Udostępnij za pośrednictwem


Używanie podręcznika usługi Microsoft Sentinel w celu zatrzymania potencjalnie naruszonych użytkowników

W tym artykule opisano przykładowy scenariusz użycia podręcznika i reguły automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa. Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel i są również używane do uruchamiania podręczników w odpowiedzi na zdarzenia lub alerty. Aby uzyskać więcej informacji, zobacz Automatyzacja w usłudze Microsoft Sentinel: aranżacja zabezpieczeń, automatyzacja i odpowiedź (SOAR).

W przykładowym scenariuszu opisanym w tym artykule opisano sposób użycia reguły automatyzacji i podręcznika w celu zatrzymania potencjalnie naruszonego użytkownika podczas tworzenia zdarzenia.

Uwaga

Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., usługa Microsoft Sentinel będzie obsługiwana tylko w portalu usługi Defender, a wszyscy pozostali klienci korzystający z witryny Azure Portal będą automatycznie przekierowywani.

Zalecamy, aby wszyscy klienci korzystający z usługi Microsoft Sentinel na platformie Azure zaczęli planować przejście do portalu usługi Defender w celu uzyskania pełnego ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz Planning your move to Microsoft Defender portal for all Microsoft Sentinel customers (Planowanie przeniesienia do portalu usługi Microsoft Defender dla wszystkich klientów usługi Microsoft Sentinel).

Wymagania wstępne

Do tworzenia i uruchamiania podręczników w usłudze Microsoft Sentinel wymagane są następujące role.

Rola Opis
Właściciel Umożliwia udzielanie dostępu do podręczników w grupie zasobów.
Współautor usługi Microsoft Sentinel Umożliwia dołączenie podręcznika do reguły analizy lub automatyzacji.
Osoba odpowiadająca w usłudze Microsoft Sentinel Umożliwia dostęp do zdarzenia w celu ręcznego uruchamiania podręcznika, ale nie umożliwia uruchamiania podręcznika.
Operator podręcznika usługi Microsoft Sentinel Umożliwia ręczne uruchamianie podręcznika.
Współautor automatyzacji usługi Microsoft Sentinel Umożliwia uruchamianie podręczników przez reguły automatyzacji. Ta rola nie jest używana w żadnym innym celu.

W poniższej tabeli opisano wymagane role na podstawie tego, czy wybrano aplikację logiki Zużycie, czy Standardowa, aby utworzyć podręcznik:

Aplikacja logiki Role na platformie Azure Opis
Zużycie Współtwórca aplikacji Logic Edytowanie aplikacji logiki i zarządzanie nimi. Uruchamianie podręczników. Nie zezwala na udzielanie dostępu do podręczników.
Zużycie Operator aplikacji logiki Odczytywanie, włączanie i wyłączanie aplikacji logiki. Nie umożliwia edytowania ani aktualizowania aplikacji logiki.
Standard Operator Standardowy Logic Apps Włącz, prześlij ponownie i wyłącz przepływy pracy w aplikacji logiki.
Standard Deweloper usługi Logic Apps w warstwie Standardowa Tworzenie i edytowanie aplikacji logiki.
Standard Współautor Logic Apps Standard Zarządzanie wszystkimi aspektami aplikacji logiki.

Karta Aktywne podręczniki na stronie Automatyzacja wyświetla wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach. Domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że w szczególności udzielasz uprawnień usługi Microsoft Sentinel grupie zasobów podręcznika.

Dodatkowe uprawnienia wymagane do uruchamiania podręczników dotyczących zdarzeń

Usługa Microsoft Sentinel używa konta usługi do uruchamiania podręczników dotyczących zdarzeń, dodawania zabezpieczeń i włączania interfejsu API reguł automatyzacji w celu obsługi przypadków użycia ciągłej integracji/ciągłego wdrażania. To konto usługi jest używane na potrzeby podręczników wyzwalanych przez zdarzenia lub ręcznego uruchamiania podręcznika w określonym zdarzeniu.

Oprócz własnych ról i uprawnień, konto służbowe Microsoft Sentinel powinno mieć przypisany zestaw uprawnień do grupy zasobów, w której znajduje się plan działań, w formie roli Współautor automatyzacji usługi Microsoft Sentinel. Gdy usługa Microsoft Sentinel ma tę rolę, może uruchomić dowolny podręcznik w odpowiedniej grupie zasobów, ręcznie lub z reguły automatyzacji.

Aby przyznać usłudze Microsoft Sentinel wymagane uprawnienia, musisz mieć rolę właściciela lub administratora dostępu użytkownika. Aby uruchomić podręczniki, musisz również mieć rolę Współautor aplikacji logiki w grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

Zatrzymywanie potencjalnie naruszonych użytkowników

Zespoły SOC chcą upewnić się, że potencjalnie naruszone zabezpieczenia użytkowników nie mogą poruszać się po sieci i kraść informacje. Zalecamy utworzenie automatycznej, wielowymiarowej odpowiedzi na zdarzenia generowane przez reguły, które wykrywają naruszone zabezpieczenia użytkowników w celu obsługi takich scenariuszy.

Skonfiguruj regułę automatyzacji i księgę zadań, aby korzystać z następującego przepływu:

  1. Zdarzenie jest tworzone dla potencjalnie naruszonego użytkownika, a reguła automatyzacji jest wyzwalana w celu wywołania podręcznika.

  2. Podręcznik otwiera bilet w systemie obsługi biletów IT, na przykład ServiceNow.

  3. Podręcznik wysyła również komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack, aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

  4. Podręcznik wysyła również wszystkie informacje dotyczące incydentu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail zawiera przyciski opcji dla użytkownika: Blokuj i Ignoruj.

  5. Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.

    • Jeśli administratorzy wybiorą pozycję Blokuj, skrypt wysyła polecenie do Microsoft Entra ID, aby wyłączyć użytkownika, oraz drugie do zapory, aby zablokować adres IP.

    • Jeśli administratorzy wybiorą pozycję Ignoruj, plan działania zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.

Poniższy zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia tego przykładowego podręcznika:

Zrzut ekranu aplikacji Logic przedstawiający akcje i warunki tego planu.