Microsoft Sentinel-playbooks maken en aanpassen vanuit sjablonen
Een playbooksjabloon is een vooraf samengestelde, geteste en kant-en-klare automatiseringswerkstroom voor Microsoft Sentinel die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.
Playbooksjablonen zijn zelf geen actieve playbooks en u moet een bewerkbare kopie maken voor uw behoeften.
Veel playbooksjablonen worden ontwikkeld door de Microsoft Sentinel-community, onafhankelijke softwareleveranciers (ISV's) en de eigen experts van Microsoft, op basis van populaire automatiseringsscenario's die worden gebruikt door beveiligingsactiviteitencentra over de hele wereld.
Belangrijk
Playbooksjablonen zijn momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
Als u playbooks wilt maken en beheren, hebt u toegang nodig tot Microsoft Sentinel met een van de volgende Azure-rollen:
- Inzender voor logische apps voor het bewerken en beheren van logische apps
- Logische app-operator, om logische apps te lezen, in te schakelen en uit te schakelen
Zie microsoft Sentinel-playbookvereisten voor meer informatie.
U wordt aangeraden Azure Logic Apps voor Microsoft Sentinel-playbooks te lezen voordat u uw playbook maakt.
Access-playbooksjablonen
Toegang tot playbooksjablonen uit de volgende bronnen:
| Locatie | Beschrijving |
|---|---|
| Microsoft Sentinel Automation-pagina | Het tabblad Playbook-sjablonen bevat alle geïnstalleerde playbooks. Maak een of meer actieve playbooks met dezelfde sjabloon. Wanneer we een nieuwe versie van een sjabloon publiceren, hebben alle actieve playbooks die op basis van die sjabloon zijn gemaakt, een extra label toegevoegd op het tabblad Actieve playbooks om aan te geven dat er een update beschikbaar is. |
| Microsoft Sentinel Content Hub-pagina | Playbooksjablonen zijn beschikbaar als onderdeel van productoplossingen of zelfstandige inhoud die is geïnstalleerd vanuit de Content Hub. Zie voor meer informatie: Over Microsoft Sentinel-inhoud en -oplossingen Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren |
| GitHub | De GitHub-opslagplaats van Microsoft Sentinel bevat veel andere playbooksjablonen. Selecteer Implementeren in Azure om een sjabloon te implementeren in uw Azure-abonnement. |
Technisch gezien is een playbooksjabloon een ARM-sjabloon (Azure Resource Manager), die bestaat uit verschillende resources: een Azure Logic Apps-werkstroom en API-verbindingen voor elke betrokken verbinding.
Dit artikel is gericht op het implementeren van een playbooksjabloon op het tabblad Playbook-sjablonen onder Automation.
Playbooksjablonen verkennen
Selecteer voor Microsoft Sentinel in Azure Portal de pagina Content Management>Content Hub. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.
Selecteer op de pagina Inhoudshub het inhoudstype dat u wilt filteren op Playbook. Deze gefilterde weergave bevat alle oplossingen en zelfstandige inhoud met een of meer playbooksjablonen. Installeer de oplossing of zelfstandige inhoud om de sjabloon op te halen.
Selecteer vervolgens het tabblad Playbooksjablonen van Configuration>Automation>om de geïnstalleerde sjablonen weer te geven. Voorbeeld:
Als u een playbooksjabloon wilt vinden die aan uw vereisten voldoet, filtert u de lijst op de volgende criteria:
| Filteren | Beschrijving |
|---|---|
| Trigger | Filter op de wijze waarop het playbook wordt geactiveerd, inclusief incidenten, waarschuwingen of entiteiten. Zie Ondersteunde Microsoft Sentinel-triggers voor meer informatie. |
| Logic Apps-connectors | Filter op de externe services waarmee de playbooks communiceren. Tijdens het implementatieproces moet elke connector een identiteit aannemen om te verifiëren bij de externe service. |
| Entiteiten | Filter op de entiteitstypen die het playbook verwacht te vinden in het incident. Een playbook dat bijvoorbeeld aangeeft dat een firewall een IP-adres blokkeert, verwacht IP-adressen in het incident te vinden. Dergelijke incidenten kunnen worden gemaakt door een Beveiligingsaanvalsanalyseregel. |
| Tags | Filter op de labels die zijn toegepast op het playbook, relateer het playbook aan een specifiek scenario of geef speciale kenmerken aan. Bijvoorbeeld: - Verrijking : Playbooks die informatie ophalen uit een andere service om context toe te voegen aan een incident. Deze informatie wordt doorgaans toegevoegd als opmerking bij het incident of verzonden naar de SOC. - Herstel: Playbooks die actie ondernemen op de betrokken entiteiten om een mogelijke bedreiging te elimineren. - Sync - Playbook waarmee een externe service, zoals een incidentbeheerservice, kan worden bijgewerkt met de eigenschappen van het incident. - Melding : Playbooks die een e-mailbericht of bericht verzenden. - Reactie van Teams - Playbooks waarmee analisten handmatig actie kunnen ondernemen vanuit Teams met behulp van interactieve kaarten. |
Voorbeeld:
Een playbook aanpassen op basis van een sjabloon
In deze procedure wordt beschreven hoe u playbooksjablonen implementeert en hoe u meerdere playbooks kunt maken op basis van dezelfde sjabloon.
Hoewel de meeste playbooksjablonen kunnen worden gebruikt zoals ze zijn, raden we u aan deze zo nodig aan te passen aan uw SOC-behoeften.
Selecteer op het tabblad Playbook-sjablonen een playbook waaruit u wilt beginnen.
Als het playbook vereisten heeft, moet u de instructies volgen. Voorbeeld:
Sommige playbooks roepen andere playbooks aan als acties. Dit tweede playbook wordt een geneste playbook genoemd. In dat geval is een van de vereisten het eerst implementeren van het geneste playbook.
Voor sommige playbooks is het implementeren van een aangepaste Logic Apps-connector of een Azure-functie vereist. In dergelijke gevallen is er een koppeling Implementeren in Azure waarmee u naar het algemene implementatieproces van de ARM-sjabloon gaat.
Selecteer Playbook maken om de wizard playbook maken te openen op basis van de geselecteerde sjabloon. De wizard heeft vier tabbladen:
Basisbeginselen: Zoek uw nieuwe playbook, een Logic Apps-resource en geef het een naam. U kunt de standaardwaarde gebruiken. Voorbeeld:
Parameters: Voer klantspecifieke waarden in die door het playbook worden gebruikt. Als het playbook bijvoorbeeld een e-mailbericht naar de SOC verzendt, definieert u het adres van de geadresseerde. Als het playbook een aangepaste connector gebruikt, moet deze worden geïmplementeerd in dezelfde resourcegroep en wordt u gevraagd de naam op te geven op het tabblad Parameters .
Het tabblad Parameters wordt alleen weergegeven als het playbook parameters bevat. Voorbeeld:
Verbindingen: Vouw elke actie uit om de bestaande verbindingen te zien die u hebt gemaakt voor eerdere playbooks. U kunt ervoor kiezen om bestaande verbindingen te gebruiken of een nieuwe te maken. Voorbeeld:
Als u een nieuwe verbinding wilt maken, selecteert u Nieuwe verbinding maken na de implementatie. Met deze optie gaat u naar de ontwerper van Logic Apps nadat het implementatieproces is voltooid.
Aangepaste connectors worden weergegeven door de naam van de aangepaste connector die is ingevoerd op het tabblad Parameters .
Voor connectors die ondersteuning bieden voor het maken van verbinding met beheerde identiteiten, zoals Microsoft Sentinel, is de beheerde identiteit de standaardverbindingsmethode.
Zie Playbooks verifiëren bij Microsoft Sentinel voor meer informatie.
Controleren en maken: bekijk een samenvatting van het proces en wacht op validatie van uw invoer voordat u het playbook maakt.
Nadat u de stappen in de wizard voor het maken van een playbook tot het einde hebt gevolgd, gaat u naar het werkstroomontwerp van het nieuwe playbook in de ontwerpfunctie van Logic Apps. Voorbeeld:
Maak voor elke connector die u hebt gekozen een nieuwe verbinding voor na de implementatie:
Selecteer API-verbindingen in het navigatiemenu en selecteer vervolgens de naam van de verbinding. Voorbeeld:
Selecteer API-verbinding bewerken in het navigatiemenu.
Vul de vereiste parameters in en selecteer Opslaan. Voorbeeld:
U kunt ook een nieuwe verbinding maken vanuit de relevante stappen in de Logic Apps-ontwerpfunctie:
Voor elke stap die wordt weergegeven met een foutteken, selecteert u deze om uit te vouwen en selecteert u vervolgens Nieuwe toevoegen.
Verifiëren volgens de relevante instructies. Zie Playbooks verifiëren bij Microsoft Sentinel voor meer informatie.
Als er andere stappen zijn die dezelfde verbindingslijn gebruiken, vouwt u de bijbehorende vakken uit. Selecteer in de lijst met verbindingen die wordt weergegeven de verbinding die u zojuist hebt gemaakt.
Als u ervoor hebt gekozen om een beheerde identiteitsverbinding te gebruiken voor Microsoft Sentinel of voor andere ondersteunde verbindingen, moet u machtigingen verlenen aan het nieuwe playbook in de Microsoft Sentinel-werkruimte of op de relevante doelbronnen voor andere connectors.
Sla het playbook op. Het playbook wordt weergegeven op het tabblad Actieve playbooks .
Als u uw playbook wilt uitvoeren, stelt u een geautomatiseerd antwoord in of voert u het handmatig uit. Zie Reageren op bedreigingen met Microsoft Sentinel-playbooks voor meer informatie.
Een probleem melden in een playbooksjabloon
Als u een fout wilt melden of een verbetering voor een playbook wilt aanvragen, selecteert u de koppeling Ondersteund door in het detailvenster van het playbook. Als dit een playbook is dat door de community wordt ondersteund, wordt u via de koppeling naar een GitHub-probleem geopend. Anders wordt u doorgestuurd naar de pagina van de ondersteuningsfunctie, met informatie over het verzenden van uw feedback.