Tworzenie i wykonywanie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak używać podręczników do tworzenia (i opcjonalnie) zadań zdarzeń w celu zarządzania złożonymi procesami przepływu pracy analityków w usłudze Microsoft Sentinel.

Zadania zdarzeń mogą być tworzone automatycznie nie tylko przez podręczniki, ale także przez reguły automatyzacji, a także ręcznie, ad hoc, z poziomu zdarzenia.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

Inne scenariusze dla tych odbiorców zostały omówione w następującym artykule towarzyszącym:

Inny artykuł, pod następującymi linkami, dotyczy scenariuszy, które mają zastosowanie więcej do analityków SOC:

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do wyświetlania i edytowania zdarzeń, co jest niezbędne do dodawania, wyświetlania i edytowania zadań.

Rola Współautor usługi Logic Apps jest wymagana do tworzenia i edytowania podręczników.

Dodawanie zadań do zdarzeń za pomocą podręczników

Użyj akcji Dodaj zadanie w podręczniku (w łączniku usługi Microsoft Sentinel), aby automatycznie dodać zadanie do zdarzenia, które wyzwoliło podręcznik.

Postępuj zgodnie z tymi instrukcjami , aby utworzyć podręcznik na podstawie wyzwalacza zdarzenia. (Możesz użyć standardowego przepływu pracy lub przepływu pracy Zużycie).

Istnieją dwa sposoby pracy z podręcznikami w celu generowania zadań:

Dodawanie zadania i wykonywanie go za pomocą podręcznika

W tym przykładzie dodamy akcję podręcznika, która dodaje zadanie do zdarzenia w celu zresetowania hasła naruszonego użytkownika i dodamy kolejną akcję podręcznika, która wysyła sygnał do Ochrona tożsamości Microsoft Entra (AADIP), aby rzeczywiście zresetować hasło. Następnie dodamy ostateczną akcję podręcznika, aby oznaczyć zadanie w zakończeniu zdarzenia.

Aby dodać i skonfigurować te akcje, wykonaj następujące czynności:

  1. Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Dodaj zadanie do zdarzenia .
    Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM. Wprowadź pozycję Resetuj hasło użytkownika jako tytuł. Dodaj opis, jeśli chcesz.

    Zrzut ekranu przedstawia akcje podręcznika umożliwiające dodanie zadania w celu zresetowania hasła użytkownika.

  2. Dodaj akcję Jednostki — Pobierz konta (wersja zapoznawcza).
    Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek.

    Zrzut ekranu przedstawia akcje podręcznika w celu pobrania jednostek konta w zdarzeniu.

  3. Dodaj pętlę For each z biblioteki akcji kontrolki .
    Dodaj element zawartości dynamicznej Konta z obszaru Jednostki — pobierz dane wyjściowe kont do pola Wybierz dane wyjściowe z poprzednich kroków.

    Zrzut ekranu przedstawia sposób dodawania akcji pętli for-each do podręcznika w celu wykonania akcji na każdym odnalezionym koncie.

  4. W pętli Dla każdego wybierz pozycję Dodaj akcję.
    Wyszukaj i wybierz łącznik Ochrona tożsamości Microsoft Entra, a następnie wybierz akcję Potwierdź ryzykownego użytkownika jako naruszonego (wersja zapoznawcza).
    Dodaj element zawartości dynamicznej Accounts Microsoft Entra user ID do pola userIds Item - 1.

    Uwaga

    To pole (Konta Identyfikator użytkownika Microsoft Entra) jest jednym ze sposobów identyfikowania użytkownika w usłudze AADIP. Niekoniecznie jest to najlepszy sposób w każdym scenariuszu, ale jest tu przedstawiony jako przykład. Aby uzyskać pomoc, zapoznaj się z innymi podręcznikami obsługującymi naruszonych użytkowników lub dokumentacją Ochrona tożsamości Microsoft Entra.

    Ta akcja ustawia procesy ruchu wewnątrz Ochrona tożsamości Microsoft Entra, które zresetują hasło użytkownika.

    Zrzut ekranu przedstawiający wysyłanie jednostek do usługi AADIP w celu potwierdzenia naruszenia zabezpieczeń.

  5. Dodaj akcję Oznacz zadanie jako ukończone z łącznika usługi Microsoft Sentinel.
    Dodaj element zawartości dynamicznej identyfikatora zadania zdarzenia do pola Identyfikator usługi ARM zadania.

    Zrzut ekranu przedstawia sposób dodawania akcji podręcznika w celu oznaczania ukończenia zadania zdarzenia.

Warunkowe dodawanie zadania przy użyciu podręcznika

W tym przykładzie dodamy akcję podręcznika, która bada adres IP, który pojawia się w incydencie. Jeśli wyniki tych badań są takie, że adres IP jest złośliwy, podręcznik utworzy zadanie dla analityka, aby wyłączyć użytkownika przy użyciu tego adresu IP. Jeśli adres IP nie jest znanym złośliwym adresem, podręcznik utworzy inne zadanie, aby analityk skontaktował się z użytkownikiem w celu zweryfikowania działania.

  1. Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Jednostki — Pobierz adresy IP .
    Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek.

    Zrzut ekranu przedstawia akcje podręcznika w celu pobrania jednostek adresu IP w zdarzeniu.

  2. Dodaj pętlę For each z biblioteki akcji kontrolki .
    Dodaj element zawartości dynamicznej adresów IP z obszaru Jednostki — pobierz dane wyjściowe adresów IP do pola Wybierz dane wyjściowe z poprzednich kroków .

    Zrzut ekranu przedstawia sposób dodawania akcji pętli dla każdego elementu do podręcznika w celu wykonania akcji na każdym odnalezionym adresie IP.

  3. W pętli Dla każdego wybierz pozycję Dodaj akcję.
    Wyszukaj i wybierz łącznik Suma wirusa, a następnie wybierz akcję Pobierz raport IP (wersja zapoznawcza).
    Dodaj element zawartości dynamicznej Adres IP z pola Jednostki — Pobierz adresy IP do pola Adres IP.

    Zrzut ekranu przedstawiający wysyłanie żądania do sumy wirusów dla raportu adresów IP.

  4. W pętli Dla każdego wybierz pozycję Dodaj akcję.
    Dodaj warunek z biblioteki akcji kontrolki.
    Dodaj element Statystyki ostatniej analizy Złośliwa zawartość dynamiczna z danych wyjściowych Pobierz raport IP (może być konieczne wybranie pozycji "Zobacz więcej", aby go znaleźć), wybranie operatora jest większe niż, a następnie wprowadź 0 jako wartość. Ten warunek zadaje pytanie "Czy raport Dotyczący całkowitego adresu IP wirusa miał jakieś wyniki?"

    Zrzut ekranu przedstawia sposób ustawiania warunku true-false w podręczniku.

  5. W obszarze True wybierz pozycję Dodaj akcję.
    Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel.
    Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.
    Wprowadź pozycję Oznacz użytkownika jako naruszonegojako tytuł. Dodaj opis, jeśli chcesz.

    Zrzut ekranu przedstawia akcje podręcznika w celu dodania zadania oznaczania użytkownika jako naruszonego.

  6. Wewnątrz opcji Fałsz wybierz pozycję Dodaj akcję.
    Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel.
    Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.
    Wprowadź wartość Skontaktuj się z użytkownikiem, aby potwierdzić działanie jako tytuł. Dodaj opis, jeśli chcesz.

    Zrzut ekranu przedstawia akcje podręcznika w celu dodania zadania w celu potwierdzenia aktywności użytkownika.

Następne kroki