Tworzenie i wykonywanie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników
W tym artykule wyjaśniono, jak używać podręczników do tworzenia (i opcjonalnie) zadań zdarzeń w celu zarządzania złożonymi procesami przepływu pracy analityków w usłudze Microsoft Sentinel.
Zadania zdarzeń mogą być tworzone automatycznie nie tylko przez podręczniki, ale także przez reguły automatyzacji, a także ręcznie, ad hoc, z poziomu zdarzenia.
Przypadki użycia dla różnych ról
Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do menedżerów SOC, starszych analityków i inżynierów automatyzacji:
- Dodawanie zadania i wykonywanie go za pomocą podręcznika
- Warunkowe dodawanie zadania przy użyciu podręcznika
Inne scenariusze dla tych odbiorców zostały omówione w następującym artykule towarzyszącym:
- Wyświetlanie reguł automatyzacji z akcjami zadań zdarzeń
- Dodawanie zadań do zdarzeń przy użyciu reguł automatyzacji
Inny artykuł, pod następującymi linkami, dotyczy scenariuszy, które mają zastosowanie więcej do analityków SOC:
Wymagania wstępne
Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do wyświetlania i edytowania zdarzeń, co jest niezbędne do dodawania, wyświetlania i edytowania zadań.
Rola Współautor usługi Logic Apps jest wymagana do tworzenia i edytowania podręczników.
Dodawanie zadań do zdarzeń za pomocą podręczników
Użyj akcji Dodaj zadanie w podręczniku (w łączniku usługi Microsoft Sentinel), aby automatycznie dodać zadanie do zdarzenia, które wyzwoliło podręcznik.
Postępuj zgodnie z tymi instrukcjami , aby utworzyć podręcznik na podstawie wyzwalacza zdarzenia. (Możesz użyć standardowego przepływu pracy lub przepływu pracy Zużycie).
Istnieją dwa sposoby pracy z podręcznikami w celu generowania zadań:
Dodawanie zadania i wykonywanie go za pomocą podręcznika
W tym przykładzie dodamy akcję podręcznika, która dodaje zadanie do zdarzenia w celu zresetowania hasła naruszonego użytkownika i dodamy kolejną akcję podręcznika, która wysyła sygnał do Ochrona tożsamości Microsoft Entra (AADIP), aby rzeczywiście zresetować hasło. Następnie dodamy ostateczną akcję podręcznika, aby oznaczyć zadanie w zakończeniu zdarzenia.
Aby dodać i skonfigurować te akcje, wykonaj następujące czynności:
Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Dodaj zadanie do zdarzenia .
Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM. Wprowadź pozycję Resetuj hasło użytkownika jako tytuł. Dodaj opis, jeśli chcesz.Dodaj akcję Jednostki — Pobierz konta (wersja zapoznawcza).
Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek.Dodaj pętlę For each z biblioteki akcji kontrolki .
Dodaj element zawartości dynamicznej Konta z obszaru Jednostki — pobierz dane wyjściowe kont do pola Wybierz dane wyjściowe z poprzednich kroków.W pętli Dla każdego wybierz pozycję Dodaj akcję.
Wyszukaj i wybierz łącznik Ochrona tożsamości Microsoft Entra, a następnie wybierz akcję Potwierdź ryzykownego użytkownika jako naruszonego (wersja zapoznawcza).
Dodaj element zawartości dynamicznej Accounts Microsoft Entra user ID do pola userIds Item - 1.Uwaga
To pole (Konta Identyfikator użytkownika Microsoft Entra) jest jednym ze sposobów identyfikowania użytkownika w usłudze AADIP. Niekoniecznie jest to najlepszy sposób w każdym scenariuszu, ale jest tu przedstawiony jako przykład. Aby uzyskać pomoc, zapoznaj się z innymi podręcznikami obsługującymi naruszonych użytkowników lub dokumentacją Ochrona tożsamości Microsoft Entra.
Ta akcja ustawia procesy ruchu wewnątrz Ochrona tożsamości Microsoft Entra, które zresetują hasło użytkownika.
Dodaj akcję Oznacz zadanie jako ukończone z łącznika usługi Microsoft Sentinel.
Dodaj element zawartości dynamicznej identyfikatora zadania zdarzenia do pola Identyfikator usługi ARM zadania.
Warunkowe dodawanie zadania przy użyciu podręcznika
W tym przykładzie dodamy akcję podręcznika, która bada adres IP, który pojawia się w incydencie. Jeśli wyniki tych badań są takie, że adres IP jest złośliwy, podręcznik utworzy zadanie dla analityka, aby wyłączyć użytkownika przy użyciu tego adresu IP. Jeśli adres IP nie jest znanym złośliwym adresem, podręcznik utworzy inne zadanie, aby analityk skontaktował się z użytkownikiem w celu zweryfikowania działania.
Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Jednostki — Pobierz adresy IP .
Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek.Dodaj pętlę For each z biblioteki akcji kontrolki .
Dodaj element zawartości dynamicznej adresów IP z obszaru Jednostki — pobierz dane wyjściowe adresów IP do pola Wybierz dane wyjściowe z poprzednich kroków .W pętli Dla każdego wybierz pozycję Dodaj akcję.
Wyszukaj i wybierz łącznik Suma wirusa, a następnie wybierz akcję Pobierz raport IP (wersja zapoznawcza).
Dodaj element zawartości dynamicznej Adres IP z pola Jednostki — Pobierz adresy IP do pola Adres IP.W pętli Dla każdego wybierz pozycję Dodaj akcję.
Dodaj warunek z biblioteki akcji kontrolki.
Dodaj element Statystyki ostatniej analizy Złośliwa zawartość dynamiczna z danych wyjściowych Pobierz raport IP (może być konieczne wybranie pozycji "Zobacz więcej", aby go znaleźć), wybranie operatora jest większe niż, a następnie wprowadź0
jako wartość. Ten warunek zadaje pytanie "Czy raport Dotyczący całkowitego adresu IP wirusa miał jakieś wyniki?"W obszarze True wybierz pozycję Dodaj akcję.
Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel.
Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.
Wprowadź pozycję Oznacz użytkownika jako naruszonegojako tytuł. Dodaj opis, jeśli chcesz.Wewnątrz opcji Fałsz wybierz pozycję Dodaj akcję.
Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel.
Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.
Wprowadź wartość Skontaktuj się z użytkownikiem, aby potwierdzić działanie jako tytuł. Dodaj opis, jeśli chcesz.
Następne kroki
- Dowiedz się więcej o zadaniach zdarzeń.
- Dowiedz się, jak badać zdarzenia.
- Dowiedz się, jak automatycznie dodawać zadania do grup zdarzeń przy użyciu reguł automatyzacji.
- Dowiedz się, jak używać zadań do obsługi przepływu pracy zdarzeń w usłudze Microsoft Sentinel.
- Dowiedz się więcej o podręcznikach, sposobie ich tworzenia, a zwłaszcza o pracy z akcjami.