Zelfstudie: Reageren op bedreigingen met behulp van playbooks met automatiseringsregels in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In deze zelfstudie leert u hoe u playbooks samen met automatiseringsregels gebruikt om uw reactie op incidenten te automatiseren en beveiligingsrisico's te verhelpen die door Microsoft Sentinel zijn gedetecteerd. Wanneer u deze zelfstudie hebt voltooid, kunt u het volgende doen:

• Een automatiseringsregel maken
• Een playbook maken
• Acties toevoegen aan een playbook
• Een playbook koppelen aan een automatiseringsregel of een analyseregel om het antwoord op bedreigingen te automatiseren

Notitie

Deze zelfstudie bevat basisrichtlijnen voor een belangrijkste klanttaak: automatisering maken voor het classificeren van incidenten. Zie de sectie Instructies voor meer informatie, zoals Het reageren op bedreigingen automatiseren met playbooks in Microsoft Sentinel en triggers en acties gebruiken in Microsoft Sentinel-playbooks.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Wat zijn automatiseringsregels en playbooks?

Automatiseringsregels helpen u bij het classificeren van incidenten in Microsoft Sentinel. U kunt ze gebruiken om automatisch incidenten toe te wijzen aan het juiste personeel, ruisincidenten of bekende fout-positieven te sluiten, de ernst te wijzigen en tags toe te voegen. Ze zijn ook het mechanisme waarmee u playbooks kunt uitvoeren als reactie op incidenten of waarschuwingen.

Playbooks zijn verzamelingen procedures die vanuit Microsoft Sentinel kunnen worden uitgevoerd als reactie op een heel incident, op een afzonderlijke waarschuwing of op een specifieke entiteit. Een playbook kan u helpen bij het automatiseren en organiseren van uw reactie en kan worden ingesteld om automatisch te worden uitgevoerd wanneer specifieke waarschuwingen worden gegenereerd of wanneer incidenten worden gemaakt of bijgewerkt, door te worden gekoppeld aan een automatiseringsregel. Het kan ook handmatig op aanvraag worden uitgevoerd op specifieke incidenten, waarschuwingen of entiteiten.

Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, wat betekent dat u alle mogelijkheden, aanpasbaarheid en ingebouwde sjablonen van Logic Apps krijgt. Elk playbook wordt gemaakt voor het specifieke abonnement waartoe het behoort, maar in de playbooks worden alle playbooks weergegeven die beschikbaar zijn voor alle geselecteerde abonnementen.

Notitie

Omdat playbooks gebruikmaken van Azure Logic Apps, kunnen er extra kosten in rekening worden gebracht. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.

Als u bijvoorbeeld wilt voorkomen dat mogelijk gecompromitteerde gebruikers zich in uw netwerk verplaatsen en gegevens stelen, kunt u een geautomatiseerde, meervoudige reactie maken op incidenten die worden gegenereerd door regels die gecompromitteerde gebruikers detecteren. U begint met het maken van een playbook dat de volgende acties uitvoert:

1. Wanneer het playbook wordt aangeroepen door een automatiseringsregel die het incident doorgeeft, opent het playbook een ticket in ServiceNow of een ander IT-ticketsysteem.

2. Er wordt een bericht verzonden naar uw beveiligingskanaal in Microsoft Teams of Slack om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident.

3. Het verzendt ook alle informatie in het incident in een e-mailbericht naar uw senior netwerkbeheerder en beveiligingsbeheerder. Het e-mailbericht bevat knoppen voor de optie Blokkeren en Negeren van gebruikers.

4. Het playbook wacht totdat een antwoord van de beheerders wordt ontvangen en gaat vervolgens verder met de volgende stappen.

5. Als de beheerders Blokkeren kiezen, wordt er een opdracht naar Microsoft Entra ID verzonden om de gebruiker uit te schakelen en één naar de firewall om het IP-adres te blokkeren.

6. Als de beheerders Negeren kiezen, sluit het playbook het incident in Microsoft Sentinel en het ticket in ServiceNow.

Als u het playbook wilt activeren, maakt u vervolgens een automatiseringsregel die wordt uitgevoerd wanneer deze incidenten worden gegenereerd. Deze regel voert de volgende stappen uit:

1. De regel wijzigt de status van het incident in Actief.

2. Het incident wordt toegewezen aan de analist die belast is met het beheren van dit type incident.

3. Hiermee wordt de tag 'gecompromitteerde gebruiker' toegevoegd.

4. Ten slotte wordt het playbook aangeroepen dat u zojuist hebt gemaakt. (Er zijn speciale machtigingen vereist voor deze stap.)

Playbooks kunnen automatisch worden uitgevoerd als reactie op incidenten door automatiseringsregels te maken die de playbooks als acties aanroepen, zoals in het bovenstaande voorbeeld. Ze kunnen ook automatisch worden uitgevoerd als reactie op waarschuwingen door de analyseregel te vertellen dat een of meer playbooks automatisch worden uitgevoerd wanneer de waarschuwing wordt gegenereerd.

U kunt er ook voor kiezen om handmatig een playbook op aanvraag uit te voeren als reactie op een geselecteerde waarschuwing.

Krijg een volledigere en gedetailleerde inleiding tot het automatiseren van bedreigingsreacties met behulp van automatiseringsregels en playbooks in Microsoft Sentinel.

Een playbook maken

Volg deze stappen om een nieuw playbook te maken in Microsoft Sentinel:

Azure-portal

Defender-portal

1. Selecteer voor Microsoft Sentinel in Azure Portal de pagina Configuratieautomatisering>. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel-configuratieautomatisering>>.

2. Selecteer Maken in het bovenste menu.

3. De vervolgkeuzelijst die wordt weergegeven onder Maken biedt u vier opties voor het maken van playbooks:

   1. Als u een Standard-playbook maakt (het nieuwe soort- zie typen logische apps), selecteert u Leeg playbook en volgt u de stappen op het tabblad Logic Apps Standard hieronder.

   2. Als u een playbook verbruik maakt (het oorspronkelijke, klassieke type), selecteert u, afhankelijk van de trigger die u wilt gebruiken, playbook met incidenttrigger, Playbook met waarschuwingstrigger of Playbook met entiteitstrigger. Ga vervolgens verder met het volgen van de stappen op het tabblad Verbruik van Logic Apps hieronder.

      Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over welke trigger moet worden gebruikt.

Logic Apps-verbruik

Het playbook en de logische app voorbereiden

Ongeacht welke trigger u hebt gekozen om uw playbook te maken in de vorige stap, wordt de wizard Playbook maken weergegeven.

1. Op het tabblad Basis:

   1. Selecteer het abonnement, de resourcegroep en de regio van uw keuze in de desbetreffende vervolgkeuzelijsten. In de gekozen regio worden uw logische app-gegevens opgeslagen.

   2. Voer een naam in voor uw playbook onder De naam van het Playbook.

   3. Als u de activiteit van dit playbook wilt controleren voor diagnostische doeleinden, markeert u het selectievakje Diagnostische logboeken inSchakelen in Log Analytics en kiest u uw Log Analytics-werkruimte in de vervolgkeuzelijst.

   4. Als uw playbooks toegang nodig hebben tot beveiligde resources die zich in een virtueel Azure-netwerk bevinden of zijn verbonden, moet u mogelijk een ISE (Integration Service Environment) gebruiken. Als dit het volgende is, schakelt u het selectievakje Koppelen aan de integratieserviceomgeving in en selecteert u de gewenste ISE in de vervolgkeuzelijst.

   5. Selecteer Volgende: Verbinding maken ions>.

2. Op het tabblad Verbinding maken ions:

   In het ideale geval moet u deze sectie gewoon verlaten, waarbij u Logic Apps configureert om verbinding te maken met Microsoft Sentinel met een beheerde identiteit. Meer informatie over deze en andere verificatiealternatieven.

   Selecteer Volgende: Controleren en maken >.

3. Op het tabblad Controleren en maken :

   Controleer de configuratiekeuzes die u hebt gemaakt en selecteer Maken en doorgaan met ontwerpen.

4. Het duurt enkele minuten voordat uw playbook is gemaakt en geïmplementeerd. Daarna ziet u het bericht 'Uw implementatie is voltooid' en wordt u naar de ontwerpfunctie voor logische apps van uw nieuwe playbook gebracht. De trigger die u aan het begin hebt gekozen, wordt automatisch toegevoegd als eerste stap en u kunt doorgaan met het ontwerpen van de werkstroom daar.

   

   Als u de Trigger microsoft Sentinel-entiteit (preview) hebt gekozen, selecteert u het type entiteit dat u wilt ontvangen als invoer voor dit playbook.

   

Logic Apps Standard

De logische app en werkstroom voorbereiden

Er zijn drie stappen om aan de slag te gaan met het maken van een Logic Apps Standard-playbook:

1. Een logische app maken.
2. Een werkstroom maken (dit is het daadwerkelijke playbook).
3. Kies de trigger.

Een logische app maken

Omdat u leeg playbook hebt geselecteerd , wordt er een nieuw browsertabblad geopend en gaat u naar de wizard Logische app maken.

1. Op het tabblad Basis:

   1. Selecteer het abonnement en de resourcegroep van uw keuze in de desbetreffende vervolgkeuzelijsten.

   2. Voer een naam in voor uw logische app. Kies Werkstroom voor Publiceren. Selecteer de regio waar u de logische app wilt implementeren.

   3. Kies Standard voor type abonnement.

   4. Selecteer Volgende: Hosting >.

2. Op het tabblad Hosting :

   1. Voor het type Opslag kiest u Azure Storage en kiest of maakt u een Opslagaccount.

   2. Kies een Windows-abonnement.

3. Selecteer Volgende: Bewaking >.

4. Op het tabblad Bewaking :

   1. Als u prestatiebewaking wilt inschakelen in Azure Monitor voor deze toepassing, laat u de wisselknop op Ja staan. Anders schakelt u deze in op Nee.

      Notitie

      Deze bewaking is niet vereist voor Microsoft Sentinel en kost u extra.

   2. Als u wilt, kunt u Volgende selecteren : Tags > om tags toe te passen op deze logische app voor resourcecategorisatie en factureringsdoeleinden. Selecteer anders Beoordelen en maken.

5. Op het tabblad Controleren en maken :

   Controleer de configuratieopties die u hebt gemaakt en selecteer Maken.

6. Het duurt enkele minuten voordat uw playbook is gemaakt en geïmplementeerd, waarin u enkele implementatieberichten ziet. Aan het einde van het proces wordt u naar het laatste implementatiescherm geleid, waar u het bericht 'Uw implementatie is voltooid' ziet.

   Selecteer Naar resource. U wordt naar de hoofdpagina van uw nieuwe logische app geleid.

   In tegenstelling tot klassieke Consumption-playbooks bent u nog niet klaar. Nu moet u een werkstroom maken.

Een werkstroom maken (playbook)

1. Selecteer Werkstromen in het navigatiemenu van de pagina logische app.

2. Selecteer + Toevoegen vanaf de knopbalk bovenaan (het kan enkele seconden duren voordat de knop actief is).

3. Het deelvenster Nieuwe werkstroom wordt weergegeven. Voer een naam in voor uw werkstroom.

4. Selecteer Stateful onder Statustype.

   Notitie

   Microsoft Sentinel biedt momenteel geen ondersteuning voor het gebruik van stateless werkstromen als playbooks.

5. Selecteer Maken. Uw werkstroom wordt opgeslagen en wordt weergegeven in de lijst met werkstromen in uw logische app. Selecteer de werkstroom om door te gaan.

6. U voert de pagina van uw werkstroom in. Hier ziet u alle informatie over uw werkstroom, inclusief een record van alle keren dat deze wordt uitgevoerd. Selecteer Designer in het navigatiemenu.

7. Het scherm Designer wordt geopend en u wordt onmiddellijk gevraagd een trigger toe te voegen en door te gaan met het ontwerpen van de werkstroom.

   

De trigger kiezen

1. Selecteer het tabblad Azure en voer Sentinel in de zoekregel in.

2. Op het onderstaande tabblad Triggers ziet u de drie triggers die worden aangeboden door Microsoft Sentinel:

   • Microsoft Sentinel-waarschuwing (preview)
   • Microsoft Sentinel-entiteit (preview)
   • Microsoft Sentinel-incident (preview)

   Selecteer de trigger die overeenkomt met het type playbook dat u maakt.

   

   Als u de Trigger microsoft Sentinel-entiteit (preview) hebt gekozen, selecteert u het type entiteit dat u wilt ontvangen als invoer voor dit playbook.

   

Notitie

Wanneer u een trigger of een volgende actie kiest, wordt u gevraagd om u te verifiëren bij de resourceprovider waarmee u werkt. In dit geval is de provider Microsoft Sentinel. Er zijn een aantal verschillende benaderingen die u kunt gebruiken voor verificatie. Zie Playbooks verifiëren bij Microsoft Sentinel voor meer informatie en instructies.

Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over welke trigger moet worden gebruikt

Acties toevoegen

U kunt nu definiëren wat er gebeurt wanneer u het playbook aanroept. U kunt acties, logische voorwaarden, lussen of switchcasevoorwaarden toevoegen door nieuwe stap te selecteren. Met deze selectie opent u een nieuw frame in de ontwerpfunctie, waarin u een systeem of toepassing kunt kiezen waarmee u wilt communiceren of een voorwaarde die u wilt instellen. Voer de naam van het systeem of de toepassing in de zoekbalk boven aan het frame in en kies vervolgens uit de beschikbare resultaten.

Als u in elk van deze stappen op een veld klikt, wordt een deelvenster met twee menu's weergegeven: Dynamische inhoud en expressie. In het menu Dynamische inhoud kunt u verwijzingen toevoegen naar de kenmerken van de waarschuwing of het incident dat is doorgegeven aan het playbook, inclusief de waarden en kenmerken van alle toegewezen entiteiten en aangepaste details in de waarschuwing of het incident. In het menu Expressie kunt u kiezen uit een grote bibliotheek met functies om extra logica toe te voegen aan uw stappen.

In deze schermopname ziet u de acties en voorwaarden die u zou toevoegen bij het maken van het playbook dat in het voorbeeld aan het begin van dit document wordt beschreven. Meer informatie over het toevoegen van acties aan uw playbooks.

Zie Triggers en acties gebruiken in Microsoft Sentinel-playbooks voor meer informatie over acties die u voor verschillende doeleinden aan playbooks kunt toevoegen.

Let met name op deze belangrijke informatie over playbooks op basis van de entiteitstrigger in een niet-incidentcontext.

Bedreigingsreacties automatiseren

U hebt uw playbook gemaakt en de trigger gedefinieerd, de voorwaarden ingesteld en de acties voorgeschreven die worden uitgevoerd en de uitvoer die het zal produceren. Nu moet u de criteria bepalen waaronder het wordt uitgevoerd en het automatiseringsmechanisme instellen dat het uitvoert wanneer aan deze criteria wordt voldaan.

Reageren op incidenten en waarschuwingen

Als u een playbook wilt gebruiken om automatisch te reageren op een volledig incident of op een afzonderlijke waarschuwing, maakt u een automatiseringsregel die wordt uitgevoerd wanneer het incident wordt gemaakt of bijgewerkt, of wanneer de waarschuwing wordt gegenereerd. Deze automatiseringsregel bevat een stap die het playbook aanroept dat u wilt gebruiken.

Een automatiseringsregel maken:

1. Selecteer op de pagina Automation in het navigatiemenu van Microsoft Sentinel de optie Maken in het bovenste menu en vervolgens de Automation-regel.

   

2. Het deelvenster Nieuwe automatiseringsregel maken wordt geopend. Voer een naam in voor de regel.

   Uw opties verschillen, afhankelijk van of uw werkruimte wordt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen. Voorbeeld:

   Onboarding van werkruimten

   

   Werkruimten die niet zijn ge onboarded

   

3. Trigger: Selecteer de juiste trigger op basis van de omstandigheden waarvoor u de automatiseringsregel maakt: wanneer een incident wordt gemaakt, wanneer het incident wordt bijgewerkt of wanneer er een waarschuwing wordt gemaakt.

4. Voorwaarden:

   1. Als uw werkruimte nog niet is toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, kunnen incidenten twee mogelijke bronnen hebben:

      • Incidenten kunnen worden gemaakt in Microsoft Sentinel
      • Incidenten kunnen worden geïmporteerd uit (en gesynchroniseerd met) Microsoft Defender XDR.

      Als u een van de incidenttriggers hebt geselecteerd en u wilt dat de automatiseringsregel alleen van kracht wordt op incidenten die zijn afkomstig uit Microsoft Sentinel of in Microsoft Defender XDR, geeft u de bron op in de if incidentprovider die gelijk is aan de voorwaarde.

      Deze voorwaarde wordt alleen weergegeven als er een incidenttrigger is geselecteerd en uw werkruimte niet wordt toegevoegd aan het geïntegreerde beveiligingsbewerkingsplatform.

   2. Als u voor alle triggertypen wilt dat de automatiseringsregel alleen van kracht wordt op bepaalde analyseregels, geeft u op welke regels de naam van de If Analytics-regel voorwaarde bevat .

   3. Voeg eventuele andere voorwaarden toe die u wilt bepalen of deze automatiseringsregel wordt uitgevoerd. Selecteer + Toevoegen en kies voorwaarden of voorwaardegroepen in de vervolgkeuzelijst. De lijst met voorwaarden wordt ingevuld met detailvelden voor waarschuwingen en entiteits-id's.

5. Acties:

   1. Omdat u deze automatiseringsregel gebruikt om een playbook uit te voeren, kiest u de actie Playbook uitvoeren in de vervolgkeuzelijst. Vervolgens wordt u gevraagd om te kiezen uit een tweede vervolgkeuzelijst waarin de beschikbare playbooks worden weergegeven. Een automatiseringsregel kan alleen playbooks uitvoeren die beginnen met dezelfde trigger (incident of waarschuwing) als de trigger die in de regel is gedefinieerd, zodat alleen die playbooks worden weergegeven in de lijst.

      Belangrijk

      Microsoft Sentinel moet expliciete machtigingen krijgen om playbooks uit te voeren, hetzij handmatig of vanuit automatiseringsregels. Als een playbook 'grijs weergegeven' wordt weergegeven in de vervolgkeuzelijst, betekent dit dat Sentinel niet gemachtigd is voor de resourcegroep van dat playbook. Klik op de koppeling Machtigingen voor playbook beheren om machtigingen toe te wijzen.

      Markeer in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes van de resourcegroepen met de playbooks die u wilt uitvoeren en klik op Toepassen.

      

      • U moet zelf eigenaarsmachtigingen hebben voor elke resourcegroep waaraan u Microsoft Sentinel-machtigingen wilt verlenen en u moet de rol Inzender voor logische apps hebben voor elke resourcegroep die playbooks bevat die u wilt uitvoeren.

      • Als in een implementatie met meerdere tenants het playbook dat u wilt uitvoeren zich in een andere tenant bevindt, moet u Microsoft Sentinel toestemming geven om het playbook uit te voeren in de tenant van het playbook.

        1. Selecteer Instellingen in het navigatiemenu van Microsoft Sentinel in de tenant van de playbooks.
        2. Selecteer op de blade Instellingen het tabblad Instellingen en vervolgens de uitbreiding voor Playbook-machtigingen.
        3. Klik op de knop Machtigingen configureren om het deelvenster Machtigingen beheren te openen dat hierboven wordt vermeld en ga door zoals hier wordt beschreven.

      • Als u in een MSSP-scenario een playbook in een klanttenant wilt uitvoeren op basis van een automatiseringsregel die is gemaakt tijdens het aanmelden bij de tenant van de serviceprovider, moet u Microsoft Sentinel toestemming geven om het playbook in beide tenants uit te voeren. Volg in de tenant van de klant de instructies voor de implementatie met meerdere tenants in het voorgaande opsommingsteken. In de tenant van de serviceprovider moet u de Azure Security Insights-app toevoegen aan uw onboardingsjabloon voor Azure Lighthouse:

        1. Ga vanuit De Azure-portal naar Microsoft Entra-id.
        2. Klik op Bedrijfstoepassingen.
        3. Selecteer Toepassingstype en filter op Microsoft-toepassingen.
        4. Typ Azure Security Insights in het zoekvak.
        5. Kopieer het veld Object-id . U moet deze extra autorisatie toevoegen aan uw bestaande Azure Lighthouse-delegatie.

        De rol Microsoft Sentinel Automation-inzender heeft een vaste GUID.f4c81013-99ee-4d62-a7ee-b3f1f648599a Een azure Lighthouse-voorbeeldautorisatie ziet er als volgt uit in uw parameterssjabloon:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Voeg eventuele andere acties toe die u voor deze regel wilt gebruiken. U kunt de volgorde van de uitvoering van acties wijzigen door de pijl-omhoog of pijl-omlaag rechts van een actie te selecteren.

6. Stel een vervaldatum in voor uw automatiseringsregel als u deze wilt gebruiken.

7. Voer een getal in onder Volgorde om te bepalen waar in de volgorde van automatiseringsregels deze regel wordt uitgevoerd.

8. Selecteer Toepassen. U bent klaar!

Ontdek andere manieren om automatiseringsregels te maken.

Reageren op waarschuwingen: verouderde methode

Een andere manier om playbooks automatisch uit te voeren als reactie op waarschuwingen , is door ze aan te roepen vanuit een analyseregel. Wanneer de regel een waarschuwing genereert, wordt het playbook uitgevoerd.

Deze methode wordt vanaf maart 2026 afgeschaft.

Vanaf juni 2023 kunt u op deze manier geen playbooks meer toevoegen aan analyseregels. U kunt echter nog steeds de bestaande playbooks zien die worden aangeroepen vanuit analyseregels en deze playbooks worden nog steeds uitgevoerd tot maart 2026. U wordt ten zeer slotte aangeraden automatiseringsregels te maken om deze playbooks aan te roepen.

Een playbook op aanvraag uitvoeren

U kunt ook handmatig een playbook op aanvraag uitvoeren, in reactie op waarschuwingen, incidenten (in preview) of entiteiten (ook in preview). Dit kan handig zijn in situaties waarin u meer menselijke invoer wilt in en controle wilt over indelings- en responsprocessen.

Een playbook handmatig uitvoeren op een waarschuwing

Deze procedure wordt niet ondersteund in het geïntegreerde platform voor beveiligingsbewerkingen.

Selecteer in Azure Portal een van de volgende tabbladen, indien nodig voor uw omgeving:

Pagina DETAILS VAN NIEUW incident

1. Selecteer een incident op de pagina Incidenten .

   Selecteer in De Azure-portal de optie Volledige details onder aan het deelvenster details van het incident weergeven om de pagina met incidentdetails te openen.

2. Kies op de pagina met incidentdetails in de widget Tijdlijn voor incidenten de waarschuwing waarop u het playbook wilt uitvoeren. Selecteer de drie puntjes aan het einde van de regel van de waarschuwing en kies Playbook uitvoeren in het snelmenu.

   

3. Het deelvenster Waarschuwingsplaybooks wordt geopend. U ziet een lijst met alle playbooks die zijn geconfigureerd met de Logic Apps-trigger voor Microsoft Sentinel-waarschuwingen waartoe u toegang hebt.

4. Selecteer Uitvoeren op de regel van een specifiek playbook om het direct uit te voeren.

Onderzoeksgrafiek

1. Selecteer een incident op de pagina Incidenten .

   Selecteer in De Azure-portal de optie Volledige details onder aan het deelvenster details van het incident weergeven om de pagina met incidentdetails te openen.

2. Selecteer op de pagina details van het incident het tabblad Waarschuwingen , kies de waarschuwing waarop u het playbook wilt uitvoeren en selecteer de koppeling Playbooks weergeven aan het einde van de regel van die waarschuwing.

3. Het deelvenster Waarschuwingsplaybooks wordt geopend. U ziet een lijst met alle playbooks die zijn geconfigureerd met de Logic Apps-trigger voor Microsoft Sentinel-waarschuwingen waartoe u toegang hebt.

4. Selecteer Uitvoeren op de regel van een specifiek playbook om het direct uit te voeren.

U kunt de uitvoeringsgeschiedenis voor playbooks op een waarschuwing bekijken door het tabblad Uitvoeringen te selecteren in het deelvenster Waarschuwingsplaybooks . Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in de lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige uitvoeringslogboek geopend in Logic Apps.

Een playbook handmatig uitvoeren op een incident (preview)

Deze procedure verschilt, afhankelijk van of u werkt in Microsoft Sentinel of in het geïntegreerde platform voor beveiligingsbewerkingen. Selecteer het relevante tabblad voor uw omgeving:

Azure-portal

1. Selecteer een incident op de pagina Incidenten .

2. Selecteer in het detailvenster van het incident dat aan de rechterkant wordt weergegeven, het playbook Acties > uitvoeren (preview).
   (Als u de drie puntjes aan het einde van de lijn van het incident in het raster selecteert of met de rechtermuisknop op het incident klikt, wordt dezelfde lijst weergegeven als de Actieknop .)

3. Het Run-playbook op het incidentpaneel wordt aan de rechterkant geopend. U ziet een lijst met alle playbooks die zijn geconfigureerd met de Microsoft Sentinel Incident Logic Apps-trigger waartoe u toegang hebt.

   Als u het playbook dat u wilt uitvoeren niet in de lijst ziet, betekent dit dat Microsoft Sentinel geen machtigingen heeft om playbooks uit te voeren in die resourcegroep (zie de bovenstaande opmerking).

   Als u deze machtigingen wilt verlenen, selecteert u Instellingen> Instellingen> Machtigingen> Configureren. Markeer in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen.

4. Selecteer Uitvoeren op de regel van een specifiek playbook om het direct uit te voeren.

   U moet de operatorrol Microsoft Sentinel-playbook hebben voor elke resourcegroep met playbooks die u wilt uitvoeren. Als u het playbook niet kunt uitvoeren vanwege ontbrekende machtigingen, raden we u aan contact op te leggen met een beheerder om u de relevante machtigingen te verlenen. Zie Machtigingen die vereist zijn om met playbooks te werken voor meer informatie.

Microsoft Defender-portal

1. Selecteer een incident op de pagina Incidenten .

2. Selecteer Playbook uitvoeren in het detailvenster van het incident dat aan de rechterkant wordt weergegeven.

3. Het playbook Run op het incidentvenster wordt aan de rechterkant geopend, met alle gerelateerde playbooks voor het geselecteerde incident. Selecteer in de kolom Actie het playbook uitvoeren voor het playbook dat u direct wilt uitvoeren.

In de kolom Acties kan ook een van de volgende statussen worden weergegeven:

Status	Beschrijving en actie vereist
Ontbrekende machtigingen	U moet de operatorrol Microsoft Sentinel-playbook hebben voor elke resourcegroep met playbooks die u wilt uitvoeren. Als u machtigingen mist, raden we u aan contact op te leggen met een beheerder om u de relevante machtigingen te verlenen. Zie Machtigingen die vereist zijn om met playbooks te werken voor meer informatie.
Toestemming	Microsoft Sentinel ontbreekt de rol Microsoft Sentinel Automation-inzender . Dit is vereist om playbooks uit te voeren op incidenten. In dergelijke gevallen selecteert u Machtiging verlenen om het deelvenster Machtigingen beheren te openen. Het deelvenster Machtigingen beheren wordt standaard gefilterd op de resourcegroep van het geselecteerde playbook. Selecteer de resourcegroep en selecteer Vervolgens Toepassen om de vereiste machtigingen te verlenen. U moet eigenaar of beheerder van gebruikerstoegang zijn voor de resourcegroep waaraan u Microsoft Sentinel-machtigingen wilt verlenen. Als u machtigingen mist, wordt de resourcegroep grijs weergegeven en kunt u deze niet selecteren. In dergelijke gevallen raden we u aan contact op te leggen met een beheerder om u de relevante machtigingen te verlenen. Zie de bovenstaande opmerking voor meer informatie.

Bekijk de uitvoeringsgeschiedenis voor playbooks op een incident door het tabblad Runs te selecteren in het playbook Run in het incidentpaneel. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in de lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige uitvoeringslogboek geopend in Logic Apps.

Een playbook handmatig uitvoeren op een entiteit (preview)

Deze procedure wordt niet ondersteund in het geïntegreerde platform voor beveiligingsbewerkingen.

1. Selecteer een entiteit op een van de volgende manieren, afhankelijk van uw oorspronkelijke context:

   Als u zich op de pagina met details van een incident (nieuwe versie) bevinden:

   1. Zoek in de widget Entiteiten op het tabblad Overzicht een entiteit in de lijst (selecteer deze niet).
   2. Selecteer de drie puntjes rechts van de entiteit.
   3. Selecteer Playbook uitvoeren (preview) in het snelmenu en ga verder met stap 2 hieronder.
      Als u de entiteit hebt geselecteerd en het tabblad Entiteiten van de pagina met incidentdetails hebt ingevoerd, gaat u verder met de volgende regel hieronder.
   4. Zoek een entiteit in de lijst (selecteer deze niet).
   5. Selecteer de drie puntjes rechts van de entiteit.
   6. Selecteer Playbook uitvoeren (preview) in het snelmenu.
      Als u de entiteit hebt geselecteerd en de bijbehorende entiteitspagina hebt ingevoerd, selecteert u de knop Playbook uitvoeren (preview) in het linkerdeelvenster.

   Als u zich op de detailpagina van een incident (verouderde versie) bevinden:

   1. Selecteer het tabblad Entiteiten van het incident.
   2. Zoek een entiteit in de lijst (selecteer deze niet).
   3. Selecteer de koppeling Playbook uitvoeren (preview) aan het einde van de regel in de lijst.
      Als u de entiteit hebt geselecteerd en de bijbehorende entiteitspagina hebt ingevoerd, selecteert u de knop Playbook uitvoeren (preview) in het linkerdeelvenster.

   Als u zich in de grafiek Onderzoek hebt:

   1. Selecteer een entiteit in de grafiek.
   2. Selecteer de knop Playbook uitvoeren (preview) in het deelvenster aan de entiteitzijde.
      Voor sommige entiteitstypen moet u mogelijk de knop Entiteitsacties selecteren en in het resulterende menu Playbook uitvoeren (preview) selecteren.

   Als u proactief op bedreigingen zoekt:

   1. Selecteer in het scherm Gedrag van entiteit een entiteit in de lijsten op de pagina of zoek en selecteer een andere entiteit.
   2. Selecteer op de entiteitspagina de knop Playbook uitvoeren (preview) in het linkerdeelvenster.

2. Ongeacht de context waarvan u afkomstig bent, worden in de bovenstaande instructies het playbook Run geopend op het deelvenster Entiteitstype>.< U ziet een lijst met alle playbooks waartoe u toegang hebt die zijn geconfigureerd met de Trigger Microsoft Sentinel Entity Logic Apps voor het geselecteerde entiteitstype.

3. Selecteer Uitvoeren op de regel van een specifiek playbook om het direct uit te voeren.

U kunt de uitvoeringsgeschiedenis voor playbooks op een bepaalde entiteit zien door het tabblad Runs in het playbook Run te selecteren in <het deelvenster Entiteitstype>. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in de lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige uitvoeringslogboek geopend in Logic Apps.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u playbooks en automatiseringsregels in Microsoft Sentinel kunt gebruiken om te reageren op bedreigingen.

• Meer informatie over het verifiëren van playbooks bij Microsoft Sentinel
• Meer informatie over het gebruik van triggers en acties in Microsoft Sentinel-playbooks
• Leer hoe u proactief bedreigingen kunt opsporen met Behulp van Microsoft Sentinel.