Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
In dit artikel wordt uitgelegd wat Microsoft Sentinel-playbooks zijn en hoe u deze kunt gebruiken om uw SOAR-bewerkingen (Security Orchestration, Automation and Response) te implementeren, waardoor betere resultaten worden behaald terwijl u tijd en resources bespaart.
Wat is een playbook?
SOC-analisten worden meestal regelmatig overspoeld met beveiligingswaarschuwingen en -incidenten, bij volumes die zo groot zijn dat beschikbaar personeel wordt overstelpt. Dit resulteert te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar is voor aanvallen die onopgemerkt blijven.
Veel, zo niet de meeste, van deze waarschuwingen en incidenten voldoen aan terugkerende patronen die kunnen worden aangepakt door specifieke en gedefinieerde sets herstelacties. Analisten krijgen ook de taak om basisherstel en onderzoek uit te voeren naar de incidenten die ze wel kunnen oplossen. Voor zover deze activiteiten geautomatiseerd kunnen worden, kan een SOC veel productiever en efficiënter zijn, waardoor analisten meer tijd en energie kunnen besteden aan onderzoeksactiviteiten.
Een playbook is een verzameling van deze herstelacties die als routine vanuit Microsoft Sentinel kunnen worden uitgevoerd. Een playbook kan helpen bij het automatiseren en organiseren van uw reactie op bedreigingen; het kan handmatig op aanvraag worden uitgevoerd op entiteiten (in preview - zie hieronder) en waarschuwingen, of worden ingesteld om automatisch te worden uitgevoerd als reactie op specifieke waarschuwingen of incidenten, wanneer deze worden geactiveerd door een automatiseringsregel.
Als bijvoorbeeld een account en computer zijn aangetast, kan een playbook de computer isoleren van het netwerk en het account blokkeren op het moment dat het SOC-team op de hoogte wordt gesteld van het incident.
Playbooks kunnen worden gebruikt binnen het abonnement waartoe ze behoren, maar op het tabblad Playbooks (op de blade Automation ) worden alle playbooks weergegeven die beschikbaar zijn voor alle geselecteerde abonnementen.
Playbook-sjablonen
Belangrijk
Playbook-sjablonen zijn momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie of preview zijn of die nog niet algemeen beschikbaar zijn.
Een playbook-sjabloon is een vooraf gebouwde, geteste en kant-en-klare werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.
Playbook-sjablonen zijn zelf geen actieve playbooks, totdat u er een playbook (een bewerkbare kopie van de sjabloon) van maakt.
U kunt playbook-sjablonen ophalen uit de volgende bronnen:
Het tabblad Playbook-sjablonen (onder Automation) bevat de toonaangevende scenario's die zijn bijgedragen door de Microsoft Sentinel-community. U kunt meerdere actieve playbooks maken op basis van dezelfde sjabloon.
Wanneer een nieuwe versie van de sjabloon wordt gepubliceerd, worden de actieve playbooks die op basis van die sjabloon zijn gemaakt (op het tabblad Playbooks ) gelabeld met een melding dat er een update beschikbaar is.
Playbook-sjablonen kunnen ook worden verkregen als onderdeel van een Microsoft Sentinel-oplossing in de context van een specifiek product. De implementatie van de oplossing produceert actieve playbooks.
De GitHub-opslagplaats van Microsoft Sentinel bevat veel playbooksjablonen. Ze kunnen worden geïmplementeerd in een Azure-abonnement door de knop Implementeren in Azure te selecteren.
Technisch gezien is een playbooksjabloon een ARM-sjabloon die bestaat uit verschillende resources: een Azure Logic Apps-werkstroom en API-verbindingen voor elke betrokken verbinding.
Basisconcepten van Azure Logic Apps
Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in de hele onderneming kunt plannen, automatiseren en organiseren. Dit betekent dat playbooks kunnen profiteren van alle kracht en mogelijkheden van de ingebouwde sjablonen in Azure Logic Apps.
Notitie
Azure Logic Apps maakt afzonderlijke resources, dus er kunnen extra kosten in rekening worden gebracht. Ga naar de pagina met prijzen voor Azure Logic Apps voor meer informatie.
Azure Logic Apps communiceert met andere systemen en services met behulp van connectors. Hier volgt een korte uitleg van connectors en enkele belangrijke kenmerken:
Beheerde connector: Een set acties en triggers die api-aanroepen naar een bepaald product of een bepaalde service omringen. Azure Logic Apps biedt honderden connectors om te communiceren met zowel Microsoft- als niet-Microsoft-services. Zie Azure Logic Apps-connectors en de bijbehorende documentatie voor meer informatie
Aangepaste connector: Mogelijk wilt u communiceren met services die niet beschikbaar zijn als vooraf gemaakte connectors. Aangepaste connectors komen aan deze behoefte tegemoet door u in staat te stellen een connector te maken (en zelfs te delen) en de eigen triggers en acties te definiëren. Zie Uw eigen aangepaste Azure Logic Apps-connectors maken voor meer informatie.
Microsoft Sentinel-connector: Als u playbooks wilt maken die communiceren met Microsoft Sentinel, gebruikt u de Microsoft Sentinel-connector. Zie de documentatie voor de Microsoft Sentinel-connector voor meer informatie.
Trigger: Een connectoronderdeel waarmee een werkstroom wordt gestart, in dit geval een playbook. De Microsoft Sentinel-trigger definieert het schema dat het playbook verwacht te ontvangen wanneer deze wordt geactiveerd. De Microsoft Sentinel-connector heeft momenteel drie triggers:
- Waarschuwingstrigger: het playbook ontvangt de waarschuwing als invoer.
- Entiteittrigger (preview): Het playbook ontvangt een entiteit als invoer.
- Incidenttrigger: het playbook ontvangt het incident als invoer, samen met alle opgenomen waarschuwingen en entiteiten.
Acties: Acties zijn alle stappen die na de trigger worden uitgevoerd. Ze kunnen opeenvolgend, parallel of in een matrix van complexe voorwaarden worden gerangschikt.
Dynamische velden: Tijdelijke velden, bepaald door het uitvoerschema van triggers en acties en gevuld met hun werkelijke uitvoer, die kunnen worden gebruikt in de volgende acties.
Typen logische apps
Microsoft Sentinel ondersteunt nu de volgende resourcetypen voor logische apps:
- Consumption, dat wordt uitgevoerd in Azure Logic Apps met meerdere tenants en gebruikmaakt van de klassieke, oorspronkelijke Azure Logic Apps-engine.
- Standard, dat wordt uitgevoerd in Azure Logic Apps met één tenant en gebruikmaakt van een opnieuw ontworpen Azure Logic Apps-engine.
Het type logische standaard-app biedt hogere prestaties, vaste prijzen, mogelijkheden voor meerdere werkstromen, eenvoudiger beheer van API-verbindingen, systeemeigen netwerkmogelijkheden zoals ondersteuning voor virtuele netwerken en privé-eindpunten (zie opmerking hieronder), ingebouwde CI/CD-functies, betere integratie van Visual Studio Code, een bijgewerkte werkstroomontwerper en meer.
Als u deze versie van de logische app wilt gebruiken, maakt u nieuwe Standard-playbooks in Microsoft Sentinel (zie opmerking hieronder). U kunt deze playbooks op dezelfde manier gebruiken als verbruiksplaybooks:
- Koppel ze aan automatiseringsregels en/of analyseregels.
- Voer ze op aanvraag uit, zowel vanuit incidenten als waarschuwingen.
- Beheer ze op het tabblad Actieve playbooks.
Notitie
Standaardwerkstromen bieden momenteel geen ondersteuning voor Playbook-sjablonen, wat betekent dat u niet rechtstreeks in Microsoft Sentinel een standaard playbook op basis van een werkstroom kunt maken. In plaats daarvan moet u de werkstroom maken in Azure Logic Apps. Nadat u de werkstroom hebt gemaakt, wordt deze weergegeven als een playbook in Microsoft Sentinel.
De standaardwerkstromen van logic apps ondersteunen privé-eindpunten zoals hierboven vermeld, maar Microsoft Sentinel vereist het definiëren van een toegangsbeperkingsbeleid in Logische apps om het gebruik van privé-eindpunten in playbooks op basis van standaardwerkstromen te ondersteunen.
Als er geen toegangsbeperkingsbeleid is gedefinieerd, zijn werkstromen met privé-eindpunten mogelijk nog steeds zichtbaar en selecteerbaar wanneer u een playbook kiest in een lijst in Microsoft Sentinel (of u nu handmatig moet worden uitgevoerd, om toe te voegen aan een automatiseringsregel of in de playbooks-galerie). U kunt ze selecteren, maar de uitvoering ervan mislukt.
Een indicator identificeert Standaardwerkstromen als stateful of stateless. Microsoft Sentinel biedt momenteel geen ondersteuning voor stateless werkstromen. Meer informatie over de verschillen tussen stateful en stateless werkstromen.
Er zijn veel verschillen tussen deze twee resourcetypen, waarvan sommige van invloed zijn op enkele manieren waarop ze kunnen worden gebruikt in playbooks in Microsoft Sentinel. In dergelijke gevallen wordt in de documentatie opgegeven wat u moet weten. Zie Verschillen in resourcetype en hostomgeving in de documentatie van Azure Logic Apps voor meer informatie.
Machtigingen vereist
Als u uw SecOps-team de mogelijkheid wilt geven om Azure Logic Apps te gebruiken om playbooks te maken en uit te voeren in Microsoft Sentinel, wijst u Azure-rollen toe aan uw beveiligingsteam of aan specifieke gebruikers in het team. Hieronder worden de verschillende beschikbare rollen beschreven en de taken waaraan ze moeten worden toegewezen:
Azure-rollen voor Azure Logic Apps
- Met Inzender voor logische apps kunt u logische apps beheren en playbooks uitvoeren, maar u kunt de toegang tot deze apps niet wijzigen (hiervoor hebt u de rol Eigenaar nodig).
- Met Logic App Operator kunt u logische apps lezen, inschakelen en uitschakelen, maar u kunt ze niet bewerken of bijwerken.
Azure-rollen voor Microsoft Sentinel
- Met de rol Inzender voor Microsoft Sentinel kunt u een playbook koppelen aan een analyse- of automatiseringsregel.
- Met de rol Microsoft Sentinel Responder hebt u toegang tot een incident om een playbook handmatig uit te voeren. Maar om het playbook daadwerkelijk uit te voeren, moet je ook...
- Met de rol Microsoft Sentinel Playbook Operator kunt u een playbook handmatig uitvoeren.
- Met Inzender voor Microsoft Sentinel Automation kunnen automatiseringsregels playbooks uitvoeren. De puntkomma wordt niet gebruikt voor andere doeleinden.
Lees meer
- Meer informatie over Azure-rollen in Azure Logic Apps.
- Meer informatie over Azure-rollen in Microsoft Sentinel.
Stappen voor het maken van een playbook
Koppel het playbook aan een automatiseringsregel of analyseregel of voer handmatig uit wanneer dat nodig is.
Gebruiksvoorbeelden voor playbooks
Het Azure Logic Apps-platform biedt honderden acties en triggers, zodat vrijwel elk automatiseringsscenario kan worden gemaakt. Microsoft Sentinel raadt aan om te beginnen met de volgende SOC-scenario's, waarvoor kant-en-klare playbooksjablonen standaard beschikbaar zijn:
Verrijking
Verzamel gegevens en koppel deze aan het incident om slimmere beslissingen te nemen.
Bijvoorbeeld:
Er is een Microsoft Sentinel-incident gemaakt op basis van een waarschuwing door een analyseregel waarmee IP-adresentiteiten worden gegenereerd.
Het incident activeert een automatiseringsregel waarmee een playbook wordt uitgevoerd met de volgende stappen:
Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt. De entiteiten die in het incident worden weergegeven, worden opgeslagen in de dynamische velden van de incidenttrigger.
Voer voor elk IP-adres een query uit bij een externe bedreigingsinformatieprovider, zoals Virus Total, om meer gegevens op te halen.
Voeg de geretourneerde gegevens en inzichten toe als opmerkingen bij het incident.
Bidirectionele synchronisatie
Playbooks kunnen worden gebruikt om uw Microsoft Sentinel-incidenten te synchroniseren met andere ticketsystemen.
Bijvoorbeeld:
Maak een automatiseringsregel voor het maken van incidenten en voeg een playbook toe waarmee een ticket wordt geopend in ServiceNow:
Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.
Maak een nieuw ticket in ServiceNow.
Neem in het ticket de naam van het incident, belangrijke velden en een URL naar het Microsoft Sentinel-incident op voor eenvoudige draaiing.
Orchestration
Gebruik het SOC-chatplatform om de wachtrij met incidenten beter te beheren.
Bijvoorbeeld:
Er is een Microsoft Sentinel-incident gemaakt op basis van een waarschuwing door een analyseregel waarmee gebruikersnamen en IP-adresentiteiten worden gegenereerd.
Het incident activeert een automatiseringsregel waarmee een playbook wordt uitgevoerd met de volgende stappen:
Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.
Stuur een bericht naar uw beveiligingskanaal in Microsoft Teams of Slack om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident.
Stuur alle informatie in de waarschuwing per e-mail naar uw senior netwerkbeheerder en beveiligingsbeheerder. Het e-mailbericht bevat de knoppen Voor gebruikersopties Blokkeren en Negeren .
Wacht totdat er een antwoord is ontvangen van de beheerders en ga vervolgens door met uitvoeren.
Als de beheerders Blokkeren hebben gekozen, stuurt u een opdracht naar de firewall om het IP-adres in de waarschuwing te blokkeren en een andere naar Azure AD om de gebruiker uit te schakelen.
Antwoord
Onmiddellijk reageren op bedreigingen, met minimale menselijke afhankelijkheden.
Twee voorbeelden:
Voorbeeld 1: Reageren op een analyseregel die een gecompromitteerde gebruiker aangeeft, zoals gedetecteerd door Azure AD Identity Protection:
Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.
Voor elke gebruikersentiteit in het incident dat vermoedelijk is gecompromitteerd:
Stuur een Teams-bericht naar de gebruiker met het verzoek om bevestiging dat de gebruiker de verdachte actie heeft ondernomen.
Neem contact op met Azure AD Identity Protection om te controleren of de status van de gebruiker is aangetast. Azure AD Identity Protection labelt de gebruiker als riskant en past elk al geconfigureerd afdwingingsbeleid toe, bijvoorbeeld om te vereisen dat de gebruiker MFA gebruikt bij de volgende aanmelding.
Notitie
Deze specifieke Azure AD actie initieert geen afdwingingsactiviteit op de gebruiker en ook geen configuratie van afdwingingsbeleid. Het vertelt Azure AD Identity Protection alleen om al gedefinieerde beleidsregels toe te passen indien van toepassing. Elke afdwinging is volledig afhankelijk van het juiste beleid dat wordt gedefinieerd in Azure AD Identity Protection.
Voorbeeld 2: Reageren op een analyseregel die een gecompromitteerde machine aangeeft, zoals gedetecteerd door Microsoft Defender voor Eindpunt:
Begin wanneer er een nieuw Microsoft Sentinel-incident wordt gemaakt.
Gebruik de actie Entiteiten - Hosts ophalen in Microsoft Sentinel om de verdachte machines te parseren die zijn opgenomen in de incidententiteiten.
Geef een opdracht om Microsoft Defender voor Eindpunt om de computers in de waarschuwing te isoleren.
Handmatige reactie tijdens onderzoek of tijdens opsporing
Reageren op bedreigingen tijdens actieve onderzoeksactiviteiten zonder uit de context te komen.
Dankzij de nieuwe entiteittrigger (nu in preview) kunt u direct actie ondernemen op individuele bedreigingsactoren die u tijdens een onderzoek ontdekt, één voor één, rechtstreeks vanuit het onderzoek. Deze optie is ook beschikbaar in de context van het opsporen van bedreigingen, zonder verbinding met een bepaald incident. U kunt een entiteit selecteren in de context en er direct acties op uitvoeren, waardoor u tijd bespaart en de complexiteit vermindert.
De acties die u kunt uitvoeren op entiteiten met behulp van dit playbooktype zijn onder andere:
- Een gecompromitteerde gebruiker blokkeren.
- Verkeer van een schadelijk IP-adres in uw firewall blokkeren.
- Het isoleren van een gecompromitteerde host in uw netwerk.
- Een IP-adres toevoegen aan een volglijst met veilige/onveilige adressen of aan uw externe CMDB.
- Een bestandshashrapport ophalen van een externe bedreigingsinformatiebron en dit als opmerking toevoegen aan een incident.
Een playbook uitvoeren
Playbooks kunnen handmatig of automatisch worden uitgevoerd.
Ze zijn ontworpen om automatisch te worden uitgevoerd, en in het ideale geval moeten ze in de normale gang van zaken worden uitgevoerd. U voert een playbook automatisch uit door het te definiëren als een geautomatiseerd antwoord in een analyseregel (voor waarschuwingen) of als een actie in een automatiseringsregel (voor incidenten).
Er zijn echter omstandigheden die vragen om het handmatig uitvoeren van playbooks. Bijvoorbeeld:
Wanneer u een nieuw playbook maakt, moet u dit testen voordat u het in productie neemt.
Er kunnen situaties zijn waarin u meer controle en menselijke input wilt hebben over wanneer en of een bepaald playbook wordt uitgevoerd.
U voert een playbook handmatig uit door een incident, waarschuwing of entiteit te openen en het bijbehorende playbook te selecteren en uit te voeren dat daar wordt weergegeven. Deze functie is momenteel algemeen beschikbaar voor waarschuwingen en in preview voor incidenten en entiteiten.
Een geautomatiseerd antwoord instellen
Beveiligingsteams kunnen hun workload aanzienlijk verminderen door de routinereacties op terugkerende typen incidenten en waarschuwingen volledig te automatiseren, zodat u zich meer kunt concentreren op unieke incidenten en waarschuwingen, het analyseren van patronen, het opsporen van bedreigingen en meer.
Het instellen van een geautomatiseerd antwoord betekent dat telkens wanneer een analyseregel wordt geactiveerd, naast het maken van een waarschuwing, de regel een playbook uitvoert, dat als invoer de waarschuwing ontvangt die door de regel is gemaakt.
Als de waarschuwing een incident maakt, activeert het incident een automatiseringsregel die op zijn beurt een playbook kan uitvoeren, dat als invoer het incident ontvangt dat door de waarschuwing is gemaakt.
Geautomatiseerd antwoord voor het maken van waarschuwingen
Voor playbooks die worden geactiveerd door het maken van een waarschuwing en waarschuwingen ontvangen als invoer (de eerste stap is 'Microsoft Sentinel-waarschuwing'), koppelt u het playbook aan een analyseregel:
Bewerk de analyseregel die de waarschuwing genereert waarvoor u een geautomatiseerd antwoord wilt definiëren.
Selecteer onder Waarschuwingsautomatisering op het tabblad Geautomatiseerde reactie het playbook of de playbooks die door deze analyseregel worden geactiveerd wanneer er een waarschuwing wordt gemaakt.
Geautomatiseerde reactie voor het maken van incidenten
Voor playbooks die worden geactiveerd door het maken van incidenten en incidenten ontvangen als invoer (de eerste stap is 'Microsoft Sentinel-incident'), maakt u een automatiseringsregel en definieert u daarin een playbookactie Uitvoeren . Dit kan op twee manieren:
Bewerk de analyseregel die het incident genereert waarvoor u een geautomatiseerde reactie wilt definiëren. Maak onder Automatisering van incidenten op het tabblad Geautomatiseerde reactie een automatiseringsregel. Hiermee wordt alleen een geautomatiseerd antwoord gemaakt voor deze analyseregel.
Maak op het tabblad Automatiseringsregels op de blade Automation een nieuwe automatiseringsregel en geef de juiste voorwaarden en gewenste acties op. Deze automatiseringsregel wordt toegepast op elke analyseregel die voldoet aan de opgegeven voorwaarden.
Notitie
Microsoft Sentinel vereist machtigingen voor het uitvoeren van incidenttrigger-playbooks.
Als u een playbook wilt uitvoeren op basis van de incidenttrigger, handmatig of vanuit een automatiseringsregel, gebruikt Microsoft Sentinel een serviceaccount dat specifiek is geautoriseerd om dit te doen. Het gebruik van dit account (in plaats van uw gebruikersaccount) verhoogt het beveiligingsniveau van de service en stelt de API voor automatiseringsregels in staat om CI/CD-use cases te ondersteunen.
Aan dit account moeten expliciete machtigingen worden verleend (in de vorm van de rol Microsoft Sentinel Automation-inzender ) voor de resourcegroep waarin het playbook zich bevindt. Op dat moment kunt u elk playbook in die resourcegroep uitvoeren, handmatig of vanuit een automatiseringsregel.
Wanneer u de playbook-actie uitvoeren toevoegt aan een automatiseringsregel, wordt er een vervolgkeuzelijst met playbooks weergegeven voor uw selectie. Playbooks waarvoor Microsoft Sentinel geen machtigingen heeft, worden weergegeven als niet beschikbaar ('grijs'). U kunt microsoft Sentinel ter plekke toestemming geven door de koppeling Machtigingen voor playbook beheren te selecteren.
In een scenario met meerdere tenants (Lighthouse) moet u de machtigingen definiëren voor de tenant waar het playbook zich bevindt, zelfs als de automatiseringsregel die het playbook aanroept zich in een andere tenant bevindt. Hiervoor moet u eigenaarsmachtigingen hebben voor de resourcegroep van het playbook.
Er is een uniek scenario voor een Managed Security Service Provider (MSSP), waarbij een serviceprovider, terwijl deze is aangemeld bij de eigen tenant, een automatiseringsregel maakt voor de werkruimte van een klant met behulp van Azure Lighthouse. Met deze automatiseringsregel wordt vervolgens een playbook aangeroepen die deel uitmaakt van de tenant van de klant. In dit geval moet Microsoft Sentinel machtigingen krijgen voor beide tenants. In de tenant van de klant verleent u ze in het deelvenster Playbook-machtigingen beheren , net als in het normale scenario met meerdere tenants. Als u de relevante machtigingen in de serviceprovidertenant wilt verlenen, moet u een extra Azure Lighthouse-delegatie toevoegen die toegangsrechten verleent aan de Azure Security Insights-app , met de rol Microsoft Sentinel Automation-inzender , in de resourcegroep waarin het playbook zich bevindt. Meer informatie over het toevoegen van deze delegatie.
Zie de volledige instructies voor het maken van automatiseringsregels.
Een playbook handmatig uitvoeren
Volledige automatisering is de beste oplossing voor net zoveel incidentafhandelings-, onderzoeks- en risicobeperkingstaken als u vertrouwd bent met automatiseren. Dit gezegd hebbende, kunnen er goede redenen zijn voor een soort hybride automatisering: playbooks gebruiken om een reeks activiteiten op basis van een reeks systemen samen te voegen in één opdracht, maar de playbooks alleen uitvoeren wanneer en waar u dat wilt. Bijvoorbeeld:
Misschien wilt u dat uw SOC-analisten meer menselijke input en controle hebben over sommige situaties.
Mogelijk wilt u ook dat ze actie kunnen ondernemen tegen specifieke bedreigingsactoren (entiteiten) op aanvraag, in de loop van een onderzoek of een opsporing van bedreigingen, in context zonder dat ze naar een ander scherm hoeven te draaien. (Deze mogelijkheid is nu beschikbaar als preview-versie.)
Mogelijk wilt u dat uw SOC-technici playbooks schrijven die reageren op specifieke entiteiten (nu in preview) en die alleen handmatig kunnen worden uitgevoerd.
U wilt waarschijnlijk dat uw technici de playbooks die ze schrijven kunnen testen voordat ze deze volledig implementeren in automatiseringsregels.
Om deze en andere redenen kunt u met Microsoft Sentinel handmatig op aanvraag playbooks uitvoeren voor entiteiten en incidenten (beide nu in preview) en voor waarschuwingen.
Als u een playbook wilt uitvoeren op een specifiek incident, selecteert u het incident in het raster op de blade Incidenten . Selecteer Acties in het detailvenster van het incident en kies Playbook uitvoeren (preview) in het contextmenu.
Hiermee opent u het playbook uitvoeren in het deelvenster Incidenten .
Als u een playbook wilt uitvoeren voor een waarschuwing, selecteert u een incident, voert u de details van het incident in en kiest u op het tabblad Waarschuwingen een waarschuwing en selecteert u Playbooks weergeven.
Hiermee opent u het deelvenster Playbooks waarschuwen .
Als u een playbook wilt uitvoeren op een entiteit, selecteert u een entiteit op een van de volgende manieren:
- Kies op het tabblad Entiteiten van een incident een entiteit in de lijst en selecteer de koppeling Playbook uitvoeren (preview) aan het einde van de regel in de lijst.
- Selecteer in de grafiek Onderzoek een entiteit en selecteer de knop Playbook uitvoeren (preview) in het deelvenster aan de entiteitzijde.
- Selecteer in Entiteitsgedrag een entiteit en selecteer op de entiteitspagina de knop Playbook uitvoeren (preview) in het linkerdeelvenster.
Hiermee opent u allemaal het deelvenster Playbook uitvoeren op <entiteitstype> .
In elk van deze deelvensters ziet u twee tabbladen: Playbooks en Runs.
Op het tabblad Playbooks ziet u een lijst met alle playbooks waartoe u toegang hebt en die de juiste trigger gebruiken: Microsoft Sentinel Incident, Microsoft Sentinel-waarschuwing of Microsoft Sentinel-entiteit. Elk playbook in de lijst heeft een knop Uitvoeren die u selecteert om het playbook onmiddellijk uit te voeren.
Als u een playbook met incidenttrigger wilt uitvoeren dat u niet in de lijst ziet, raadpleegt u de opmerking over Microsoft Sentinel-machtigingen hierboven.Op het tabblad Uitvoeringen ziet u een lijst met alle keren dat een playbook is uitgevoerd op het incident of de waarschuwing die u hebt geselecteerd. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in deze lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige uitvoeringslogboek in Azure Logic Apps geopend.
Uw playbooks beheren
Op het tabblad Actieve playbooks wordt een lijst weergegeven met alle playbooks waartoe u toegang hebt, gefilterd op de abonnementen die momenteel in Azure worden weergegeven. Het abonnementsfilter is beschikbaar in het menu Map en abonnement in de koptekst van de algemene pagina.
Als u op de naam van een playbook klikt, gaat u naar de hoofdpagina van het playbook in Azure Logic Apps. De kolom Status geeft aan of deze is ingeschakeld of uitgeschakeld.
De kolom Plan geeft aan of het playbook gebruikmaakt van het resourcetype Standard of Verbruik in Azure Logic Apps. U kunt de lijst filteren op plantype om slechts één type playbook te zien. U ziet dat playbooks van het type Standard de LogicApp/Workflow naamconventie gebruiken. Deze conventie weerspiegelt het feit dat een standaardplaybook een werkstroom vertegenwoordigt die naast andere werkstromen in één logische app bestaat.
Het type trigger vertegenwoordigt de Azure Logic Apps-trigger waarmee dit playbook wordt gestart.
| Soort trigger | Geeft onderdeeltypen in playbook aan |
|---|---|
| Microsoft Sentinel-incident/waarschuwing/entiteit | Het playbook wordt gestart met een van de Sentinel-triggers (incident, waarschuwing, entiteit) |
| Microsoft Sentinel-actie gebruiken | Het playbook wordt gestart met een niet-Sentinel-trigger, maar gebruikt een Microsoft Sentinel-actie |
| Overige | Het playbook bevat geen Sentinel-onderdelen |
| Niet geïnitialiseerd | Het playbook is gemaakt, maar bevat geen onderdelen (triggers of acties). |
Op de Azure Logic Apps-pagina van het playbook ziet u meer informatie over het playbook, waaronder een logboek met alle keren dat het is uitgevoerd, en het resultaat (geslaagd of mislukt en andere details). U kunt de werkstroomontwerper ook openen in Azure Logic Apps en het playbook rechtstreeks bewerken, als u de juiste machtigingen hebt.
API-verbindingen
API-verbindingen worden gebruikt om Azure Logic Apps te verbinden met andere services. Telkens wanneer er een nieuwe verificatie wordt gemaakt voor een connector in Azure Logic Apps, wordt er een nieuwe resource van het type API-verbinding gemaakt die de informatie bevat die wordt verstrekt bij het configureren van de toegang tot de service.
Als u alle API-verbindingen wilt zien, typt u API-verbindingen in het zoekvak voor de koptekst van de Azure Portal. Let op de kolommen met interesse:
- Weergavenaam: de 'beschrijvende' naam die u aan de verbinding geeft telkens wanneer u er een maakt.
- Status: geeft de verbindingsstatus aan: fout, verbonden.
- Resourcegroep: API-verbindingen worden gemaakt in de resourcegroep van de playbook-resource (Azure Logic Apps).
Een andere manier om API-verbindingen weer te geven, is door naar de blade Alle resources te gaan en deze te filteren op het type API-verbinding. Op deze manier kunt u meerdere verbindingen tegelijk selecteren, taggen en verwijderen.
Als u de autorisatie van een bestaande verbinding wilt wijzigen, voert u de verbindingsresource in en selecteert u API-verbinding bewerken.
Aanbevolen playbooks
De volgende aanbevolen playbooks en andere vergelijkbare playbooks zijn voor u beschikbaar in de GitHub-opslagplaats van Microsoft Sentinel:
Meldingsplaybooks worden geactiveerd wanneer een waarschuwing of incident wordt gemaakt en een melding verzenden naar een geconfigureerde bestemming:
Blokkerende playbooks worden geactiveerd wanneer een waarschuwing of incident wordt gemaakt, verzamelen entiteitsgegevens zoals het account, HET IP-adres en de host en blokkeren deze voor verdere acties:
Playbooks maken, bijwerken of sluiten kunnen incidenten maken, bijwerken of sluiten in Microsoft Sentinel, Microsoft 365-beveiligingsservices of andere ticketsystemen: