Reagowanie na podmioty zagrożeń podczas badania zagrożeń lub wyszukiwania zagrożeń w usłudze Microsoft Sentinel

  • Artykuł

W tym artykule pokazano, jak podjąć działania reagowania na zagrożenia wobec podmiotów zagrożeń na miejscu, w trakcie badania incydentu lub wyszukiwania zagrożeń, bez przełączania lub wykluczania kontekstu z dochodzenia lub polowania. Można to zrobić przy użyciu podręczników opartych na nowym wyzwalaczu jednostki.

Wyzwalacz jednostki obsługuje obecnie następujące typy jednostek:

Ważne

Wyzwalacz jednostki jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Uruchamianie podręczników za pomocą wyzwalacza jednostki

Podczas badania incydentu i określania, że dana jednostka — konto użytkownika, host, adres IP, plik itd. — reprezentuje zagrożenie, możesz podjąć natychmiastowe działania korygujące dotyczące tego zagrożenia, uruchamiając podręcznik na żądanie. Można to zrobić podobnie, jeśli napotkasz podejrzane jednostki podczas aktywnego wyszukiwania zagrożeń poza kontekstem zdarzeń.

  1. Wybierz jednostkę w dowolnym kontekście, w którym się z nim spotkasz, i wybierz odpowiednie środki do uruchomienia podręcznika w następujący sposób:

    • W widżecie Jednostki na karcie Przegląd zdarzenia na stronie szczegółów nowego zdarzenia (teraz w wersji zapoznawczej) lub na karcie Jednostki wybierz jednostkę z listy, wybierz trzy kropki obok jednostki, a następnie wybierz pozycję Uruchom podręcznik (wersja zapoznawcza) z menu podręcznego.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Na karcie Jednostki zdarzenia wybierz jednostkę z listy i wybierz link Uruchom element playbook (wersja zapoznawcza) na końcu wiersza na liście.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • Na wykresie Badanie wybierz jednostkę i wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu bocznym jednostki.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Na stronie Zachowanie jednostki wybierz jednostkę. Na stronie wynikowej jednostki wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Wszystkie te elementy będą otwierać element playbook Run na< panelu typu> jednostki.

    Screenshot of Run playbook on entity panel.

    W każdym z tych paneli zobaczysz dwie karty: Podręczniki i Uruchomienia.

  3. Na karcie Podręczniki zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, i które używają wyzwalacza jednostki usługi Microsoft Sentinel dla tego typu jednostki (w tym przypadku kont użytkowników). Wybierz przycisk Uruchom dla podręcznika, który chcesz uruchomić natychmiast.

    Uwaga

    Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów (dowiedz się więcej). Aby przyznać te uprawnienia, wybierz pozycję Ustawienia z menu głównego, wybierz kartę Ustawienia, rozwiń rozszerzenie uprawnienia podręcznika i wybierz pozycję Konfiguruj uprawnienia. W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

  4. Działanie elementów playbook wyzwalacza jednostki można przeprowadzić na karcie Uruchomienia . Zobaczysz listę wszystkich przypadków uruchomienia dowolnego podręcznika w wybranej jednostce. Wyświetlenie dowolnego przebiegu ukończonego na tej liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Azure Logic Apps.

Następne kroki

W tym artykule przedstawiono sposób ręcznego uruchamiania podręczników w celu korygowania zagrożeń z jednostek podczas badania incydentu lub wyszukiwania zagrożeń.