Reageren op bedreigingsactoren tijdens het onderzoeken of opsporen van bedreigingen in Microsoft Sentinel

In dit artikel wordt beschreven hoe u tijdens een incidentonderzoek of bedreigingszoekactie ter plaatse reactieacties kunt ondernemen tegen bedreigingsactoren, zonder dat u het onderzoek of de opsporing van de context hoeft over te schakelen. U doet dit met behulp van playbooks op basis van de nieuwe entiteittrigger.

De entiteittrigger ondersteunt momenteel de volgende entiteitstypen:

Belangrijk

De entiteittrigger is momenteel in PREVIEW. Zie de Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in b├Ętaversie of preview zijn of die nog niet algemeen beschikbaar zijn.

Playbooks uitvoeren met de entiteittrigger

Wanneer u een incident onderzoekt en u vaststelt dat een bepaalde entiteit ( een gebruikersaccount, een host, een IP-adres, een bestand, enzovoort) een bedreiging vormt, kunt u onmiddellijk herstelacties uitvoeren op die bedreiging door een playbook on-demand uit te voeren. U kunt hetzelfde doen als u verdachte entiteiten tegenkomt terwijl u proactief zoekt naar bedreigingen buiten de context van incidenten.

  1. Selecteer de entiteit in de context waarin u deze tegenkomt en kies de juiste methode om een playbook uit te voeren, als volgt:

    • Kies in de widget Entiteiten op het tabblad Overzicht van een incident op de nieuwe pagina met incidentdetails (nu in preview) of op het tabblad Entiteiten een entiteit in de lijst, selecteer de drie puntjes naast de entiteit en selecteer Playbook uitvoeren (preview) in het snelmenu.

      Schermopname van de pagina met details van het incident.

      Schermopname van het tabblad Entiteiten op de pagina met incidentdetails.

    • Kies op het tabblad Entiteiten van een incident de entiteit in de lijst en selecteer de koppeling Playbook uitvoeren (preview) aan het einde van de regel in de lijst.

      Schermopname van het selecteren van de entiteit op de pagina met incidentdetails om er een playbook op uit te voeren.

    • Selecteer in de grafiek Onderzoek een entiteit en selecteer de knop Playbook uitvoeren (preview) in het deelvenster aan de entiteitzijde.

      Schermopname van het selecteren van een entiteit in de onderzoeksgrafiek om er een playbook op uit te voeren.

    • Selecteer een entiteit op de pagina Entiteitsgedrag . Selecteer op de resulterende entiteitspagina de knop Playbook uitvoeren (preview) in het linkerdeelvenster.

      Schermopname van het selecteren van een entiteit op de pagina met entiteitsgedrag om er een playbook op uit te voeren.

      Schermopname van de geselecteerde entiteitspagina om een playbook uit te voeren op een entiteit.

  2. Hiermee opent u allemaal het deelvenster Playbook uitvoeren op <entiteitstype> .

    Schermopname van Playbook uitvoeren in het entiteitsvenster.

    In elk van deze deelvensters ziet u twee tabbladen: Playbooks en Runs.

  3. Op het tabblad Playbooks ziet u een lijst met alle playbooks waartoe u toegang hebt en die gebruikmaken van de Microsoft Sentinel-entiteittrigger voor dat entiteitstype (in dit geval gebruikersaccounts). Selecteer de knop Uitvoeren voor het playbook dat u direct wilt uitvoeren.

    Notitie

    Als u het playbook dat u wilt uitvoeren niet in de lijst ziet, betekent dit dat Microsoft Sentinel geen machtigingen heeft om playbooks uit te voeren in die resourcegroep (meer informatie). Als u deze machtigingen wilt verlenen, selecteert u Instellingen in het hoofdmenu, kiest u het tabblad Instellingen , vouwt u het uitbreidingsvenster Playbook-machtigingen uit en selecteert u Machtigingen configureren. Schakel in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes in van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen.

  4. U kunt de activiteit van uw playbooks met entiteitstriggers controleren op het tabblad Uitvoeringen . U ziet een lijst met alle keren dat een playbook is uitgevoerd op de entiteit die u hebt geselecteerd. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in deze lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige uitvoeringslogboek in Azure Logic Apps geopend.

Volgende stappen

In dit artikel hebt u geleerd hoe u playbooks handmatig kunt uitvoeren om bedreigingen van entiteiten te herstellen terwijl u bezig bent met het onderzoeken van een incident of het opsporen van bedreigingen.