Reageren op bedreigingsactoren tijdens het onderzoeken of opsporen van bedreigingen in Microsoft Sentinel

  • Artikel

In dit artikel wordt beschreven hoe u responsacties kunt ondernemen tegen bedreigingsactoren ter plaatse, tijdens het uitvoeren van een incidentonderzoek of opsporing van bedreigingen, zonder dat u het onderzoek of de opsporing van context hoeft uit te schakelen. U doet dit met behulp van playbooks op basis van de nieuwe entiteittrigger.

De entiteitstrigger ondersteunt momenteel de volgende entiteitstypen:

Belangrijk

De entiteitstrigger bevindt zich momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Playbooks uitvoeren met de entiteittrigger

Wanneer u een incident onderzoekt en u bepaalt dat een bepaalde entiteit, een gebruikersaccount, een host, een IP-adres, een bestand, enzovoort, een bedreiging vertegenwoordigt, kunt u onmiddellijk herstelacties uitvoeren op die bedreiging door een playbook op aanvraag uit te voeren. U kunt dit ook doen als u verdachte entiteiten tegenkomt tijdens het proactief opsporen van bedreigingen buiten de context van incidenten.

  1. Selecteer de entiteit in de context waarin u deze ziet en kies de juiste middelen om een playbook uit te voeren, als volgt:

    • Kies in de widget Entiteiten op het tabblad Overzicht van een incident op de nieuwe pagina met incidentdetails (nu in preview) of op het tabblad Entiteiten een entiteit in de lijst, selecteer de drie puntjes naast de entiteit en selecteer Playbook uitvoeren (preview) in het snelmenu.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Kies op het tabblad Entiteiten van een incident de entiteit in de lijst en selecteer de koppeling Playbook uitvoeren (preview) aan het einde van de regel in de lijst.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • Selecteer in de grafiek Onderzoek een entiteit en selecteer de knop Playbook uitvoeren (preview) in het deelvenster entiteitszijde.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Selecteer een entiteit op de pagina Entiteitsgedrag . Selecteer op de resulterende entiteitspagina de knop Playbook uitvoeren (preview) in het linkerdeelvenster.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Hiermee wordt het playbook Run geopend in het deelvenster Entiteitstype>.<

    Screenshot of Run playbook on entity panel.

    In een van deze panelen ziet u twee tabbladen: Playbooks en Runs.

  3. Op het tabblad Playbooks ziet u een lijst met alle playbooks waartoe u toegang hebt en die gebruikmaken van de Microsoft Sentinel-entiteittrigger voor dat entiteitstype (in dit geval gebruikersaccounts). Selecteer de knop Uitvoeren voor het playbook dat u direct wilt uitvoeren.

    Notitie

    Als u het playbook dat u wilt uitvoeren niet in de lijst ziet, betekent dit dat Microsoft Sentinel geen machtigingen heeft voor het uitvoeren van playbooks in die resourcegroep (meer informatie). Als u deze machtigingen wilt verlenen, selecteert u Instellingen in het hoofdmenu, kiest u het tabblad Instellingen, vouwt u de uitbreiding voor playbookmachtigingen uit en selecteert u Machtigingen configureren. Markeer in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen.

  4. U kunt de activiteit van uw playbooks met entiteitstriggers controleren op het tabblad Runs . U ziet een lijst met alle keren dat een playbook is uitgevoerd op de entiteit die u hebt geselecteerd. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering wordt weergegeven in deze lijst. Als u een specifieke uitvoering selecteert, wordt het volledige logboek in Azure Logic Apps geopend.

Volgende stappen

In dit artikel hebt u geleerd hoe u playbooks handmatig kunt uitvoeren om bedreigingen van entiteiten op te lossen terwijl u midden in het onderzoeken van een incident of opsporing op bedreigingen bezig bent.