Microsoft Sentinel-playbooks maken en beheren

• Geldt voor:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbooks zijn verzamelingen procedures die vanuit Microsoft Sentinel kunnen worden uitgevoerd als reactie op een heel incident, op een afzonderlijke waarschuwing of op een specifieke entiteit. Een playbook kan helpen bij het automatiseren en organiseren van uw reactie en kan worden gekoppeld aan een automatiseringsregel die automatisch wordt uitgevoerd wanneer specifieke waarschuwingen worden gegenereerd of wanneer incidenten worden gemaakt of bijgewerkt. Playbooks kunnen ook handmatig op aanvraag worden uitgevoerd op specifieke incidenten, waarschuwingen of entiteiten.

In dit artikel wordt beschreven hoe u Microsoft Sentinel-playbooks maakt en beheert. U kunt deze playbooks later koppelen aan analyseregels of automatiseringsregels, of deze handmatig uitvoeren op specifieke incidenten, waarschuwingen of entiteiten.

Notitie

Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, wat betekent dat u alle mogelijkheden, aanpasbaarheid en ingebouwde sjablonen van Logic Apps krijgt. Er kunnen extra kosten van toepassing zijn. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Als u playbooks wilt maken en beheren, hebt u toegang nodig tot Microsoft Sentinel met een van de volgende Azure-rollen:

• Inzender voor logische apps voor het bewerken en beheren van logische apps
• Logische app-operator, om logische apps te lezen, in te schakelen en uit te schakelen

Zie microsoft Sentinel-playbookvereisten voor meer informatie.

U wordt aangeraden Azure Logic Apps voor Microsoft Sentinel-playbooks te lezen voordat u uw playbook maakt.

Een playbook maken

Volg deze stappen om een nieuw playbook te maken in Microsoft Sentinel:

1. Selecteer voor Microsoft Sentinel in Azure Portal de pagina Configuratieautomatisering>. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel-configuratieautomatisering>>.

   Azure-portal

   

   Defender-portal

   

2. Selecteer in het bovenste menu Maken en selecteer vervolgens een van de volgende opties:

   1. Als u een Standard-playbook maakt, selecteert u Leeg playbook en volgt u de stappen voor het type logische standaard-app.

   2. Als u een playbook Verbruik maakt, selecteert u een van de volgende opties, afhankelijk van de trigger die u wilt gebruiken en volgt u de stappen op het tabblad Verbruik van Logische apps hieronder:

      • Playbook met incidenttrigger
      • Playbook met waarschuwingstrigger
      • Playbook met entiteittrigger

   Zie Ondersteunde typen logische apps en ondersteunde triggers en acties in Microsoft Sentinel-playbooks voor meer informatie.

De logische app van uw playbook voorbereiden

Selecteer een van de volgende tabbladen voor meer informatie over het maken van een logische app voor uw playbook, afhankelijk van of u een Verbruiks - of Standaardwerkstroom gebruikt. Zie Ondersteunde typen logische apps voor meer informatie.

Verbruik

De wizard Playbook maken wordt weergegeven nadat u de trigger hebt geselecteerd die u wilt gebruiken, inclusief een incident, waarschuwing of entiteitstrigger. Voorbeeld:

Ga als volgt te werk om uw playbook te maken:

1. Op het tabblad Basis:

   1. Selecteer het abonnement, de resourcegroep en de regio van uw keuze in de desbetreffende vervolgkeuzelijsten. In de geselecteerde regio worden de gegevens van uw logische app opgeslagen.

   2. Voer een naam in voor uw playbook onder De naam van het Playbook.

   3. Als u de activiteit van dit playbook wilt bewaken voor diagnostische doeleinden, schakelt u het selectievakje Diagnostische logboeken in Log Analytics inschakelen in en selecteert u uw Log Analytics-werkruimte in de vervolgkeuzelijst.

   4. Als uw playbooks toegang nodig hebben tot beveiligde resources die zich in een virtueel Azure-netwerk bevinden of zijn verbonden, moet u mogelijk een ISE (Integration Service Environment) gebruiken. Schakel in dat verband het selectievakje Koppelen aan integratieserviceomgeving in en selecteer de relevante ISE in de vervolgkeuzelijst.

   5. Selecteer Volgende: Verbinding maken ions>.

2. Op het tabblad Verbinding maken ions raden we u aan om de standaardwaarden te verlaten en Logic Apps te configureren om verbinding te maken met Microsoft Sentinel met een beheerde identiteit. Zie Playbooks verifiëren bij Microsoft Sentinel voor meer informatie.

   Selecteer Volgende: Controleren en maken > om door te gaan.

3. Controleer op het tabblad Controleren en maken de configuratiekeuzes die u hebt gemaakt en selecteer Maken en doorgaan met ontwerpen.

   Het duurt enkele minuten voordat uw playbook is gemaakt en geïmplementeerd, waarna u het bericht 'Uw implementatie is voltooid' ziet en u naar de ontwerpfunctie voor logische apps van uw nieuwe playbook wordt gebracht. De trigger die u aan het begin hebt gekozen, wordt automatisch toegevoegd als eerste stap en u kunt doorgaan met het ontwerpen van de werkstroom daar.

   

4. Als u de microsoft Sentinel-entiteittrigger hebt gekozen, selecteert u het type entiteit dat u wilt ontvangen als invoer voor dit playbook.

   

Standaard

Omdat playbooks op basis van de standaardwerkstroom geen ondersteuning bieden voor playbooksjablonen, moet u eerst uw logische app maken, vervolgens uw playbook maken en ten slotte de trigger voor uw playbook kiezen.

Nadat u de optie Leeg playbook hebt geselecteerd, wordt er een nieuw browsertabblad geopend met de wizard Logische app maken. Voorbeeld:

Een logische app maken

1. Voer op het tabblad Basisinformatie de volgende details in:

   1. Selecteer het abonnement en de resourcegroep van uw keuze in de desbetreffende vervolgkeuzelijsten.
   2. Voer een naam in voor uw logische app. Voor Publiceren selecteert u Werkstroom. Selecteer de regio waar u de logische app wilt implementeren.
   3. Selecteer Standard voor Type plan.
   4. Selecteer Volgende: Hosting >.

2. Op het tabblad Hosting :

   1. Voor het type Opslag selecteert u Azure Storage en selecteert of maakt u een opslagaccount.
   2. Selecteer een Windows-abonnement.

3. Op het tabblad Bewaking :

   1. Als u prestatiebewaking wilt inschakelen in Azure Monitor voor deze toepassing, laat u de wisselknop op Ja staan. Anders schakelt u deze in op Nee.

      Notitie

      Deze bewaking is niet vereist voor Microsoft Sentinel en kost u extra.

   2. Selecteer desgewenst Volgende: Tags > om tags toe te passen op deze logische app voor resourcecategorisatie en factureringsdoeleinden. Selecteer anders Beoordelen en maken.

4. Controleer op het tabblad Beoordelen en maken de configuratiekeuzes die u hebt gemaakt en selecteer Maken.

   Het duurt enkele minuten voordat uw playbook is gemaakt en geïmplementeerd, waarin u enkele implementatieberichten ziet. Aan het einde van het proces dat u naar het laatste implementatiescherm gaat, ziet u het volgende bericht: 'Uw implementatie is voltooid'.

5. Selecteer Naar resource. U gaat naar de hoofdpagina van uw nieuwe logische app.

   In tegenstelling tot klassieke Consumption-playbooks bent u nog niet klaar. Nu moet u een werkstroom maken.

Een werkstroom maken voor uw playbook

1. Selecteer werkstromen > en toevoegen op de detailpagina van uw logische app. Het kan even duren voordat de knop + Toevoegen actief wordt.

2. In het deelvenster Nieuwe werkstroom dat wordt weergegeven:

   1. Voer een betekenisvolle naam in voor uw werkstroom.
   2. Selecteer Stateful onder Statustype. Microsoft Sentinel biedt geen ondersteuning voor het gebruik van staatloze werkstromen als playbooks.
   3. Selecteer Maken.

   Uw werkstroom wordt opgeslagen en wordt weergegeven in de lijst met werkstromen in uw logische app.

3. Selecteer de nieuwe werkstroom om door te gaan en toegang te krijgen tot de pagina met werkstroomgegevens. Hier ziet u alle informatie over uw werkstroom, inclusief een record van alle keren dat deze wordt uitgevoerd.

4. Selecteer Designer op de pagina met werkstroomdetails.

5. De pagina Designer wordt geopend en u wordt gevraagd een trigger toe te voegen en door te gaan met het ontwerpen van de werkstroom. Voorbeeld:

   

Uw trigger toevoegen

1. Selecteer op de pagina Ontwerper het tabblad Azure en voer Sentinel in het zoekvak in. Op het tabblad Triggers worden de triggers weergegeven die worden ondersteund door Microsoft Sentinel, waaronder:

   • Microsoft Sentinel-waarschuwing
   • Microsoft Sentinel-entiteit
   • Microsoft Sentinel-incident

   Voorbeeld:

   

2. Als u de microsoft Sentinel-entiteittrigger kiest, selecteert u het type entiteit dat u wilt ontvangen als invoer voor dit playbook. Voorbeeld:

   

Zie Ondersteunde triggers en acties in Microsoft Sentinel-playbooks voor meer informatie.

Acties toevoegen aan uw playbook

Nu u een logische app hebt, definieert u wat er gebeurt wanneer u het playbook aanroept. Voeg acties, logische voorwaarden, lussen of voorwaarden voor switchcases toe door nieuwe stap te selecteren. Met deze selectie opent u een nieuw frame in de ontwerpfunctie, waarin u een systeem of toepassing kunt kiezen waarmee u wilt communiceren of een voorwaarde die u wilt instellen. Voer de naam van het systeem of de toepassing in de zoekbalk boven aan het frame in en kies vervolgens uit de beschikbare resultaten.

Als u in elk van deze stappen op een veld klikt, wordt een deelvenster met de volgende menu's weergegeven:

• Dynamische inhoud: Voeg verwijzingen toe naar de kenmerken van de waarschuwing of het incident dat is doorgegeven aan het playbook, inclusief de waarden en kenmerken van alle toegewezen entiteiten en aangepaste details in de waarschuwing of het incident. Zie voor voorbeelden van het gebruik van dynamische inhoud:

  • Entiteitsplaybooks zonder incident-id gebruiken
  • Werken met aangepaste details

• Expressie: Kies uit een grote bibliotheek met functies om meer logica toe te voegen aan uw stappen.

Zie Ondersteunde triggers en acties in Microsoft Sentinel-playbooks voor meer informatie.

Verificatieprompts

Wanneer u een trigger of een volgende actie kiest, wordt u gevraagd om u te verifiëren bij de resourceprovider waarmee u werkt. In dit geval is de provider Microsoft Sentinel en zijn er enkele verificatieopties. Zie voor meer informatie:

• Playbooks verifiëren bij Microsoft Sentinel
• Ondersteunde triggers en acties in Microsoft Sentinel-playbooks

Dynamische inhoud: Entiteitsplaybooks zonder incident-id gebruiken

Playbooks die zijn gemaakt met de entiteitstrigger, gebruiken vaak het veld ARM-id voor incidenten, zoals het bijwerken van een incident nadat u actie hebt ondernomen op de entiteit.

Als een dergelijk playbook wordt geactiveerd in een context die niet is verbonden met een incident, zoals bij het opsporen van bedreigingen, is er geen incident waarvan de id dit veld kan vullen. In dit geval wordt het veld gevuld met een null-waarde.

Als gevolg hiervan kan het playbook niet worden uitgevoerd tot voltooiing. Om deze fout te voorkomen, raden we u aan een voorwaarde te maken waarmee wordt gecontroleerd op een waarde in het veld incident-id voordat u er acties op uitvoert en een andere set acties voorschrijft als het veld een null-waarde heeft. Dat wil gezegd, als het playbook niet wordt uitgevoerd vanuit een incident.

Voer de volgende stappen uit:

1. Voeg vóór de eerste actie die verwijst naar het veld ARM-id van het incident een voorwaardestap toe.

2. Selecteer aan de zijkant het veld Een waarde kiezen om het dialoogvenster Dynamische inhoud toevoegen in te voeren.

3. Selecteer DE ARM-id van het incident (optioneel) en de operator is niet gelijk aan .

4. Selecteer Nogmaals Een waarde kiezen om het dialoogvenster Dynamische inhoud toevoegen in te voeren.

5. Selecteer het tabblad Expressie en de null-functie .

Voorbeeld:

Dynamische inhoud: Werken met aangepaste details

Het dynamische veld Met aangepaste details waarschuwing, beschikbaar in de incidenttrigger, is een matrix van JSON-objecten, die elk een aangepast detail van een waarschuwing vertegenwoordigen. Aangepaste details zijn sleutel-waardeparen waarmee u informatie van gebeurtenissen in de waarschuwing kunt weergeven, bijhouden en analyseren als onderdeel van het incident.

Omdat dit veld in de waarschuwing kan worden aangepast, is het schema afhankelijk van het type gebeurtenis dat wordt weergegeven. Geef gegevens op uit een exemplaar van deze gebeurtenis om het schema te genereren dat bepaalt hoe het aangepaste detailveld wordt geparseerd.

Voorbeeld:

In deze sleutel-waardeparen:

• De sleutel, in de linkerkolom, vertegenwoordigt de aangepaste velden die u maakt.
• De waarde, in de rechterkolom, vertegenwoordigt de velden uit de gebeurtenisgegevens die de aangepaste velden vullen.

Geef de volgende JSON-code op om het schema te genereren. De code toont de sleutelnamen als matrices en de waarden als items in de matrices. Waarden worden weergegeven als de werkelijke waarden, niet de kolom die de waarden bevat.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Aangepaste velden gebruiken voor incidenttriggers:

1. Voeg een nieuwe stap toe met behulp van de ingebouwde JSON-actie parseren. Voer json parseren in het zoekveld in om deze te vinden als dat nodig is.

2. Zoek en selecteer Aangepaste details voor waarschuwingen in de lijst met dynamische inhoud , onder de incidenttrigger. Voorbeeld:

   

   Hiermee maakt u een Voor elke lus, omdat een incident een matrix met waarschuwingen bevat.

3. Selecteer de nettolading Voorbeeld gebruiken om een schemakoppeling te genereren. Voorbeeld:

   

4. Geef een voorbeeldpayload op. U kunt bijvoorbeeld een voorbeeldpayload vinden door in Log Analytics te zoeken naar een ander exemplaar van deze waarschuwing en het aangepaste detailobject te kopiëren, te vinden onder Uitgebreide eigenschappen. Open Log Analytics-gegevens op de pagina Logboeken in Azure Portal of de pagina Geavanceerde opsporing in de Defender-portal. In de onderstaande schermopname hebben we de bovenstaande JSON-code gebruikt.

   

De aangepaste velden kunnen worden gebruikt als dynamische velden van het type Matrix. In de volgende schermopname ziet u bijvoorbeeld een matrix en de bijbehorende items, zowel in het schema als in de lijst die wordt weergegeven onder Dynamische inhoud, die we in deze sectie hebben beschreven:

Uw playbooks beheren

Selecteer het tabblad Active Playbooks van Automation > om alle playbooks weer te geven waartoe u toegang hebt, gefilterd op de abonnementsweergave.

Na onboarding naar het geïntegreerde platform voor beveiligingsbewerkingen toont het tabblad Actieve playbooks standaard een vooraf gedefinieerd filter met het abonnement van de onboarded werkruimte. Bewerk in Azure Portal de abonnementen die u weergeeft in het menu Directory + abonnement in de koptekst van de algemene Azure-pagina.

Terwijl op het tabblad Actieve playbooks alle actieve playbooks worden weergegeven die beschikbaar zijn voor geselecteerde abonnementen, kan standaard alleen een playbook worden gebruikt binnen het abonnement waartoe het behoort, tenzij u Microsoft Sentinel-machtigingen specifiek verleent aan de resourcegroep van het playbook.

Op het tabblad Actieve playbooks worden uw playbooks weergegeven met de volgende details:

Kolomnaam	Beschrijving
Status	Geeft aan of het playbook is ingeschakeld of uitgeschakeld.
Plannen	Geeft aan of het playbook gebruikmaakt van het resourcetype Standard of Consumption Azure Logic Apps. Playbooks van het standaardtype maken gebruik van de LogicApp/Workflow naamconventie, die aangeeft hoe een Standard-playbook een werkstroom vertegenwoordigt die naast andere werkstromen in één logische app bestaat. Zie Azure Logic Apps voor Microsoft Sentinel-playbooks voor meer informatie.
Soort trigger	Geeft de Azure Logic Apps-trigger aan waarmee dit playbook wordt gestart: - Microsoft Sentinel Incident/Waarschuwing/Entiteit: het playbook wordt gestart met een van de Sentinel-triggers, waaronder incident, waarschuwing of entiteit - Microsoft Sentinel Action gebruiken: Het playbook wordt gestart met een niet-Microsoft Sentinel-trigger, maar maakt gebruik van een Microsoft Sentinel-actie - Overige: Het playbook bevat geen Microsoft Sentinel-onderdelen - Niet geïnitialiseerd: het playbook is gemaakt, maar bevat geen onderdelen, noch triggers geen acties.

Selecteer een playbook om de Azure Logic Apps-pagina te openen, waarin meer informatie over het playbook wordt weergegeven. Op de pagina Azure Logic Apps:

• Een logboek weergeven van alle keren dat het playbook werd uitgevoerd
• Uitvoeringsresultaten weergeven, inclusief geslaagde en mislukte uitvoeringen en andere details
• Als u over de relevante machtigingen beschikt, opent u de werkstroomontwerper in Azure Logic Apps om het playbook rechtstreeks te bewerken

Gerelateerde inhoud

Nadat u uw playbook hebt gemaakt, koppelt u het aan regels die moeten worden geactiveerd door gebeurtenissen in uw omgeving of voert u uw playbooks handmatig uit op specifieke incidenten, waarschuwingen of entiteiten.

Zie voor meer informatie:

• Microsoft Sentinel-playbooks automatiseren en uitvoeren
• Playbooks verifiëren bij Microsoft Sentinel
• Een Microsoft Sentinel-playbook gebruiken om mogelijk gecompromitteerde gebruikers te stoppen