Triggers en acties gebruiken in Microsoft Sentinel-playbooks
In dit document worden de typen triggers en acties in de Logic Apps Microsoft Sentinel-connector uitgelegd die playbooks kunnen gebruiken om te communiceren met Microsoft Sentinel en de informatie in de tabellen van uw werkruimte. Verder ziet u hoe u specifieke typen Microsoft Sentinel-informatie kunt krijgen die u waarschijnlijk nodig hebt.
Dit document, samen met onze handleiding voor het verifiëren van playbooks voor Microsoft Sentinel, is een aanvulling op onze andere playbookdocumentatie - Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel. Deze drie documenten verwijzen elkaar heen en weer.
Zie Bedreigingsreacties automatiseren met playbooks in Microsoft Sentinel voor een inleiding tot playbooks.
Zie de documentatie van de Logic Apps-connector voor de volledige specificatie van de Microsoft Sentinel-connector.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereiste machtigingen
| Rollen \ Verbinding maken oronderdelen | Triggers | Acties ophalen | Incident bijwerken, een opmerking toevoegen |
|---|---|---|---|
| Microsoft Sentinel Reader | ✓ | ✓ | ✗ |
| Inzender voor Microsoft Sentinel Responder/ | ✓ | ✓ | ✓ |
Meer informatie over machtigingen in Microsoft Sentinel.
Samenvatting van Microsoft Sentinel-triggers
Hoewel de Microsoft Sentinel-connector op verschillende manieren kan worden gebruikt, kunnen de onderdelen van de connector worden onderverdeeld in drie stromen, die elk worden geactiveerd door een ander Exemplaar van Microsoft Sentinel:
| Trigger (volledige naam in Logic Apps Designer) | Wanneer te gebruiken | Bekende beperkingen |
|---|---|---|
| Microsoft Sentinel-incident (preview) | Aanbevolen voor de meeste scenario's voor incidentautomatisering. Het playbook ontvangt incidentobjecten, waaronder entiteiten en waarschuwingen. Met deze trigger kan het playbook worden gekoppeld aan een Automation-regel, zodat het kan worden geactiveerd wanneer een incident wordt gemaakt (en nu ook bijgewerkt) in Microsoft Sentinel, en alle voordelen van automatiseringsregels kunnen worden toegepast op het incident. |
Playbooks met deze trigger bieden geen ondersteuning voor het groeperen van waarschuwingen, wat betekent dat ze alleen de eerste waarschuwing ontvangen die bij elk incident wordt verzonden. UPDATE: Vanaf februari 2023 wordt waarschuwingsgroepering ondersteund voor deze trigger. |
| Microsoft Sentinel-waarschuwing (preview) | Aanbevolen voor playbooks die handmatig moeten worden uitgevoerd op waarschuwingen vanuit de Microsoft Sentinel-portal of voor geplande analyseregels die geen incidenten genereren voor hun waarschuwingen. | Deze trigger kan niet worden gebruikt om reacties te automatiseren voor waarschuwingen die zijn gegenereerd door beveiligingsanalyseregels van Microsoft . Playbooks die deze trigger gebruiken, kunnen niet worden aangeroepen door automatiseringsregels. |
| Microsoft Sentinel-entiteit (preview) | Voor gebruik voor playbooks die handmatig moeten worden uitgevoerd op specifieke entiteiten vanuit een onderzoeks- of opsporingscontext voor bedreigingen. | Playbooks die deze trigger gebruiken, kunnen niet worden aangeroepen door automatiseringsregels. |
De schema's die door deze stromen worden gebruikt, zijn niet identiek. De aanbevolen procedure is het gebruik van de triggerstroom van Microsoft Sentinel-incidenten , die van toepassing is op de meeste scenario's.
Dynamische velden voor incidenten
Het incidentobject dat is ontvangen van het Microsoft Sentinel-incident bevat de volgende dynamische velden:
Incidenteigenschappen (weergegeven als 'Incident: veldnaam')
Waarschuwingen (matrix)
Waarschuwingseigenschappen (weergegeven als 'Waarschuwing: veldnaam')
Wanneer u een waarschuwingseigenschap selecteert, zoals Waarschuwing: <eigenschapsnaam>, wordt automatisch een voor elke lus gegenereerd, omdat een incident meerdere waarschuwingen kan bevatten.
Entiteiten (matrix van alle entiteiten van een waarschuwing)
Werkruimtegegevensvelden (van toepassing op de Sentinel-werkruimte waar het incident is gemaakt)
- Abonnements-id
- Werkruimtenaam
- Werkruimte-id
- Naam van de resourcegroep
Samenvatting van Microsoft Sentinel-acties
| Onderdeel | Wanneer te gebruiken |
|---|---|
| Waarschuwing - Incident ophalen | In playbooks die beginnen met waarschuwingstrigger. Handig voor het ophalen van de incidenteigenschappen of het ophalen van de ARM-id van het incident voor gebruik met het update-incident of het toevoegen van opmerkingen aan incidentacties. |
| Incident ophalen | Bij het activeren van een playbook vanuit een externe bron of met een niet-Sentinel-trigger. Identificeer met een ARM-id voor incidenten. Haalt de incidenteigenschappen en opmerkingen op. |
| Incident bijwerken | Als u de status van een incident wilt wijzigen (bijvoorbeeld bij het sluiten van het incident), wijst u een eigenaar toe, voegt u een tag toe of verwijdert u deze, of wijzigt u de ernst, titel of beschrijving. |
| Opmerkingen toevoegen aan incident | Het incident verrijken met gegevens die zijn verzameld uit externe bronnen; om de acties te controleren die door het playbook op de entiteiten zijn uitgevoerd; om aanvullende informatie te verstrekken die waardevol is voor incidentonderzoek. |
| Entiteiten - Entiteitstype ophalen <> | In playbooks die werken aan een specifiek entiteitstype (IP, Account, Host, URL of FileHash), dat bekend is tijdens het maken van een playbook, moet u deze kunnen parseren en aan de unieke velden kunnen werken. |
Werken met incidenten - gebruiksvoorbeelden
Tip
Voor de acties Incident bijwerken en Een opmerking toevoegen aan een incident is de ARM-id van het incident vereist.
Gebruik de waarschuwing - Incidentactie vooraf ophalen om de ARM-id van het incident op te halen.
Een incident bijwerken
Playbook wordt geactiveerd door microsoft Sentinel-incident
Playbook wordt geactiveerd door microsoft Sentinel-waarschuwing
Incidentgegevens gebruiken
Basisplaybook voor het verzenden van incidentdetails via e-mail:
Playbook wordt geactiveerd door microsoft Sentinel-incident
Playbook wordt geactiveerd door microsoft Sentinel-waarschuwing
Een opmerking toevoegen aan het incident
Playbook wordt geactiveerd door microsoft Sentinel-incident
Playbook wordt geactiveerd door microsoft Sentinel-waarschuwing
Een gebruiker uitschakelen
Playbook wordt geactiveerd door Microsoft Sentinel Entity
Entiteitsplaybooks zonder incident-id
Playbooks die zijn gemaakt met de entiteitstrigger maken vaak gebruik van het veld ARM-id voor incidenten (bijvoorbeeld om een incident bij te werken nadat er actie is ondernomen op de entiteit).
Als een dergelijk playbook wordt geactiveerd in een context die niet is verbonden met een incident (bijvoorbeeld bij het opsporen van bedreigingen), is er geen incident waarvan de id dit veld kan vullen. In dit geval wordt het veld gevuld met een null-waarde.
Als gevolg hiervan kan het playbook niet worden uitgevoerd tot voltooiing. Om deze fout te voorkomen, is het raadzaam om een voorwaarde te maken waarmee wordt gecontroleerd op een waarde in het veld incident-id voordat er acties op worden uitgevoerd en een andere set acties wordt voorgeschreven als het veld een null-waarde heeft, dat wil gezegd, als het playbook niet wordt uitgevoerd vanuit een incident.
Voeg vóór de eerste actie die verwijst naar het veld ARM-id incident een stap van het type Voorwaarde toe.
Selecteer het veld Een waarde kiezen en voer het dialoogvenster Dynamische inhoud toevoegen in.
Selecteer het tabblad Expressie en de functie length(collection).
Selecteer het tabblad Dynamische inhoud en het veld ARM-id incident.
Controleer of de resulterende expressie is
length(triggerBody()?['IncidentArmID'])en selecteer OK.
Stel de operator en waarde in de voorwaarde in op 'is groter dan' en '0'.
Voeg in het kader Waar de acties toe die moeten worden uitgevoerd als het playbook wordt uitgevoerd vanuit een incidentcontext.
Voeg in het frame False de acties toe die moeten worden uitgevoerd als het playbook wordt uitgevoerd vanuit een niet-incidentcontext.
Werken met specifieke entiteitstypen
Het dynamische veld Entiteiten is een matrix van JSON-objecten, die elk een entiteit vertegenwoordigen. Elk entiteitstype heeft een eigen schema, afhankelijk van de unieke eigenschappen.
Met de actie Entiteiten - Entiteitstype> ophalen <kunt u het volgende doen:
- Filter de matrix met entiteiten op het aangevraagde type.
- Parseert de specifieke velden van dit type, zodat ze kunnen worden gebruikt als dynamische velden in verdere acties.
De invoer is het dynamische veld Entiteiten .
Het antwoord is een matrix van entiteiten, waarbij de speciale eigenschappen worden geparseerd en rechtstreeks in een Lus voor elke lus kunnen worden gebruikt.
Momenteel ondersteunde entiteitstypen zijn:
Voor andere entiteitstypen kan vergelijkbare functionaliteit worden bereikt met behulp van ingebouwde acties van Logic Apps:
Filter de matrix van entiteiten op het aangevraagde type met filtermatrix.
Parseert de specifieke velden van dit type, zodat ze kunnen worden gebruikt als dynamische velden in verdere acties met behulp van JSON parseren.
Werken met aangepaste details
Het dynamische veld Met aangepaste details waarschuwing, beschikbaar in de incidenttrigger, is een matrix van JSON-objecten, die elk een aangepast detail van een waarschuwing vertegenwoordigen. Aangepaste gegevens, die u zult intrekken, zijn sleutel-waardeparen waarmee u informatie van gebeurtenissen in de waarschuwing kunt weergeven, bijhouden en analyseren als onderdeel van het incident.
Omdat dit veld in de waarschuwing kan worden aangepast, is het schema afhankelijk van het type gebeurtenis dat wordt weergegeven. U moet gegevens opgeven uit een exemplaar van deze gebeurtenis om het schema te genereren waarmee wordt bepaald hoe het aangepaste detailveld wordt geparseerd.
Zie het volgende voorbeeld:
In deze sleutel-waardeparen vertegenwoordigt de sleutel (de linkerkolom) de aangepaste velden die u maakt en de waarde (de rechterkolom) de velden van de gebeurtenisgegevens die de aangepaste velden vullen.
U kunt de volgende JSON-code opgeven om het schema te genereren. De code toont de sleutelnamen als matrices en de waarden (weergegeven als de werkelijke waarden, niet de kolom die de waarden bevat) als items in de matrices.
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Voeg een nieuwe stap toe met behulp van de ingebouwde JSON-actie parseren. U kunt json parseren in het zoekveld om deze te vinden.
Zoek en selecteer Aangepaste details voor waarschuwingen in de lijst met dynamische inhoud , onder de incidenttrigger.
Hiermee maakt u een Voor elke lus, omdat een incident een matrix met waarschuwingen bevat.
Selecteer de nettolading Voorbeeld gebruiken om een schemakoppeling te genereren.
Geef een voorbeeldpayload op. U vindt een voorbeeldpayload door in Log Analytics te zoeken naar een ander exemplaar van deze waarschuwing en het aangepaste detailobject te kopiëren (onder Uitgebreide eigenschappen). Open Log Analytics-gegevens op de pagina Logboeken in Azure Portal of de pagina Geavanceerde opsporing in de Defender-portal. In de onderstaande schermopname hebben we de bovenstaande JSON-code gebruikt.
De aangepaste velden zijn gereed voor gebruik van dynamische velden van het type Matrix. Hier ziet u de matrix en de bijbehorende items, zowel in het schema als in de lijst die wordt weergegeven onder Dynamische inhoud, die hierboven is beschreven.
Volgende stappen
In dit artikel hebt u meer geleerd over het gebruik van de triggers en acties in Microsoft Sentinel-playbooks om te reageren op bedreigingen.
- Leer hoe u proactief bedreigingen kunt opsporen met Behulp van Microsoft Sentinel.