Reagowanie na podmioty zagrożeń podczas badania zagrożeń lub wyszukiwania zagrożeń w usłudze Microsoft Sentinel
W tym artykule pokazano, jak podjąć działania reagowania na zagrożenia wobec podmiotów zagrożeń na miejscu, w trakcie badania incydentu lub wyszukiwania zagrożeń, bez przełączania lub wykluczania kontekstu z dochodzenia lub polowania. Można to zrobić przy użyciu podręczników opartych na nowym wyzwalaczu jednostki.
Wyzwalacz jednostki obsługuje obecnie następujące typy jednostek:
Ważne
Wyzwalacz jednostki jest obecnie w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Uruchamianie podręczników za pomocą wyzwalacza jednostki
Podczas badania incydentu i określania, że dana jednostka — konto użytkownika, host, adres IP, plik itd. — reprezentuje zagrożenie, możesz podjąć natychmiastowe działania korygujące dotyczące tego zagrożenia, uruchamiając podręcznik na żądanie. Można to zrobić podobnie, jeśli napotkasz podejrzane jednostki podczas aktywnego wyszukiwania zagrożeń poza kontekstem zdarzeń.
Wybierz jednostkę w dowolnym kontekście, w którym się z nim spotkasz, i wybierz odpowiednie środki do uruchomienia podręcznika w następujący sposób:
W widżecie Jednostki na karcie Przegląd zdarzenia na stronie szczegółów nowego zdarzenia (teraz w wersji zapoznawczej) lub na karcie Jednostki wybierz jednostkę z listy, wybierz trzy kropki obok jednostki, a następnie wybierz pozycję Uruchom podręcznik (wersja zapoznawcza) z menu podręcznego.
Na karcie Jednostki zdarzenia wybierz jednostkę z listy i wybierz link Uruchom element playbook (wersja zapoznawcza) na końcu wiersza na liście.
Na wykresie Badanie wybierz jednostkę i wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu bocznym jednostki.
Na stronie Zachowanie jednostki wybierz jednostkę. Na stronie wynikowej jednostki wybierz przycisk Uruchom podręcznik (wersja zapoznawcza) w panelu po lewej stronie.
Wszystkie te elementy będą otwierać element playbook Run na< panelu typu> jednostki.
W każdym z tych paneli zobaczysz dwie karty: Podręczniki i Uruchomienia.
Na karcie Podręczniki zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, i które używają wyzwalacza jednostki usługi Microsoft Sentinel dla tego typu jednostki (w tym przypadku kont użytkowników). Wybierz przycisk Uruchom dla podręcznika, który chcesz uruchomić natychmiast.
Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów.
Aby przyznać te uprawnienia, wybierz pozycję Ustawienia > uprawnienia Ustawienia > Podręczniki > Konfigurowanie uprawnień. W panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.
Aby uzyskać więcej informacji, zobacz Dodatkowe uprawnienia wymagane do uruchamiania podręczników przez usługę Microsoft Sentinel.
Działanie elementów playbook wyzwalacza jednostki można przeprowadzić na karcie Uruchomienia . Zobaczysz listę wszystkich przypadków uruchomienia dowolnego podręcznika w wybranej jednostce. Wyświetlenie dowolnego przebiegu ukończonego na tej liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Azure Logic Apps.
Następne kroki
W tym artykule przedstawiono sposób ręcznego uruchamiania podręczników w celu korygowania zagrożeń z jednostek podczas badania incydentu lub wyszukiwania zagrożeń.
- Dowiedz się więcej na temat badania zdarzeń w usłudze Microsoft Sentinel.
- Dowiedz się, jak aktywnie polować na zagrożenia przy użyciu usługi Microsoft Sentinel.
- Dowiedz się więcej o jednostkach w usłudze Microsoft Sentinel.
- Dowiedz się więcej o podręcznikach w usłudze Microsoft Sentinel.