Delen via

Incidenttaken maken en uitvoeren in Microsoft Sentinel met behulp van playbooks

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In dit artikel wordt uitgelegd hoe u playbooks gebruikt om incidenttaken te maken en optioneel uit te voeren voor het beheren van complexe werkstroomprocessen voor analisten in Microsoft Sentinel.

Gebruik de actie Taak toevoegen in een playbook in de Microsoft Sentinel-connector om automatisch een taak toe te voegen aan het incident dat het playbook heeft geactiveerd. Zowel de Standaard- als de Verbruikswerkstromen worden ondersteund.

Aanbeveling

Incidenttaken kunnen niet alleen automatisch worden gemaakt door playbooks, maar ook door automatiseringsregels, en ook handmatig, ad-hoc, vanuit een incident.

Zie Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel voor meer informatie.

Vereiste voorwaarden

  • De rol Microsoft Sentinel Responder is vereist voor het weergeven en bewerken van incidenten. Dit is nodig om taken toe te voegen, weer te geven en te bewerken.

  • De rol Logic Apps-bijdrager is vereist voor het maken en bewerken van playbooks.

Zie microsoft Sentinel-playbookvereisten voor meer informatie.

Een playbook gebruiken om een taak toe te voegen en uit te voeren

Deze sectie bevat een voorbeeldprocedure voor het toevoegen van een playbookactie die het volgende doet:

  • Hiermee voegt u een taak toe aan het incident en stelt u het wachtwoord van een aangetaste gebruiker opnieuw in
  • Voegt een andere playbookactie toe om een signaal te verzenden naar Microsoft Entra ID Protection (AADIP) om het wachtwoord daadwerkelijk opnieuw in te stellen
  • Hiermee voegt u een laatste actie uit het playbook toe om de taak in het incident als voltooid te markeren.

Voer de volgende stappen uit om deze acties toe te voegen en te configureren:

  1. Voeg vanuit de Microsoft Sentinel-connector de taak toevoegen aan incidentactie toe en voeg vervolgens het volgende toe:

    1. Selecteer het dynamische inhoudsitem Incident ARM-id voor het veld Incident ARM-id.

    2. Voer het wachtwoord van de gebruiker opnieuw instellen in als titel.

    3. Voeg een optionele beschrijving toe.

    Voorbeeld:

    De schermafbeelding toont acties in het draaiboek om een taak toe te voegen om het wachtwoord van een gebruiker opnieuw in te stellen.

  2. Voeg de actie Entiteiten - Accounts Ophalen (Preview) toe. Voeg het dynamische inhoudsitem Entiteiten (uit het Microsoft Sentinel-incidentschema) toe aan het veld Entiteitenlijst. Voorbeeld:

    Schermopname van playbookacties om de accountentiteiten in het incident op te halen.

  3. Voeg een Voor elke lus toe vanuit de Control actiebibliotheek. Voeg het dynamische inhoud-item Accounts toe uit de Entiteiten - Accounts ophalen uitvoer aan het veld Selecteer een uitvoer uit eerdere stappen. Voorbeeld:

    Schermopname laat zien hoe u een for-each lusactie toevoegt aan een playbook om een actie uit te voeren voor elk gedetecteerd account.

  4. Selecteer Een actie toevoegen binnen de Voor elke lus. Daarna kunt u het volgende doen:

    1. Zoek en selecteer de Microsoft Entra ID Protection-connector
    2. Selecteer de actie Een riskante gebruiker als gecompromitteerd bevestigen (Preview).
    3. Voeg het dynamische inhoudsitem Accounts Microsoft Entra gebruikers-id toe aan het veld userIds Item - 1.

    Met deze actie worden processen in beweging ingesteld in Microsoft Entra ID Protection om het wachtwoord van de gebruiker opnieuw in te stellen.

    Schermopname van het verzenden van entiteiten naar AADIP om inbreuk te bevestigen.

    Opmerking

    Het veld Accounts Microsoft Entra-gebruikers-id is een manier om een gebruiker in AADIP te identificeren. Het is misschien niet noodzakelijkerwijs de beste manier in elk scenario, maar wordt hier als voorbeeld gebracht.

    Raadpleeg voor hulp andere playbooks die gecompromitteerde gebruikers verwerken of de Microsoft Entra ID Protection-documentatie.

  5. Voeg de actie Markeer een taak als voltooid toe vanuit de Microsoft Sentinel-connector en voeg het dynamische inhoudselement Incident taak-ID toe aan het veld ARM Taak ID. Voorbeeld:

    Schermopname laat zien hoe u een playbookactie toevoegt om een incidenttaak voltooid te markeren.

Een playbook gebruiken om een taak voorwaardelijk toe te voegen

Deze sectie bevat een voorbeeldprocedure voor het toevoegen van een playbookactie waarmee een IP-adres wordt onderzocht dat in een incident wordt weergegeven.

  • Als de resultaten van dit onderzoek zijn dat het IP-adres schadelijk is, maakt het playbook een taak voor de analist om de gebruiker uit te schakelen met dat IP-adres.
  • Als het IP-adres geen bekend schadelijk adres is, maakt het playbook een andere taak, zodat de analist contact kan opnemen met de gebruiker om de activiteit te verifiëren.

Voer de volgende stappen uit om deze acties toe te voegen en te configureren:

  1. Voeg vanuit de Microsoft Sentinel-connector de actie Entiteiten - IP-adressen ophalen toe. Voeg het dynamische inhoudsitem Entiteiten (uit het Microsoft Sentinel-incidentschema) toe aan het veld Entiteitenlijst. Voorbeeld:

    Schermopname van playbookacties om de IP-adresentiteiten in het incident op te halen.

  2. Voeg een Voor elke lus toe vanuit de Control actiebibliotheek. Voeg het dynamische inhouditem IP-adressen uit de uitvoer van Entiteiten - Haal IP-adressen op toe aan het veld Selecteer een uitvoer uit de vorige stappen. Voorbeeld:

    Schermopname laat zien hoe u een actie voor elke lus toevoegt aan een playbook om een actie uit te voeren op elk gedetecteerd IP-adres.

  3. Klik in de voor elke lus op Actie toevoegen, en vervolgens:

    1. Zoek en selecteer de Virus Total-connector.
    2. Selecteer de actie Een IP-rapport ophalen (preview).
    3. Voeg het ip-adres-item voor dynamische inhoud toe vanuit de entiteiten - IP-uitvoer ophalen naar het veld IP-adres .

    Voorbeeld:

    Schermopname van het verzenden van een aanvraag naar Virus Total voor het IP-adresrapport.

  4. Klik in de voor elke lus op Actie toevoegen, en vervolgens:

    1. Voeg een voorwaarde toe vanuit de bibliotheek van besturingsacties.
    2. Voeg het dynamische inhoud-item Laatste analysestatistieken Schadelijk toe uit de uitvoer van een IP-rapport ophalen. Mogelijk moet u Meer weergeven selecteren om deze te vinden.
    3. Selecteer de is groter dan-operator en voer 0 in als de waarde.

    Deze voorwaarde stelt de vraag "Heeft het rapport Virus Total IP eventuele resultaten?" Bijvoorbeeld:

    Schermopname laat zien hoe u een waar-onwaar-voorwaarde instelt in een playbook.

  5. Binnen de optie Waar, selecteer Een actie toevoegen en dan:

    1. Selecteer de actie 'Taak toevoegen aan incident' in de Microsoft Sentinel-connector.
    2. Selecteer het dynamische inhoudsitem Incident ARM-id voor het veld Incident ARM-id.
    3. Voer Markeer gebruiker als gecompromitteerd in als Titel.
    4. Voeg een optionele beschrijving toe.

    Voorbeeld:

    Schermopname toont playbook-acties om een taak toe te voegen waarmee een gebruiker als gecompromitteerd wordt gemarkeerd.

  6. Selecteer binnen de optie Onwaar de optie Een actie toevoegen en ga vervolgens verder met:

    1. Selecteer de actie 'Taak toevoegen aan incident' in de Microsoft Sentinel-connector.
    2. Selecteer het dynamische inhoudsitem Incident ARM-id voor het veld Incident ARM-id.
    3. Voer Contact opnemen met de gebruiker in om de activiteit te bevestigenals titel.
    4. Voeg een optionele beschrijving toe.

    Voorbeeld:

    Schermopname toont playbookacties om een taak toe te voegen waarmee de gebruiker de activiteit bevestigt.

Verwante inhoud

Voor meer informatie, zie:

  • Last updated on