Share via

Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy, który można dostosować do Twoich potrzeb. Szablony mogą również służyć jako dokumentacja najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji.

Szablony podręczników nie są aktywnymi podręcznikami, dopóki nie utworzysz podręcznika (edytowalnej kopii szablonu).

Wiele szablonów podręczników jest opracowywanych przez społeczność usługi Microsoft Sentinel, niezależnych dostawców oprogramowania (ISV) i własnych ekspertów firmy Microsoft w oparciu o popularne scenariusze automatyzacji używane przez centra operacji zabezpieczeń na całym świecie.

Pobierz szablony podręczników z następujących źródeł:

  • Na stronie Automatyzacja karta Szablony podręczników zawiera listę zainstalowanych szablonów podręczników. Na podstawie tego samego szablonu można utworzyć wiele aktywnych podręczników.

    Po opublikowaniu nowej wersji szablonu aktywne podręczniki utworzone na podstawie tego szablonu są wyświetlane na karcie Aktywne podręczniki , która jest dostępna.

  • Szablony podręczników są dostępne jako część rozwiązań produktów lub zawartości autonomicznej instalowanej z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Zawartość i rozwiązania usługi Microsoft Sentinel oraz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

  • Repozytorium GitHub usługi Microsoft Sentinel zawiera wiele szablonów podręczników. Można je wdrożyć w subskrypcji platformy Azure, wybierając przycisk Wdróż na platformie Azure .

Technicznie szablon podręcznika jest szablonem usługi Azure Resource Manager (ARM), który składa się z kilku zasobów: przepływu pracy i połączeń interfejsu API usługi Azure Logic Apps dla każdego zaangażowanego połączenia.

Ten artykuł koncentruje się na wdrażaniu szablonu podręcznika na karcie Szablony podręczników w obszarze Automatyzacja.

Ten artykuł pomaga zrozumieć, jak wykonać następujące działania:

  • Eksplorowanie wbudowanych szablonów podręczników
  • Wdrażanie szablonu podręcznika

Ważne

Szablony podręczników są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Eksplorowanie szablonów podręczników

W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Centrum zawartości zarządzania zawartością>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

Na stronie Centrum zawartości wybierz pozycję Typ zawartości, aby filtrować element Playbook. Ten filtrowany widok zawiera listę wszystkich rozwiązań i zawartości autonomicznej zawierającej co najmniej jeden szablon podręcznika. Zainstaluj rozwiązanie lub zawartość autonomiczną, aby pobrać szablon.

Następnie wybierz kartę Szablony podręczników usługi Configuration>Automation>, aby wyświetlić zainstalowane szablony.

Zrzut ekranu przedstawiający galerię podręczników.

Aby znaleźć szablon podręcznika pasujący do Twoich wymagań, możesz filtrować listę według następujących kryteriów:

  • Wyzwalacz wskazuje, czy podręcznik jest wyzwalany przez utworzenie zdarzenia, aktualizację zdarzenia lub utworzenie alertu. Dowiedz się więcej

  • Łączniki usługi Logic Apps pokazują usługi zewnętrzne, z którymi współdziała ten podręcznik. Podczas procesu wdrażania każdy łącznik musi przyjąć tożsamość do uwierzytelniania w usłudze zewnętrznej.

  • Jednostki pokazują typy jednostek jawnie filtrowane i analizowane przez podręcznik, który oczekuje znalezienia tych typów jednostek w zdarzeniu. Na przykład podręcznik, który nakazuje zaporze zablokowanie adresu IP, oczekuje działania na zdarzeniach utworzonych przez reguły analizy, które generują alerty zawierające adresy IP, takie jak reguła wykrywania ataków siłowych.

  • Tagi pokazują etykiety zastosowane do podręcznika, aby powiązać je z określonym scenariuszem lub wskazać szczególną charakterystykę.

    Przykłady:

    • Wzbogacanie — podręcznik pobiera informacje z innej usługi w celu dodania informacji do zdarzenia. Te informacje są zwykle dodawane jako komentarz do zdarzenia lub wysyłane do SOC.

    • Korygowanie — podręcznik podejmuje działania dotyczące jednostek, których dotyczy problem, aby wyeliminować potencjalne zagrożenie.

    • Synchronizacja — podręcznik pomaga zachować usługę zewnętrzną, taką jak usługa zarządzania zdarzeniami, zaktualizowana o właściwości zdarzenia.

    • Powiadomienie — podręcznik wysyła wiadomość e-mail lub wiadomość.

    • Odpowiedź z usługi Teams — podręcznik umożliwia analitykom wykonywanie ręcznej akcji z usługi Teams przy użyciu kart interaktywnych.

Filtrowanie listy szablonów podręczników

Dostosowywanie podręcznika na podstawie szablonu

W tej procedurze opisano sposób wdrażania szablonów podręczników.

Ten proces można powtórzyć, aby utworzyć wiele podręczników w tym samym szablonie.

  1. Wybierz nazwę podręcznika na karcie Szablony podręczników .

  2. Jeśli podręcznik ma jakiekolwiek wymagania wstępne, pamiętaj, aby postępować zgodnie z instrukcjami.

    • Niektóre podręczniki nazywają inne podręczniki jako akcje. Ten drugi podręcznik jest nazywany zagnieżdżonym podręcznikiem. W takim przypadku jednym z wymagań wstępnych jest najpierw wdrożenie zagnieżdżonego podręcznika.

    • Niektóre podręczniki wymagają wdrożenia niestandardowego łącznika usługi Logic Apps lub funkcji platformy Azure. W takich przypadkach istnieje link Deploy to Azure (Wdrażanie na platformie Azure ), który umożliwia przejście do ogólnego procesu wdrażania szablonu usługi ARM.

  3. Wybierz pozycję Utwórz podręcznik , aby otworzyć kreatora tworzenia podręcznika na podstawie wybranego szablonu. Kreator ma cztery karty:

    • Podstawy: Znajdź nowy podręcznik (zasób usługi Logic Apps) i nadaj mu nazwę (może użyć wartości domyślnej). Kreator tworzenia podręcznika, karta Podstawy

    • Parametry: wprowadź wartości specyficzne dla klienta, których używa podręcznik. Jeśli na przykład ten podręcznik wysyła wiadomość e-mail do SOC, możesz zdefiniować tutaj adres odbiorcy. Ta karta jest wyświetlana tylko wtedy, gdy podręcznik ma parametry.

      Uwaga

      Jeśli ten podręcznik ma łącznik niestandardowy, powinien zostać wdrożony w tej samej grupie zasobów i będzie można wstawić jego nazwę na tej karcie.

      Kreator tworzenia podręcznika, karta parametrów

    • Połączenie ions: Rozwiń każdą akcję, aby wyświetlić istniejące połączenia utworzone dla poprzednich podręczników. Dowiedz się więcej o tworzeniu połączeń dla podręczników.

      Uwaga

      W przypadku łączników niestandardowych połączenia będą wyświetlane według nazwy łącznika niestandardowego wprowadzonego na karcie Parametry .

      Kreator tworzenia podręcznika. karta połączeń

      Jeśli nie ma żadnych lub jeśli chcesz utworzyć nowe, wybierz pozycję Utwórz nowe połączenie po wdrożeniu. Ta opcja spowoduje przejście do projektanta usługi Logic Apps po zakończeniu procesu wdrażania.

      W przypadku łączników obsługujących nawiązywanie połączenia z tożsamością zarządzaną, takich jak Microsoft Sentinel, jest to domyślnie wybrana metoda połączenia.

    • Przejrzyj i utwórz: wyświetl podsumowanie procesu i poczekaj na weryfikację danych wejściowych przed utworzeniem podręcznika.

  4. Po wykonaniu kroków kreatora tworzenia podręcznika na końcu wykonasz projekt przepływu pracy nowego podręcznika w projektancie usługi Logic Apps.

    Zobacz podręcznik w projektancie usługi Logic Apps

  5. Dla każdego łącznika wybranego do utworzenia nowego połączenia dla po wdrożeniu:

    1. W menu nawigacji wybierz pozycję Połączenia interfejsu API.

    2. Wybierz nazwę połączenia. Zrzut ekranu przedstawiający sposób wyświetlania połączeń P I.

    3. Wybierz pozycję Edytuj połączenie interfejsu API z menu nawigacji.

    4. Wypełnij wymagane parametry i wybierz pozycję Zapisz. Zrzut ekranu przedstawiający sposób edytowania połączeń P I.

    Alternatywnie możesz utworzyć nowe połączenie z poziomu odpowiednich kroków w projektancie usługi Logic Apps:

    1. Dla każdego wyświetlonego kroku z znakiem błędu wybierz go, aby rozwinąć.

    2. Wybierz Dodaj nowy.

    3. Uwierzytelnij się zgodnie z odpowiednimi instrukcjami.

    4. Jeśli istnieją inne kroki korzystające z tego samego łącznika, rozwiń pola. Z wyświetlonej listy połączeń wybierz właśnie utworzone połączenie.

  6. Jeśli wybrano użycie połączenia tożsamości zarządzanej dla usługi Microsoft Sentinel (lub innych obsługiwanych połączeń), przyznaj uprawnienia nowemu podręcznikowi w obszarze roboczym usługi Microsoft Sentinel (lub w odpowiednich zasobach docelowych dla innych łączników).

  7. Zapisz podręcznik. Teraz będzie można go zobaczyć na karcie Aktywne podręczniki .

  8. Aby uruchomić ten podręcznik, ustaw automatyczną odpowiedź lub uruchom ręcznie.

  9. Większość szablonów może być używana w taki sposób, jak to jest, ale zalecamy wprowadzenie wszelkich korekt wymaganych do dopasowania nowego podręcznika do potrzeb SOC.

Rozwiązywanie problemów

Problem: Znaleziono usterkę w podręczniku

Aby zgłosić usterkę lub poprosić o ulepszenie podręcznika, wybierz link Obsługiwane przez w okienku szczegółów podręcznika. Jeśli jest to podręcznik obsługiwany przez społeczność, link spowoduje otwarcie problemu z usługą GitHub. W przeciwnym razie zostanie wyświetlona strona pomocnika.

Następne kroki

W tym artykule przedstawiono sposób pracy z szablonami podręczników, tworzeniem i dostosowywaniem podręczników zgodnie z potrzebami. Dowiedz się więcej o podręcznikach i automatyzacji w usłudze Microsoft Sentinel: