Udostępnij za pośrednictwem

Tworzenie i wykonywanie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak używać podręczników do tworzenia i opcjonalnie wykonywania zadań zdarzeń w celu zarządzania złożonymi procesami przepływu pracy analityka w usłudze Microsoft Sentinel.

Użyj akcji Dodaj zadanie w podręczniku w łączniku usługi Microsoft Sentinel, aby automatycznie dodać zadanie do zdarzenia, które wyzwoliło podręcznik. Obsługiwane są przepływy pracy w warstwie Standardowa i Zużycie.

Napiwek

Zadania zdarzeń mogą być tworzone automatycznie nie tylko przez podręczniki, ale także przez reguły automatyzacji, a także ręcznie, ad hoc, z poziomu zdarzenia.

Aby uzyskać więcej informacji, zobacz Używanie zadań do zarządzania zdarzeniami w usłudze Microsoft Sentinel.

Wymagania wstępne

  • Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do wyświetlania i edytowania zdarzeń, co jest niezbędne do dodawania, wyświetlania i edytowania zadań.

  • Rola Współautor usługi Logic Apps jest wymagana do tworzenia i edytowania podręczników.

Aby uzyskać więcej informacji, zobacz Wymagania wstępne podręcznika usługi Microsoft Sentinel.

Dodawanie zadania i wykonywanie go za pomocą podręcznika

Ta sekcja zawiera przykładową procedurę dodawania akcji podręcznika, która wykonuje następujące czynności:

  • Dodaje zadanie do zdarzenia, resetując hasło naruszonego użytkownika
  • Dodaje kolejną akcję podręcznika w celu wysłania sygnału do Ochrona tożsamości Microsoft Entra (AADIP), aby rzeczywiście zresetować hasło
  • Dodaje ostateczną akcję podręcznika, aby oznaczyć zadanie w zakończeniu zdarzenia.

Aby dodać i skonfigurować te akcje, wykonaj następujące czynności:

  1. Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Dodaj zadanie do zdarzenia , a następnie:

    1. Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.

    2. Wprowadź pozycję Resetuj hasło użytkownika jako tytuł.

    3. Dodaj opcjonalny opis.

    Na przykład:

    Zrzut ekranu przedstawia akcje podręcznika umożliwiające dodanie zadania w celu zresetowania hasła użytkownika.

  2. Dodaj akcję Jednostki — Pobierz konta (wersja zapoznawcza). Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek. Na przykład:

    Zrzut ekranu przedstawia akcje podręcznika w celu pobrania jednostek konta w zdarzeniu.

  3. Dodaj pętlę For each z biblioteki akcji kontrolki . Dodaj element zawartości dynamicznej Konta z obszaru Jednostki — pobierz dane wyjściowe kont do pola Wybierz dane wyjściowe z poprzednich kroków. Na przykład:

    Zrzut ekranu przedstawia sposób dodawania akcji pętli for-each do podręcznika w celu wykonania akcji na każdym odnalezionym koncie.

  4. W pętli Dla każdego wybierz pozycję Dodaj akcję. Następnie:

    1. Wyszukaj i wybierz łącznik Ochrona tożsamości Microsoft Entra
    2. Wybierz akcję Potwierdź ryzykownego użytkownika jako naruszoną (wersja zapoznawcza).
    3. Dodaj element zawartości dynamicznej Accounts Microsoft Entra user ID do pola userIds Item - 1.

    Ta akcja ustawia procesy ruchu wewnątrz Ochrona tożsamości Microsoft Entra w celu zresetowania hasła użytkownika.

    Zrzut ekranu przedstawiający wysyłanie jednostek do usługi AADIP w celu potwierdzenia naruszenia zabezpieczeń.

    Uwaga

    Pole Accounts Microsoft Entra user ID (Konta Microsoft Entra user ID ) to jeden ze sposobów identyfikowania użytkownika w usłudze AADIP. Niekoniecznie jest to najlepszy sposób w każdym scenariuszu, ale jest tu przedstawiony jako przykład.

    Aby uzyskać pomoc, zapoznaj się z innymi podręcznikami obsługującymi naruszonych użytkowników lub dokumentacją Ochrona tożsamości Microsoft Entra.

  5. Dodaj akcję Oznacz zadanie jako ukończone z łącznika usługi Microsoft Sentinel i dodaj element zawartości dynamicznej identyfikatora zadania zdarzenia do pola Identyfikator usługi ARM zadania. Na przykład:

    Zrzut ekranu przedstawia sposób dodawania akcji podręcznika w celu oznaczania ukończenia zadania zdarzenia.

Warunkowe dodawanie zadania przy użyciu podręcznika

Ta sekcja zawiera przykładową procedurę dodawania akcji podręcznika, która bada adres IP wyświetlany w zdarzeniu.

  • Jeśli wyniki tych badań są takie, że adres IP jest złośliwy, podręcznik tworzy zadanie dla analityka, aby wyłączyć użytkownika przy użyciu tego adresu IP.
  • Jeśli adres IP nie jest znanym złośliwym adresem, podręcznik tworzy inne zadanie, aby analityk skontaktował się z użytkownikiem w celu zweryfikowania działania.

Aby dodać i skonfigurować te akcje, wykonaj następujące czynności:

  1. Z poziomu łącznika usługi Microsoft Sentinel dodaj akcję Jednostki — Pobierz adresy IP . Dodaj element zawartości dynamicznej Jednostki (ze schematu incydentu usługi Microsoft Sentinel) do pola Lista jednostek. Na przykład:

    Zrzut ekranu przedstawia akcje podręcznika w celu pobrania jednostek adresu IP w zdarzeniu.

  2. Dodaj pętlę For each z biblioteki akcji kontrolki . Dodaj element zawartości dynamicznej adresów IP z obszaru Jednostki — pobierz dane wyjściowe adresów IP do pola Wybierz dane wyjściowe z poprzednich kroków . Na przykład:

    Zrzut ekranu przedstawia sposób dodawania akcji pętli dla każdego elementu do podręcznika w celu wykonania akcji na każdym odnalezionym adresie IP.

  3. W pętli Dla każdej z nich wybierz pozycję Dodaj akcję, a następnie:

    1. Wyszukaj i wybierz łącznik Virus Total (Łączna liczba wirusów).
    2. Wybierz akcję Pobierz raport IP (wersja zapoznawcza).
    3. Dodaj element zawartości dynamicznej Adres IP z pola Jednostki — Pobierz adresy IP do pola Adres IP.

    Na przykład:

    Zrzut ekranu przedstawiający wysyłanie żądania do sumy wirusów dla raportu adresów IP.

  4. W pętli Dla każdej z nich wybierz pozycję Dodaj akcję, a następnie:

    1. Dodaj warunek z biblioteki akcji kontrolki.
    2. Dodaj statystykę Ostatniej analizy Złośliwy element zawartości dynamicznej z danych wyjściowych pobierz raport IP. Może być konieczne wybranie pozycji Zobacz więcej , aby go znaleźć.
    3. Wybierz operator jest większy niż, a następnie wprowadź 0 wartość jako wartość.

    Ten warunek zadaje pytanie "Czy raport Dotyczący całkowitego adresu IP wirusa miał jakieś wyniki?" Na przykład:

    Zrzut ekranu przedstawia sposób ustawiania warunku true-false w podręczniku.

  5. W obszarze True wybierz pozycję Dodaj akcję, a następnie:

    1. Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel.
    2. Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.
    3. Wprowadź pozycję Oznacz użytkownika jako naruszonego jako tytuł.
    4. Dodaj opcjonalny opis.

    Na przykład:

    Zrzut ekranu przedstawia akcje podręcznika w celu dodania zadania oznaczania użytkownika jako naruszonego.

  6. Wewnątrz opcji Fałsz wybierz pozycję Dodaj akcję, a następnie:

    1. Wybierz akcję Dodaj zadanie do zdarzenia z łącznika usługi Microsoft Sentinel.
    2. Wybierz element zawartości dynamicznej identyfikatora zdarzenia usługi ARM dla pola Identyfikator zdarzenia usługi ARM.
    3. Wprowadź wartość Skontaktuj się z użytkownikiem, aby potwierdzić działanie jako tytuł.
    4. Dodaj opcjonalny opis.

    Na przykład:

    Zrzut ekranu przedstawia akcje podręcznika w celu dodania zadania w celu potwierdzenia aktywności użytkownika.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz: