyseregel:

1. Bewerk de analyseregel waarmee de waarschuwing wordt gegenereerd waarvoor u een geautomatiseerd antwoord wilt definiëren.

2. Selecteer onder Waarschuwingsautomatisering op het tabblad Geautomatiseerd antwoord het playbook of playbooks dat door deze analyseregel wordt geactiveerd wanneer er een waarschuwing wordt gemaakt.

Geautomatiseerde reactie voor het maken van incidenten

Voor playbooks die worden geactiveerd door het maken en ontvangen van incidenten als invoer (de eerste stap is 'Microsoft Sentinel-incident'), maakt u een automatiseringsregel en definieert u daarin een playbookactie Uitvoeren. Dit kan op twee manieren worden gedaan:

• Bewerk de analyseregel waarmee het incident wordt gegenereerd waarvoor u een geautomatiseerd antwoord wilt definiëren. Maak onder Automatisering van incidenten op het tabblad Geautomatiseerd antwoord een automatiseringsregel. Hiermee maakt u alleen een geautomatiseerd antwoord voor deze analyseregel.

• Maak op het tabblad Automatiseringsregels op de pagina Automation een nieuwe automatiseringsregel en geef de juiste voorwaarden en gewenste acties op. Deze automatiseringsregel wordt toegepast op elke analyseregel die voldoet aan de opgegeven voorwaarden.

  Notitie

  Microsoft Sentinel vereist machtigingen voor het uitvoeren van playbooks voor incidenttriggers.

  Als u een playbook wilt uitvoeren op basis van de incidenttrigger, hetzij handmatig of vanuit een automatiseringsregel, gebruikt Microsoft Sentinel een serviceaccount dat specifiek is geautoriseerd om dit te doen. Het gebruik van dit account (in tegenstelling tot uw gebruikersaccount) verhoogt het beveiligingsniveau van de service en stelt de API voor automatiseringsregels in staat om CI/CD-gebruiksscenario's te ondersteunen.

  Dit account moet expliciete machtigingen krijgen (in de vorm van de rol Microsoft Sentinel Automation-inzender ) voor de resourcegroep waarin het playbook zich bevindt. Op dat moment kunt u elk playbook in die resourcegroep handmatig of vanuit een automatiseringsregel uitvoeren.

  Wanneer u de actie runplaybook toevoegt aan een automatiseringsregel, wordt er een vervolgkeuzelijst met playbooks weergegeven voor uw selectie. Playbooks waarvoor Microsoft Sentinel geen machtigingen heeft, worden weergegeven als niet beschikbaar ('grijs weergegeven'). U kunt ter plaatse toestemming verlenen aan Microsoft Sentinel door de koppeling Playbookmachtigingen beheren te selecteren.

  In een scenario met meerdere tenants (Lighthouse) moet u de machtigingen definiëren voor de tenant waar het playbook zich bevindt, zelfs als de automatiseringsregel die het playbook aanroept zich in een andere tenant bevindt. Hiervoor moet u eigenaarsmachtigingen hebben voor de resourcegroep van het playbook.

  Er is een uniek scenario met een MSSP (Managed Security Service Provider), waarbij een serviceprovider, terwijl deze is aangemeld bij een eigen tenant, een automatiseringsregel maakt voor de werkruimte van een klant met behulp van Azure Lighthouse. Deze automatiseringsregel roept vervolgens een playbook aan dat hoort bij de tenant van de klant. In dit geval moet Microsoft Sentinel machtigingen krijgen voor beide tenants. In de tenant van de klant verleent u ze in het deelvenster Playbookmachtigingen beheren, net zoals in het normale scenario met meerdere tenants . Als u de relevante machtigingen wilt verlenen in de tenant van de serviceprovider, moet u een extra Azure Lighthouse-delegatie toevoegen die toegangsrechten verleent aan de Azure Security Insights-app , met de rol Microsoft Sentinel Automation-inzender , in de resourcegroep waarin het playbook zich bevindt. Meer informatie over het toevoegen van deze delegatie.

Zie de volledige instructies voor het maken van automatiseringsregels.

Een playbook handmatig uitvoeren

Volledige automatisering is de beste oplossing voor zoveel incidentafhandelings-, onderzoeks- en risicobeperkingstaken als u vertrouwd bent met automatiseren. Dat gezegd hebbende, kunnen er goede redenen zijn voor een soort hybride automatisering: het gebruik van playbooks om een reeks activiteiten samen te voegen tegen een reeks systemen in één opdracht, maar de playbooks alleen uitvoeren wanneer en waar u besluit. Voorbeeld:

• Misschien geeft u de voorkeur aan uw SOC-analisten over meer menselijke invoer en controle over bepaalde situaties.

• Misschien wilt u ook dat ze actie kunnen ondernemen tegen specifieke bedreigingsactoren (entiteiten) op aanvraag, in de loop van een onderzoek of een opsporing van bedreigingen, in context zonder dat ze naar een ander scherm hoeven te draaien. (Deze mogelijkheid is nu beschikbaar als preview-versie.)

• Mogelijk wilt u dat uw SOC-technici playbooks schrijven die reageren op specifieke entiteiten (nu in preview) en die alleen handmatig kunnen worden uitgevoerd.

• Waarschijnlijk wilt u dat uw technici de playbooks kunnen testen die ze schrijven voordat ze volledig worden geïmplementeerd in automatiseringsregels.

Om deze en andere redenen kunt u met Microsoft Sentinel playbooks handmatig op aanvraag uitvoeren voor entiteiten en incidenten (zowel nu in preview), als voor waarschuwingen.

• Als u een playbook wilt uitvoeren voor een specifiek incident, selecteert u het incident in het raster op de pagina Incidenten . Selecteer acties in het detailvenster van het incident in de Azure-portal en kies Playbook uitvoeren (preview) in het contextmenu. Selecteer in de Defender-portal het playbook uitvoeren (preview) rechtstreeks op de pagina met incidentdetails.

  Hiermee opent u het playbook Run in het incidentpaneel.

• Als u een playbook wilt uitvoeren op een waarschuwing, selecteert u een incident, voert u de details van het incident in en kiest u op het tabblad Waarschuwingen een waarschuwing en selecteert u Playbooks weergeven.

  Hiermee opent u het deelvenster Waarschuwingsplaybooks .

• Als u een playbook wilt uitvoeren op een entiteit, selecteert u een entiteit op een van de volgende manieren:

  • Kies op het tabblad Entiteiten van een incident een entiteit in de lijst en selecteer de koppeling Playbook uitvoeren (preview) aan het einde van de regel in de lijst.
  • Selecteer in de grafiek Onderzoek een entiteit en selecteer de knop Playbook uitvoeren (preview) in het deelvenster entiteitszijde.
  • Selecteer in entiteitsgedrag een entiteit en selecteer op de entiteitspagina de knop Playbook uitvoeren (preview) in het linkerdeelvenster.

  Hiermee wordt het playbook Run geopend in het deelvenster Entiteitstype>.<

In een van deze panelen ziet u twee tabbladen: Playbooks en Runs.

• Op het tabblad Playbooks ziet u een lijst met alle playbooks waartoe u toegang hebt en die de juiste trigger gebruiken: of Microsoft Sentinel Incident, Microsoft Sentinel Alert of Microsoft Sentinel Entity. Elk playbook in de lijst heeft een knop Uitvoeren die u selecteert om het playbook onmiddellijk uit te voeren.
  Als u een playbook voor incidenttriggers wilt uitvoeren dat u niet in de lijst ziet, raadpleegt u de opmerking over microsoft Sentinel-machtigingen hierboven.

• Op het tabblad Runs ziet u een lijst met alle keren dat een playbook is uitgevoerd op het incident of de waarschuwing die u hebt geselecteerd. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering wordt weergegeven in deze lijst. Als u een specifieke uitvoering selecteert, wordt het volledige logboek in Azure Logic Apps geopend.

Uw playbooks beheren

Op het tabblad Actieve playbooks wordt een lijst weergegeven met alle playbooks waartoe u toegang hebt, gefilterd op de abonnementen die momenteel worden weergegeven in Azure. Het abonnementenfilter is beschikbaar in het menu Map en abonnement in de koptekst van de algemene pagina.

Als u op een playbooknaam klikt, wordt u naar de hoofdpagina van het playbook geleid in Azure Logic Apps. De kolom Status geeft aan of deze is ingeschakeld of uitgeschakeld.

De kolom Plan geeft aan of het playbook gebruikmaakt van het resourcetype Standard of Consumption in Azure Logic Apps. U kunt de lijst filteren op abonnementstype om slechts één type playbook weer te geven. U ziet dat playbooks van het type Standard de LogicApp/Workflow naamconventie gebruiken. Deze conventie weerspiegelt het feit dat een Standard-playbook een werkstroom vertegenwoordigt die naast andere werkstromen in één logische app bestaat.

Triggertype vertegenwoordigt de Azure Logic Apps-trigger waarmee dit playbook wordt gestart.

Soort trigger	Geeft onderdeeltypen in playbook aan
Microsoft Sentinel-incident/waarschuwing/entiteit	Het playbook wordt gestart met een van de Sentinel-triggers (incident, waarschuwing, entiteit)
Microsoft Sentinel-actie gebruiken	Het playbook wordt gestart met een niet-Sentinel-trigger, maar gebruikt een Microsoft Sentinel-actie
Overig	Het playbook bevat geen Sentinel-onderdelen
Niet geïnitialiseerd	Het playbook is gemaakt, maar bevat geen onderdelen (triggers of acties).

Op de azure Logic Apps-pagina van het playbook ziet u meer informatie over het playbook, inclusief een logboek van alle keren dat het is uitgevoerd, en het resultaat (geslaagd of mislukt, en andere details). U kunt de werkstroomontwerper ook openen in Azure Logic Apps en het playbook rechtstreeks bewerken als u over de juiste machtigingen beschikt.

API-verbindingen

API-verbindingen worden gebruikt om Azure Logic Apps te verbinden met andere services. Telkens wanneer er een nieuwe verificatie wordt uitgevoerd voor een connector in Azure Logic Apps, wordt er een nieuwe resource van het type API-verbinding gemaakt en bevat deze informatie bij het configureren van toegang tot de service.

Als u alle API-verbindingen wilt zien, voert u API-verbindingen in het zoekvak van de header van Azure Portal in. Let op de interessante kolommen:

• Weergavenaam: de beschrijvende naam die u aan de verbinding geeft telkens wanneer u er een maakt.
• Status- geeft de verbindingsstatus aan: fout, verbonden.
• Resourcegroep : API-verbindingen worden gemaakt in de resourcegroep van de playbookresource (Azure Logic Apps).

Een andere manier om API-verbindingen weer te geven, is door naar de pagina Alle resources te gaan en deze te filteren op type API-verbinding. Op deze manier kunnen meerdere verbindingen tegelijk worden geselecteerd, gelabeld en verwijderd.

Als u de autorisatie van een bestaande verbinding wilt wijzigen, voert u de verbindingsresource in en selecteert u API-verbinding bewerken.

Aanbevolen playbooks

De volgende aanbevolen playbooks en andere vergelijkbare playbooks zijn beschikbaar in de Content Hub of in de GitHub-opslagplaats van Microsoft Sentinel:

• Meldingsplaybooks worden geactiveerd wanneer een waarschuwing of incident wordt gemaakt en een melding naar een geconfigureerde bestemming verzenden:

  Playbook	Map in GitHub-opslagplaats	Oplossing in Content Hub/ Azure Marketplace
  Een bericht posten in een Microsoft Teams-kanaal	Post-Message-Teams	Sentinel SOAR Essentials-oplossing
  Een e-mailmelding van Outlook verzenden	Standaard-e-mail verzenden	Sentinel SOAR Essentials-oplossing
  Een bericht posten in een Slack-kanaal	Post-Message-Slack	Sentinel SOAR Essentials-oplossing
  Adaptieve Microsoft Teams-kaart verzenden bij het maken van incidenten	Send-Teams-adaptive-card-on-incident-creation	Sentinel SOAR Essentials-oplossing

• Het blokkeren van playbooks wordt geactiveerd wanneer er een waarschuwing of incident wordt gemaakt, entiteitsgegevens verzamelen, zoals het account, IP-adres en de host, en deze blokkeren voor verdere acties:

  Playbook	Map in GitHub-opslagplaats	Oplossing in Content Hub/ Azure Marketplace
  Een IP-adres blokkeren in Azure Firewall	AzureFirewall-BlockIP-addNewRule	Azure Firewall-oplossing voor Sentinel
  Een Microsoft Entra-gebruiker blokkeren	Block-AADUser	Microsoft Entra-oplossing
  Een Microsoft Entra-gebruikerswachtwoord opnieuw instellen	Reset-AADUserPassword	Microsoft Entra-oplossing
  Apparaat isoleren of unisolate gebruiken Microsoft Defender voor Eindpunt	Isolate-MDEMachine Unisolate-MDEMachine	Microsoft Defender voor Eindpunt oplossing

• Playbooks maken, bijwerken of sluiten kunnen incidenten maken, bijwerken of sluiten in Microsoft Sentinel, Microsoft 365-beveiligingsservices of andere ticketsystemen:

  Playbook	Map in GitHub-opslagplaats	Oplossing in Content Hub/ Azure Marketplace
  Een incident maken met Microsoft Forms	CreateIncident-MicrosoftForms	Sentinel SOAR Essentials-oplossing
  Waarschuwingen koppelen aan incidenten	relateAlertsToIncident-basedOnIP	Sentinel SOAR Essentials-oplossing
  Een ServiceNow-incident maken	Create-SNOW-record	ServiceNow-oplossing

Volgende stappen

• Zelfstudie: Playbooks gebruiken om reacties op bedreigingen in Microsoft Sentinel te automatiseren
• Incidenttaken maken en uitvoeren in Microsoft Sentinel met behulp van playbooks