Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów
Szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy automatyzacji dla usługi Microsoft Sentinel, który można dostosować do Twoich potrzeb. Szablony mogą również służyć jako dokumentacja najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji.
Szablony podręczników nie są samymi aktywnymi podręcznikami i musisz utworzyć kopię edytowalną dla Twoich potrzeb.
Wiele szablonów podręczników jest opracowywanych przez społeczność usługi Microsoft Sentinel, niezależnych dostawców oprogramowania (ISV) i własnych ekspertów firmy Microsoft w oparciu o popularne scenariusze automatyzacji używane przez centra operacji zabezpieczeń na całym świecie.
Ważne
Szablony podręczników są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
Aby utworzyć podręczniki i zarządzać nimi, musisz mieć dostęp do usługi Microsoft Sentinel z jedną z następujących ról platformy Azure:
- Współautor aplikacji logiki, aby edytować aplikacje logiki i zarządzać nimi
- Operator aplikacji logiki, aby odczytywać, włączać i wyłączać aplikacje logiki
Aby uzyskać więcej informacji, zobacz Wymagania wstępne podręcznika usługi Microsoft Sentinel.
Zalecamy przeczytanie podręczników usługi Azure Logic Apps for Microsoft Sentinel przed utworzeniem podręcznika.
Uzyskiwanie dostępu do szablonów podręczników
Uzyskaj dostęp do szablonów podręczników z następujących źródeł:
Lokalizacja | opis |
---|---|
Strona automatyzacji usługi Microsoft Sentinel | Karta Szablony podręczników zawiera listę wszystkich zainstalowanych podręczników. Utwórz co najmniej jeden aktywny podręcznik przy użyciu tego samego szablonu. Po opublikowaniu nowej wersji szablonu wszystkie aktywne podręczniki utworzone na podstawie tego szablonu mają dodatkową etykietę dodaną na karcie Aktywne podręczniki , aby wskazać, że aktualizacja jest dostępna. |
Strona centrum zawartości usługi Microsoft Sentinel | Szablony podręczników są dostępne jako część rozwiązań produktów lub zawartości autonomicznej zainstalowanej z centrum zawartości. Aby uzyskać więcej informacji, zobacz: Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią |
GitHub | Repozytorium GitHub usługi Microsoft Sentinel zawiera wiele innych szablonów podręczników. Wybierz pozycję Wdróż na platformie Azure , aby wdrożyć szablon w ramach subskrypcji platformy Azure. |
Technicznie szablon podręcznika jest szablonem usługi Azure Resource Manager (ARM), który składa się z kilku zasobów: przepływu pracy usługi Azure Logic Apps i połączeń interfejsu API dla każdego zaangażowanego połączenia.
Ten artykuł koncentruje się na wdrażaniu szablonu podręcznika na karcie Szablony podręczników w obszarze Automatyzacja.
Eksplorowanie szablonów podręczników
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Centrum zawartości zarządzania zawartością>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>
Na stronie Centrum zawartości wybierz pozycję Typ zawartości, aby filtrować element Playbook. Ten filtrowany widok zawiera listę wszystkich rozwiązań i zawartości autonomicznej zawierającej co najmniej jeden szablon podręcznika. Zainstaluj rozwiązanie lub zawartość autonomiczną, aby pobrać szablon.
Następnie wybierz kartę Szablony podręczników usługi Configuration>Automation>, aby wyświetlić zainstalowane szablony. Na przykład:
Aby znaleźć szablon podręcznika pasujący do Twoich wymagań, przefiltruj listę według następujących kryteriów:
Filtr | opis |
---|---|
Wyzwalacz | Filtruj według sposobu wyzwalania podręcznika, w tym zdarzeń, alertów lub jednostek. Aby uzyskać więcej informacji, zobacz Obsługiwane wyzwalacze usługi Microsoft Sentinel. |
Łączniki usługi Logic Apps | Filtruj według usług zewnętrznych, z którymi współdziałają podręczniki. Podczas procesu wdrażania każdy łącznik musi przyjąć tożsamość do uwierzytelniania w usłudze zewnętrznej. |
Encje | Filtruj według typów jednostek, których oczekuje podręcznik w zdarzeniu. Na przykład podręcznik, który nakazuje zaporze zablokowanie adresu IP, oczekuje znalezienia adresów IP w incydencie. Takie zdarzenia mogą być tworzone przez regułę analizy ataków siłowych. |
Tagi | Filtruj według etykiet zastosowanych do podręcznika, odnoszących się do podręcznika do określonego scenariusza lub wskazując specjalne cechy. Na przykład: . - Wzbogacanie — podręczniki pobierające informacje z innej usługi w celu dodania kontekstu do zdarzenia. Te informacje są zwykle dodawane jako komentarz do zdarzenia lub wysyłane do SOC. - Korygowanie — podręczniki, które podejmują działania dotyczące jednostek, których dotyczy problem, aby wyeliminować potencjalne zagrożenie. - Synchronizacja — podręcznik, który pomaga zachować usługę zewnętrzną, taką jak usługa zarządzania zdarzeniami, zaktualizowana o właściwości zdarzenia. - Powiadomienie — podręczniki wysyłające wiadomość e-mail lub wiadomość. - Odpowiedź z usługi Teams — podręczniki, które umożliwiają analitykom wykonywanie ręcznej akcji z usługi Teams przy użyciu kart interaktywnych. |
Na przykład:
Dostosowywanie podręcznika na podstawie szablonu
W tej procedurze opisano sposób wdrażania szablonów podręczników i można je powtórzyć w celu utworzenia wielu podręczników na podstawie tego samego szablonu.
Chociaż większość szablonów podręczników może być używana w miarę ich działania, zalecamy dostosowanie ich zgodnie z potrzebami w celu dopasowania podręcznika do potrzeb SOC.
Na karcie Szablony podręczników wybierz podręcznik, od których chcesz rozpocząć.
Jeśli podręcznik ma jakiekolwiek wymagania wstępne, pamiętaj, aby postępować zgodnie z instrukcjami. Na przykład:
Niektóre podręczniki nazywają inne podręczniki jako akcje. Ten drugi podręcznik jest nazywany zagnieżdżonym podręcznikiem. W takim przypadku jednym z wymagań wstępnych jest najpierw wdrożenie zagnieżdżonego podręcznika.
Niektóre podręczniki wymagają wdrożenia niestandardowego łącznika usługi Logic Apps lub funkcji platformy Azure. W takich przypadkach istnieje link Deploy to Azure (Wdrażanie na platformie Azure ), który umożliwia przejście do ogólnego procesu wdrażania szablonu usługi ARM.
Wybierz pozycję Utwórz podręcznik , aby otworzyć kreatora tworzenia podręcznika na podstawie wybranego szablonu. Kreator ma cztery karty:
Podstawy: znajdź nowy podręcznik, który jest zasobem usługi Logic Apps i nadaj mu nazwę. Możesz użyć wartości domyślnej. Na przykład:
Parametry: wprowadź wartości specyficzne dla klienta, których używa podręcznik. Jeśli na przykład podręcznik wysyła wiadomość e-mail do SOC, zdefiniuj adres adresata. Jeśli podręcznik ma używany łącznik niestandardowy, musi zostać wdrożony w tej samej grupie zasobów i zostanie wyświetlony monit o wprowadzenie jego nazwy na karcie Parametry .
Karta Parametry jest wyświetlana tylko wtedy, gdy podręcznik ma parametry. Na przykład:
Połączenia: rozwiń każdą akcję, aby wyświetlić istniejące połączenia utworzone dla poprzednich podręczników. Możesz użyć istniejących połączeń lub utworzyć nowe. Na przykład:
Aby utworzyć nowe połączenie, wybierz pozycję Utwórz nowe połączenie po wdrożeniu. Ta opcja spowoduje przejście do projektanta usługi Logic Apps po zakończeniu procesu wdrażania.
Łączniki niestandardowe są wyświetlane według nazwy łącznika niestandardowego wprowadzonej na karcie Parametry .
W przypadku łączników obsługujących nawiązywanie połączenia za pomocą tożsamości zarządzanej, takich jak Usługa Microsoft Sentinel, tożsamość zarządzana jest domyślną metodą połączenia.
Aby uzyskać więcej informacji, zobacz Uwierzytelnianie podręczników w usłudze Microsoft Sentinel.
Przejrzyj i utwórz: wyświetl podsumowanie procesu i poczekaj na weryfikację danych wejściowych przed utworzeniem podręcznika.
Po wykonaniu kroków kreatora tworzenia podręcznika na końcu wykonasz projekt przepływu pracy nowego podręcznika w projektancie usługi Logic Apps. Na przykład:
Dla każdego wybranego łącznika utwórz nowe połączenie dla po wdrożeniu:
W menu nawigacji wybierz pozycję Połączenia interfejsu API, a następnie wybierz nazwę połączenia. Na przykład:
Wybierz pozycję Edytuj połączenie interfejsu API z menu nawigacji.
Wypełnij wymagane parametry i wybierz pozycję Zapisz. Na przykład:
Alternatywnie utwórz nowe połączenie z poziomu odpowiednich kroków w projektancie usługi Logic Apps:
Dla każdego wyświetlonego kroku z podpisem błędu wybierz go, aby rozwinąć, a następnie wybierz pozycję Dodaj nowy.
Uwierzytelnij się zgodnie z odpowiednimi instrukcjami. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie podręczników w usłudze Microsoft Sentinel.
Jeśli istnieją inne kroki korzystające z tego samego łącznika, rozwiń pola. Z wyświetlonej listy połączeń wybierz właśnie utworzone połączenie.
Jeśli wybrano użycie połączenia tożsamości zarządzanej dla usługi Microsoft Sentinel lub innych obsługiwanych połączeń, upewnij się, że udzielono uprawnień do nowego podręcznika w obszarze roboczym usługi Microsoft Sentinel lub odpowiednich zasobów docelowych dla innych łączników.
Zapisz podręcznik. Podręcznik zostanie wyświetlony na karcie Aktywne podręczniki .
Aby uruchomić podręcznik, ustaw automatyczną odpowiedź lub uruchom ją ręcznie. Aby uzyskać więcej informacji, zobacz Reagowanie na zagrożenia za pomocą podręczników usługi Microsoft Sentinel.
Zgłaszanie problemu w szablonie podręcznika
Aby zgłosić usterkę lub poprosić o ulepszenie podręcznika, wybierz link Obsługiwane przez w okienku szczegółów podręcznika. Jeśli jest to podręcznik obsługiwany przez społeczność, link spowoduje otwarcie problemu z usługą GitHub. W przeciwnym razie zostanie wyświetlona strona pomocy technicznej z informacjami na temat sposobu wysyłania opinii.