Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel

Uwaga

Usługa Azure Sentinel jest teraz nazywana Microsoft Sentinel i będziemy aktualizować te strony w najbliższych tygodniach. Dowiedz się więcej o najnowszych ulepszeniach zabezpieczeń Microsoft.

W tym samouczku pokazano, jak używać podręczników wraz z regułami automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa wykrytych przez usługę Microsoft Sentinel. Po ukończeniu tego samouczka będziesz mieć następujące możliwości:

  • Tworzenie reguły automatyzacji
  • Tworzenie podręcznika
  • Dodawanie akcji do podręcznika
  • Dołączanie podręcznika do reguły automatyzacji lub reguły analizy w celu zautomatyzowania reagowania na zagrożenia

Uwaga

Ten samouczek zawiera podstawowe wskazówki dotyczące najważniejszego zadania klienta: tworzenie automatyzacji w celu klasyfikacji zdarzeń. Aby uzyskać więcej informacji, zobacz sekcję Instrukcje, takie jak Automatyzowanie reagowania na zagrożenia za pomocą podręczników w Microsoft Sentinel i Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

Co to są reguły automatyzacji i podręczniki?

Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel. Można ich używać do automatycznego przypisywania zdarzeń do odpowiedniego personelu, zamykania hałaśliwych zdarzeń lub znanych wyników fałszywie dodatnich, zmiany ich ważności i dodawania tagów. Są one również mechanizmem, za pomocą którego można uruchamiać podręczniki w odpowiedzi na zdarzenia.

Podręczniki to kolekcje procedur, które można uruchomić z Microsoft Sentinel w odpowiedzi na alert lub zdarzenie. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź. Można go ustawić tak, aby był uruchamiany automatycznie po wygenerowaniu określonych alertów lub zdarzeń, dołączając odpowiednio do reguły analizy lub reguły automatyzacji. Można go również uruchamiać ręcznie na żądanie.

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskasz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony usługi Logic Apps. Każdy podręcznik jest tworzony dla określonej subskrypcji, do której należy, ale na ekranie Podręczniki są wyświetlane wszystkie podręczniki dostępne we wszystkich wybranych subskrypcjach.

Uwaga

Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Jeśli na przykład chcesz zatrzymać potencjalnie naruszone zabezpieczenia użytkowników przed poruszaniem się po sieci i kradzieżą informacji, możesz utworzyć zautomatyzowaną, wielowymiarową odpowiedź na zdarzenia generowane przez reguły, które wykrywają naruszonych użytkowników. Zacznij od utworzenia podręcznika, który wykonuje następujące akcje:

  1. Gdy podręcznik jest wywoływany przez regułę automatyzacji przekazującą zdarzenie, podręcznik otwiera bilet w usłudze ServiceNow lub innym systemie obsługi biletów IT.

  2. Wysyła komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack, aby upewnić się, że analitycy zabezpieczeń są świadomi zdarzenia.

  3. Wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.

  4. Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.

  5. Jeśli administratorzy wybierają pozycję Blokuj, wysyła polecenie, aby Azure AD wyłączyć użytkownika, a jeden z nich do zapory, aby zablokować adres IP.

  6. Jeśli administratorzy wybierzą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.

Aby wyzwolić podręcznik, utworzysz regułę automatyzacji uruchamianą po wygenerowaniu tych zdarzeń. Ta reguła podejmie następujące kroki:

  1. Reguła zmienia stan zdarzenia na Aktywny.

  2. Przypisuje zdarzenie do analityka, który ma za zadanie zarządzać tym typem zdarzenia.

  3. Dodaje tag "naruszonego użytkownika".

  4. Na koniec wywołuje właśnie utworzony podręcznik. (Do tego kroku są wymagane uprawnienia specjalne).

Podręczniki można uruchamiać automatycznie w odpowiedzi na zdarzenia, tworząc reguły automatyzacji wywołujące podręczniki jako akcje, jak w powyższym przykładzie. Można je również uruchamiać automatycznie w odpowiedzi na alerty, informując regułę analizy o automatycznym uruchomieniu co najmniej jednego podręcznika po wygenerowaniu alertu.

Możesz również uruchomić podręcznik ręcznie na żądanie jako odpowiedź na wybrany alert.

Uzyskaj bardziej kompletne i szczegółowe wprowadzenie do automatyzacji reagowania na zagrożenia przy użyciu reguł automatyzacji i podręczników w usłudze Microsoft Sentinel.

Tworzenie podręcznika

Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:

Zrzut ekranu przedstawiający wybór menu służącego do dodawania nowego podręcznika na ekranie automatyzacji.

  1. W menu nawigacji Microsoft Sentinel wybierz pozycję Automatyzacja.

  2. W górnym menu wybierz pozycję Utwórz.

  3. Menu rozwijane, które zostanie wyświetlone w obszarze Utwórz , daje trzy opcje tworzenia podręczników:

    1. Jeśli tworzysz podręcznik w warstwie Standardowa (nowy rodzaj — zobacz Typy aplikacji logiki), wybierz pozycję Pusty podręcznik , a następnie wykonaj kroki na karcie Logic Apps Standard poniżej.

    2. Jeśli tworzysz podręcznik Zużycie (oryginalny, klasyczny rodzaj), a następnie w zależności od wyzwalacza, którego chcesz użyć, wybierz element Playbook z wyzwalaczem zdarzenia lub podręcznikiem z wyzwalaczem alertu. Następnie wykonaj poniższe kroki na karcie Zużycie usługi Logic Apps .

      Uwaga

      Pamiętaj, że tylko podręczniki oparte na wyzwalaczu zdarzenia mogą być wywoływane przez reguły automatyzacji. Podręczniki oparte na wyzwalaczu alertu muszą być zdefiniowane do uruchamiania bezpośrednio w regułach analizy. Oba typy można również uruchamiać ręcznie.

      Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel

Przygotowywanie podręcznika i aplikacji logiki

Niezależnie od tego, który wyzwalacz został wybrany do utworzenia podręcznika w poprzednim kroku, zostanie wyświetlony kreator Tworzenia podręcznika .

Tworzenie aplikacji logiki

  1. Na karcie Podstawy :

    1. Wybierz pozycję Subskrypcja, Grupa zasobów i Region wybranego obszaru z odpowiednich list rozwijanych. Wybrany region to miejsce, w którym będą przechowywane informacje o aplikacji logiki.

    2. Wprowadź nazwę podręcznika w obszarze Nazwa podręcznika.

    3. Jeśli chcesz monitorować działanie tego podręcznika do celów diagnostycznych, zaznacz pole wyboru Włącz dzienniki diagnostyczne w usłudze Log Analytics i wybierz obszar roboczy usługi Log Analytics z listy rozwijanej.

    4. Jeśli podręczniki potrzebują dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z nią, może być konieczne użycie środowiska usługi integracji (ISE). Jeśli tak, zaznacz pole wyboru Skojarz ze środowiskiem usługi integracji , a następnie wybierz odpowiednią aplikację ISE z listy rozwijanej.

    5. Wybierz pozycję Dalej: połączenia >.

  2. Na karcie Połączenia :

    W idealnym przypadku należy pozostawić tę sekcję tak, jak to jest, konfigurując usługę Logic Apps w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej. Dowiedz się więcej o tym i innych alternatywach uwierzytelniania.

    Wybierz pozycję Dalej: Przejrzyj i utwórz >plik .

  3. Na karcie Przeglądanie i tworzenie :

    Przejrzyj dokonane opcje konfiguracji i wybierz pozycję Utwórz i przejdź do projektanta.

  4. Podręcznik zostanie utworzony i wdrożony po kilku minutach, po którym zostanie wyświetlony komunikat "Wdrożenie zostało ukończone" i nastąpi przekierowanie do projektanta aplikacji logiki nowego podręcznika. Wyzwalacz wybrany na początku zostanie automatycznie dodany jako pierwszy krok i możesz kontynuować projektowanie przepływu pracy.

    Zrzut ekranu przedstawiający ekran projektanta aplikacji logiki z wyzwalaczem otwierania.

Dodawanie akcji

Teraz możesz zdefiniować, co się stanie po wywołaniu podręcznika. Akcje, warunki logiczne, pętle lub warunki przypadku przełącznika można dodawać, wybierając pozycję Nowy krok. Ten wybór otwiera nową ramkę w projektancie, w której można wybrać system lub aplikację do interakcji lub warunek do ustawienia. Wprowadź nazwę systemu lub aplikacji na pasku wyszukiwania w górnej części ramki, a następnie wybierz spośród dostępnych wyników.

W każdym z tych kroków kliknięcie dowolnego pola powoduje wyświetlenie panelu z dwoma menu: zawartość dynamiczna i wyrażenie. Z menu Zawartość dynamiczna można dodać odwołania do atrybutów alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i niestandardowych szczegółów zawartych w alercie lub incydencie. W menu Wyrażenie możesz wybrać dużą bibliotekę funkcji, aby dodać dodatkową logikę do kroków.

Projektant aplikacji logiki

Ten zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia podręcznika opisanego w przykładzie na początku tego dokumentu. Jedyną różnicą jest to, że w podręczniku pokazanym tutaj używasz wyzwalacza alertu zamiast wyzwalacza zdarzenia. Oznacza to, że ten podręcznik zostanie wywołany bezpośrednio z reguły analizy, a nie z reguły automatyzacji. Oba sposoby wywoływania podręcznika zostaną opisane poniżej.

Automatyzowanie odpowiedzi na zagrożenia

Element playbook został utworzony i zdefiniowany wyzwalacz, ustawić warunki i przepisać akcje, które zostaną wykonane, a dane wyjściowe zostaną utworzone. Teraz należy określić kryteria, w ramach których zostanie uruchomiony i skonfigurować mechanizm automatyzacji, który będzie uruchamiany po spełnieniu tych kryteriów.

Reagowanie na zdarzenia

Podręcznik służy do reagowania na zdarzenie przez utworzenie reguły automatyzacji , która zostanie uruchomiona po wygenerowaniu zdarzenia, a z kolei wywoła podręcznik.

Aby utworzyć regułę automatyzacji:

  1. W bloku Automatyzacja w menu nawigacji Microsoft Sentinel wybierz pozycję Utwórz z górnego menu, a następnie pozycję Dodaj nową regułę.

    Dodawanie nowej reguły

  2. Zostanie otwarty panel Tworzenie nowej reguły automatyzacji . Wprowadź nazwę reguły.

    Tworzenie reguły automatyzacji

  3. Jeśli chcesz, aby reguła automatyzacji weszła w życie tylko na określonych regułach analizy, określ te reguły, modyfikując warunek nazwy reguły If Analytics .

  4. Dodaj inne warunki, od których ma zależeć aktywacja tej reguły automatyzacji. Kliknij pozycję Dodaj warunek i wybierz warunki z listy rozwijanej. Lista warunków jest wypełniana szczegółami alertu i polami identyfikatora jednostki.

  5. Wybierz akcje, które mają zostać wykonane przez tę regułę automatyzacji. Dostępne akcje obejmują przypisywanie właściciela, stan zmiany, ważność zmiany, dodawanie tagów i uruchamianie podręcznika. Możesz dodać dowolną liczbę akcji.

  6. Jeśli dodasz akcję Uruchom podręcznik , zostanie wyświetlony monit o wybranie z listy rozwijanej dostępnych podręczników. Tylko podręczniki rozpoczynające się od wyzwalacza zdarzenia mogą być uruchamiane z reguł automatyzacji, więc tylko będą wyświetlane na liście.

    Ważne

    Microsoft Sentinel musi mieć przyznane jawne uprawnienia w celu uruchamiania podręczników na podstawie wyzwalacza zdarzenia, zarówno ręcznie, jak i z reguł automatyzacji. Jeśli element playbook pojawi się "wyszarydzony" na liście rozwijanej, oznacza to, że usługa Sentinel nie ma uprawnień do grupy zasobów tego podręcznika. Kliknij link Zarządzaj uprawnieniami podręcznika, aby przypisać uprawnienia.

    W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie kliknij przycisk Zastosuj.

    Zarządzanie uprawnieniami

    • Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień Microsoft Sentinel, i musisz mieć rolę Współautor aplikacji logiki w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

    • W przypadku wdrożenia z wieloma dzierżawami, jeśli podręcznik, który chcesz uruchomić, znajduje się w innej dzierżawie, musisz udzielić Microsoft uprawnienia usługi Sentinel do uruchamiania podręcznika w dzierżawie podręcznika.

      1. W menu nawigacji Microsoft Sentinel w dzierżawie podręczników wybierz pozycję Ustawienia.
      2. W bloku Ustawienia wybierz kartę Ustawienia , a następnie rozwiń węzeł Uprawnienia podręcznika .
      3. Kliknij przycisk Konfiguruj uprawnienia , aby otworzyć panel Zarządzanie uprawnieniami wymienionych powyżej i kontynuować zgodnie z opisem w tym miejscu.
    • Jeśli w scenariuszu programu MSSP chcesz uruchomić podręcznik w dzierżawie klienta z reguły automatyzacji utworzonej podczas logowania do dzierżawy dostawcy usług, musisz udzielić Microsoft uprawnienia usługi Sentinel do uruchamiania podręcznika w obu dzierżawach. W dzierżawie klienta postępuj zgodnie z instrukcjami dotyczącymi wdrażania z wieloma dzierżawami w poprzednim punkcie punktorowym. W dzierżawie dostawcy usług musisz dodać aplikację Azure Security Insights w szablonie dołączania usługi Azure Lighthouse:

      1. W witrynie Azure Portal przejdź do usługi Azure Active Directory.
      2. Kliknij pozycję Aplikacje dla przedsiębiorstw.
      3. Wybierz pozycję Typ aplikacji i filtruj dla aplikacji Microsoft.
      4. W polu wyszukiwania wpisz Azure Security Insights.
      5. Skopiuj pole Identyfikator obiektu . Musisz dodać tę dodatkową autoryzację do istniejącego delegowania usługi Azure Lighthouse.

      Rola współautora automatyzacji usługi Microsoft Sentinel ma stały identyfikator GUID, który to f4c81013-99ee-4d62-a7ee-b3f1f648599a. Przykładowa autoryzacja usługi Azure Lighthouse wygląda następująco w szablonie parametrów:

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
      }
      
  7. Ustaw datę wygaśnięcia reguły automatyzacji, jeśli chcesz ją mieć.

  8. Wprowadź liczbę w obszarze Kolejność , aby określić, gdzie w sekwencji reguł automatyzacji zostanie uruchomiona ta reguła.

  9. Kliknij pozycję Zastosuj. Gotowe!

Odkryj inne sposoby tworzenia reguł automatyzacji.

Reagowanie na alerty

Podręcznik służy do reagowania na alert przez utworzenie reguły analizy lub edytowanie istniejącej, która jest uruchamiana po wygenerowaniu alertu, i wybranie podręcznika jako automatycznej odpowiedzi w kreatorze reguły analizy.

  1. W bloku Analiza w menu nawigacji Microsoft Sentinel wybierz regułę analizy, dla której chcesz zautomatyzować odpowiedź, a następnie kliknij przycisk Edytuj w okienku szczegółów.

  2. W kreatorze reguły analizy — edytuj istniejącą zaplanowaną regułę wybierz kartę Automatyczna odpowiedź .

    Karta Automatyczna odpowiedź

  3. Wybierz element playbook z listy rozwijanej. Możesz wybrać więcej niż jeden podręcznik, ale dostępne będą tylko podręczniki korzystające z wyzwalacza alertu .

  4. Na karcie Przeglądanie i aktualizowanie wybierz pozycję Zapisz.

Uruchamianie podręcznika na żądanie

Możesz również ręcznie uruchomić podręcznik na żądanie zarówno w przypadku zdarzeń (w wersji zapoznawczej) jak i alertów. Może to być przydatne w sytuacjach, w których potrzebujesz większej liczby ludzkich danych wejściowych i kontroli nad procesami aranżacji i reagowania.

Ręczne uruchamianie podręcznika w alercie

  1. Na stronie Incydenty wybierz zdarzenie.

  2. Wybierz pozycję Wyświetl pełne szczegóły w dolnej części okienka szczegółów zdarzenia.

  3. Na stronie szczegółów zdarzenia wybierz kartę Alerty , wybierz alert, na którym chcesz uruchomić podręcznik, a następnie wybierz link Wyświetl podręczniki na końcu wiersza tego alertu.

  4. Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych przy użyciu wyzwalacza usługi Logic Apps usługi Microsoft Sentinel, do którego masz dostęp.

  5. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w alercie można wyświetlić, wybierając kartę Uruchomienia w okienku Podręczniki alertów . Wyświetlenie wszystkich ukończonych przebiegów na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w zdarzeniu

  1. Na stronie Incydenty wybierz zdarzenie.

  2. W okienku szczegółów incydentu po prawej stronie wybierz pozycję Akcje > Uruchom element playbook (wersja zapoznawcza).
    (Wybranie trzech kropek na końcu wiersza zdarzenia w siatce lub kliknięcie prawym przyciskiem myszy incydentu spowoduje wyświetlenie tej samej listy co przycisk Akcja ).

  3. Po prawej stronie zostanie otwarty element playbook Run playbook on incident (Uruchamianie elementu playbook na panelu zdarzeń ). Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps Microsoft Sentinel, do którego masz dostęp.

    Uwaga

    Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów (zobacz notatkę powyżej). Aby przyznać te uprawnienia, wybierz pozycję Ustawienia z menu głównego, wybierz kartę Ustawienia , rozwiń rozszerzenie Uprawnienia podręcznika i wybierz pozycję Konfiguruj uprawnienia. W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

  4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania elementów playbook w zdarzeniu można wyświetlić, wybierając kartę Uruchomienia na panelu Uruchamianie elementu playbook na panelu zdarzeń . Wyświetlenie wszystkich ukończonych przebiegów na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Następne kroki

W tym samouczku przedstawiono sposób używania podręczników i reguł automatyzacji w usłudze Microsoft Sentinel w celu reagowania na zagrożenia.