Udostępnij za pośrednictwem

Zalecane przypadki użycia podręcznika, szablony i przykłady

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wymieniono przykładowe przypadki użycia podręczników usługi Microsoft Sentinel, a także przykładowe podręczniki i zalecane szablony podręczników.

Zalecamy rozpoczęcie od podręczników usługi Microsoft Sentinel dla następujących scenariuszy SOC, dla których udostępniamy gotowe szablony podręczników gotowe do użycia.

Wzbogacanie: zbieranie i dołączanie danych do zdarzenia w celu podejmowania mądrzejszych decyzji

Jeśli zdarzenie usługi Microsoft Sentinel jest tworzone na podstawie reguły alertu i analizy, która generuje jednostki adresów IP, skonfiguruj zdarzenie, aby wyzwolić regułę automatyzacji w celu uruchomienia podręcznika i zebrania dodatkowych informacji.

Skonfiguruj podręcznik, wykonując następujące czynności:

  1. Uruchom podręcznik po utworzeniu zdarzenia. Jednostki reprezentowane w zdarzeniu są przechowywane w polach dynamicznych wyzwalacza zdarzenia.

  2. Dla każdego adresu IP skonfiguruj podręcznik, aby wysyłał zapytania do zewnętrznego dostawcy analizy zagrożeń, takiego jak Suma wirusa, aby pobrać więcej danych.

  3. Dodaj zwrócone dane i szczegółowe informacje jako komentarze dotyczące zdarzenia, aby wzbogacić badanie.

Dwukierunkowa synchronizacja z incydentami usługi Microsoft Sentinel z innymi systemami biletów

Aby zsynchronizować dane zdarzeń usługi Microsoft Sentinel z systemem obsługi biletów, takim jak ServiceNow:

  1. Utwórz regułę automatyzacji dla wszystkich operacji tworzenia zdarzeń.

  2. Dołącz podręcznik wyzwalany po utworzeniu nowego zdarzenia.

  3. Skonfiguruj podręcznik, aby utworzyć nowy bilet w usłudze ServiceNow przy użyciu łącznika usługi ServiceNow.

    Upewnij się, że zespoły mogą łatwo przejść z biletu usługi ServiceNow z powrotem do zdarzenia usługi Microsoft Sentinel, konfigurując podręcznik tak, aby zawierał nazwę zdarzenia, ważne pola i adres URL zdarzenia usługi Microsoft Sentinel w bilecie usługi ServiceNow.

Orkiestracja: kontrolowanie kolejki zdarzeń z platformy czatu SOC

Jeśli zdarzenie usługi Microsoft Sentinel jest tworzone na podstawie reguły alertu i analizy, która generuje jednostki nazwy użytkownika i adresu IP, skonfiguruj zdarzenie, aby wyzwolić regułę automatyzacji, aby uruchomić podręcznik i skontaktować się z zespołem za pośrednictwem standardowych kanałów komunikacyjnych.

Skonfiguruj podręcznik, wykonując następujące czynności:

  1. Uruchom podręcznik po utworzeniu zdarzenia. Jednostki reprezentowane w zdarzeniu są przechowywane w polach dynamicznych wyzwalacza zdarzenia.

  2. Skonfiguruj podręcznik, aby wysyłał komunikat do kanału komunikacji operacji zabezpieczeń, na przykład w usłudze Microsoft Teams lub Usłudze Slack , aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

  3. Skonfiguruj podręcznik, aby wysyłał wszystkie informacje w alercie pocztą e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail zawiera przyciski opcji Blokuj i Ignoruj użytkownika.

  4. Skonfiguruj podręcznik do oczekiwania na odebranie odpowiedzi od administratorów, a następnie kontynuuj uruchamianie.

  5. Jeśli administratorzy wybierają pozycję Blokuj, skonfiguruj podręcznik, aby wysłać polecenie do zapory, aby zablokować adres IP w alercie, a drugi do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika.

Natychmiastowe reagowanie na zagrożenia przy minimalnych zależnościach człowieka

Ta sekcja zawiera dwa przykłady reagowania na zagrożenia naruszonego użytkownika i maszyny, na których bezpieczeństwo jest naruszone.

W przypadku użytkownika, na przykład wykrytego przez Ochrona tożsamości Microsoft Entra:

  1. Uruchom podręcznik po utworzeniu nowego zdarzenia usługi Microsoft Sentinel.

  2. Dla każdej jednostki użytkownika w incydencie podejrzanym o naruszenie zabezpieczeń skonfiguruj podręcznik w następujący sposób:

    1. Wyślij wiadomość usługi Teams do użytkownika, żądając potwierdzenia, że użytkownik podjął podejrzaną akcję.

    2. Sprawdź Ochrona tożsamości Microsoft Entra, aby potwierdzić stan użytkownika jako naruszony. Ochrona tożsamości Microsoft Entra oznaczyć użytkownika jako ryzykowne i zastosować wszystkie już skonfigurowane zasady wymuszania — na przykład w celu wymagania od użytkownika używania uwierzytelniania wieloskładnikowego podczas następnego logowania.

    Uwaga

    Ta konkretna akcja firmy Microsoft Entra nie inicjuje żadnych działań wymuszania na użytkowniku ani nie inicjuje żadnej konfiguracji zasad wymuszania. Informuje tylko Ochrona tożsamości Microsoft Entra, aby zastosować wszystkie już zdefiniowane zasady zgodnie z potrzebami. Każde wymuszanie zależy całkowicie od zasad zdefiniowanych w Ochrona tożsamości Microsoft Entra.

W przypadku maszyny, na przykład wykrytej przez Ochrona punktu końcowego w usłudze Microsoft Defender:

  1. Uruchom podręcznik po utworzeniu nowego zdarzenia usługi Microsoft Sentinel.

  2. Skonfiguruj podręcznik za pomocą akcji Jednostki — pobierz hosty , aby przeanalizować podejrzane maszyny uwzględnione w jednostkach zdarzeń.

  3. Skonfiguruj element playbook, aby wydać polecenie , aby Ochrona punktu końcowego w usłudze Microsoft Defender w celu odizolowania maszyn w alercie.

Odpowiedź ręcznie podczas badania lub podczas wyszukiwania zagrożeń bez opuszczania kontekstu

Użyj wyzwalacza jednostki, aby podjąć natychmiastowe działania dotyczące poszczególnych podmiotów zagrożeń wykrytych podczas badania, po jednym naraz, bezpośrednio w ramach badania. Ta opcja jest również dostępna w kontekście wyszukiwania zagrożeń, bez połączenia z konkretnym zdarzeniem.

Wybierz jednostkę w kontekście i wykonaj odpowiednie akcje, oszczędzając czas i zmniejszając złożoność.

Podręczniki z wyzwalaczami jednostek obsługują akcje, takie jak:

  • Blokowanie naruszonego użytkownika.
  • Blokowanie ruchu ze złośliwego adresu IP w zaporze.
  • Izolowanie naruszonego hosta w sieci.
  • Dodawanie adresu IP do listy obserwowanych bezpiecznych/niebezpiecznych adresów lub do zewnętrznej bazy danych zarządzania konfiguracją (CMDB).
  • Pobieranie raportu skrótu pliku z zewnętrznego źródła analizy zagrożeń i dodawanie go do zdarzenia jako komentarza.

W tej sekcji wymieniono zalecane podręczniki i inne podobne podręczniki są dostępne w centrum zawartości lub w repozytorium GitHub usługi Microsoft Sentinel.

Szablony podręcznika powiadomień

Podręczniki powiadomień są wyzwalane po utworzeniu alertu lub zdarzenia i wysłaniu powiadomienia do skonfigurowanego miejsca docelowego:

Podręcznik Folder w folderze
Repozytorium GitHub		 Rozwiązanie w centrum zawartości/
Azure Marketplace
Publikowanie komunikatu w aplikacji Microsoft Teamschannel Post-Message-Teams Sentinel SOAR Essentialsolution
Wysyłanie powiadomienia e-mail programu Outlook Wyślij podstawową wiadomość e-mail Sentinel SOAR Essentialsolution
Publikowanie wiadomości w kanale usługi Slack Post-Message-Slack Sentinel SOAR Essentialsolution
Wysyłanie karty adaptacyjnej usługi Microsoft Teams podczas tworzenia zdarzeń Send-Teams-adaptive-card-on-incident-creation Rozwiązanie SOAR Essentials usługi Sentinel

Blokowanie szablonów podręczników

Blokowanie podręczników jest wyzwalane podczas tworzenia alertu lub zdarzenia, zbierania informacji o jednostkach, takich jak konto, adres IP i host, i blokuje je z dalszych akcji:

Podręcznik Folder w folderze
Repozytorium GitHub		 Rozwiązanie w centrum zawartości/
Azure Marketplace
Blokowanie adresu IP w usłudze Azure Firewall AzureFirewall-BlockIP-addNewRule Rozwiązanie usługi Azure Firewall dla usługi Sentinel
Blokowanie użytkownika entra firmy Microsoft Block-AADUser Microsoft Entra solution
Resetowanie hasła użytkownika entra firmy Microsoft Reset-AADUserPassword Microsoft Entra solution
Izolowanie lub unisolate urządzenia przy użyciu polecenia
Ochrona punktu końcowego w usłudze Microsoft Defender		 Isolate-MDEMachine
Unisolate-MDEMachine		 rozwiązanie Ochrona punktu końcowego w usłudze Microsoft Defender

Tworzenie, aktualizowanie lub zamykanie szablonów podręczników

Tworzenie, aktualizowanie lub zamykanie podręczników może tworzyć, aktualizować lub zamykać zdarzenia w usługach zabezpieczeń microsoft Sentinel, Microsoft 365 lub w innych systemach obsługi biletów:

Podręcznik Folder w folderze
Repozytorium GitHub		 Rozwiązanie w centrum zawartości/
Azure Marketplace
Tworzenie zdarzenia przy użyciu programu Microsoft Forms CreateIncident-MicrosoftForms Rozwiązanie SOAR Essentials usługi Sentinel
Powiązanie alertów z incydentami relateAlertsToIncident-basedOnIP Rozwiązanie SOAR Essentials usługi Sentinel
Tworzenie zdarzenia usługi ServiceNow Tworzenie rekordu SNOW Rozwiązanie ServiceNow

Często używane konfiguracje podręczników

Ta sekcja zawiera przykładowe zrzuty ekranu dla często używanych konfiguracji podręcznika, w tym aktualizowanie zdarzenia, używanie szczegółów zdarzenia, dodawanie komentarzy do zdarzenia lub wyłączanie użytkownika.

Aktualizowanie zdarzenia

Ta sekcja zawiera przykładowe zrzuty ekranu pokazujące, jak można użyć podręcznika do aktualizowania zdarzenia na podstawie nowego zdarzenia lub alertu.

Aktualizowanie zdarzenia na podstawie nowego zdarzenia (wyzwalacza zdarzenia):

Zrzut ekranu przedstawiający przykład prostego przepływu aktualizacji wyzwalacza zdarzenia.

Aktualizowanie zdarzenia na podstawie nowego alertu (wyzwalacza alertu):

Zrzut ekranu przedstawiający przykład prostego przepływu zdarzenia aktualizacji wyzwalacza alertu.

Używanie szczegółów zdarzenia w przepływie

Ta sekcja zawiera przykładowe zrzuty ekranu pokazujące, jak można użyć podręcznika do używania szczegółów zdarzenia w innym miejscu przepływu:

Wyślij szczegóły zdarzenia pocztą za pomocą podręcznika wyzwalanego przez nowe zdarzenie:

Zrzut ekranu przedstawiający przykład prostego uzyskiwania przepływu wyzwalacza zdarzenia.

Wyślij szczegóły zdarzenia pocztą za pomocą podręcznika wyzwalanego przez nowy alert:

Zrzut ekranu przedstawiający prosty przykład przepływu zdarzenia get alertu.

Dodawanie komentarza do zdarzenia

Ta sekcja zawiera przykładowe zrzuty ekranu pokazujące, jak można użyć podręcznika do dodawania komentarzy do zdarzenia:

Dodaj komentarz do zdarzenia przy użyciu podręcznika wyzwalanego przez nowe zdarzenie:

Zrzut ekranu przedstawiający prosty przykład dodawania komentarza wyzwalacza zdarzenia.

Dodaj komentarz do zdarzenia przy użyciu podręcznika wyzwalanego przez nowy alert:

Zrzut ekranu przedstawiający prosty przykład dodawania komentarza wyzwalacza alertu.

Wyłączanie użytkownika

Poniższy zrzut ekranu przedstawia przykład sposobu użycia podręcznika do wyłączenia konta użytkownika na podstawie wyzwalacza jednostki usługi Microsoft Sentinel:

Zrzut ekranu przedstawiający akcje do wykonania w podręczniku wyzwalacza jednostki w celu wyłączenia użytkownika.

Powiązana zawartość