Руководство. Реагирование на угрозы с помощью сборников схем с правилами автоматизации в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этом учебнике описывается, как использовать сборники схем вместе с правилами автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности, обнаруженных Microsoft Sentinel. После изучения этого учебника вы сможете выполнять следующие задачи.

• Создание правила автоматизации
• Создание сборника схем
• Добавление действий в сборник схем
• Подключение сборника схем к правилу автоматизации или правилу аналитики для автоматизации реагирования на угрозы

Примечание.

В этом учебнике даны базовые рекомендации по выполнению основной задачи — автоматизации реагирования на инциденты. Дополнительные сведения см. в руководствах по автоматизации реагирования на угрозы с помощью сборников схем в Microsoft Sentinel и использованию триггеров и действий в сборниках схем в Microsoft Sentinel.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Общие сведения о правилах автоматизации и сборниках схем

Правила автоматизации помогают рассматривать инциденты в Microsoft Sentinel. Их можно использовать для автоматического назначения инцидентов нужному персоналу, закрытия мнимых инцидентов или известных ложноположительных результатов, изменения их серьезности и добавления тегов. Они также являются механизмом, с помощью которого можно запускать сборники схем в ответ на инциденты или оповещения.

Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответ, и его можно настроить автоматически при создании или обновлении определенных оповещений, при подключении к правилу автоматизации. Он также может выполняться вручную по запросу по конкретным инцидентам, оповещениям или сущностям.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps. Это означает, что вы получаете все функции, возможности настройки и встроенные шаблоны Logic Apps. Каждый сборник схем создается для конкретной подписки, к которой он принадлежит, но на экране Сборники схем отображаются все сборники схем, доступные в выбранных подписках.

Примечание.

Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Подробные сведения о ценах см. на странице цен на Azure Logic Apps.

Например, если вы хотите предотвратить доступ потенциально скомпрометированных пользователей к ресурсам сети и кражу информации, можно создать автоматизированный многоаспектный ответ на инциденты, созданные на основе правил обнаружения скомпрометированных пользователей. Начнем с создания сборника схем, выполняющего описанные ниже действия.

1. При вызове сборника схем правилом автоматизации, которое передает ему инцидент, сборник схем открывает запрос в ServiceNow или любой другой системе обработки запросов.

2. Он отправляет сообщение в ваш канал операций по обеспечению безопасности в Microsoft Teams или Slack, чтобы уведомить аналитиков системы безопасности об инциденте.

3. Он также отправляет все сведения в инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. В сообщении электронной почты будут включены кнопки "Блокировать " и "Игнорировать параметры пользователя".

4. Сборник схем ожидает получения ответа от администраторов, а затем переходит к следующим шагам.

5. Если администраторы выбирают блокировку, он отправляет команду в идентификатор Microsoft Entra, чтобы отключить пользователя, и один в брандмауэр, чтобы заблокировать IP-адрес.

6. Если администратор выбирает игнорировать, сборник схем закрывает инцидент в Microsoft Sentinel и запрос в ServiceNow.

Чтобы активировать сборник схем, вы создадите правило автоматизации, которое будет выполняться при создании таких инцидентов. В соответствии с этим правилом будут выполняться следующие действия:

1. Состояние инцидента будет изменено на Активно.

2. Инцидент будет назначен аналитику, отвечающему за управление инцидентами такого типа.

3. Будет добавлен тег "скомпрометированный пользователь".

4. Наконец, будет вызван только что созданный сборник схем. (Для этого шага требуются специальные разрешения.)

Сборники схем можно запускать автоматически в ответ на инциденты, создав правила автоматизации, вызывающие такие сборники в качестве действий, как в приведенном выше примере. Они также могут запускаться автоматически в ответ на предупреждения, если в правиле аналитики предусмотрено автоматическое выполнение одного или нескольких сборников схем при создании предупреждения.

При этом можно также выбрать запуск сборника схем вручную по запросу в ответ на выбранное предупреждение.

Ознакомьтесь с более полным и подробным введением в автоматизацию реагирования на угрозы с помощью правил автоматизации и сборников схем в Microsoft Sentinel.

Создание сборника схем

Чтобы создать сборник схем в Microsoft Sentinel, сделайте следующее.

Портал Azure

Портал Defender

1. Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.

2. В верхнем меню щелкните Создать.

3. Раскрывающееся меню, которое отображается в разделе "Создание" , предоставляет четыре варианта создания сборников схем:

   1. Если вы создаете стандартный сборник схем (новый вид — см. типы приложений логики), выберите пустой сборник схем, а затем выполните действия на вкладке "Стандартный" logic Apps ниже.

   2. Если вы создаете сборник схем потребления (исходный, классический тип), то в зависимости от того, какой триггер вы хотите использовать, выберите сборник схем с триггером инцидента, сборник схем с триггером оповещения или сборник схем с триггером сущности. Затем перейдите к инструкциям на вкладке Приложения логики категории "Потребление" ниже.

      Дополнительные сведения об используемом триггере см. в разделе "Использование триггеров и действий" в сборниках схем Microsoft Sentinel.

Приложения логики категории "Потребление"

Подготовка сборника схем и приложения логики

Независимо от того, какой триггер вы выбрали для создания сборника схем на предыдущем шаге, откроется мастер создания сборника схем.

1. На вкладке Основные сведения задайте следующие параметры:

   1. Выберите подписку, группу ресурсов и регион из соответствующих раскрывающихся списков. Выбранный регион — это место, в котором будут храниться сведения о вашем приложении логики.

   2. Введите название сборника схем в поле Имя сборника схем.

   3. Если вы хотите отслеживать действие этого сборника схем в целях диагностики, установите флажок Включить журналы диагностики в анализе журналов и выберите рабочую область Log Analytics из раскрывающегося списка.

   4. Если сборники схем нуждаются в доступе к защищенным ресурсам, которые находятся внутри или подключены к виртуальной сети Azure, может потребоваться использовать среду службы интеграции (ISE). В этом случае установите флажок Связь со средой службы интеграции и выберите нужную среду из раскрывающегося списка.

   5. Выберите Далее: подключения >.

2. На вкладке Подключения:

   Лучше всего будет оставить этот раздел без изменений и настроить Logic Apps для подключения к Microsoft Sentinel с использованием управляемого удостоверения. Узнайте об этом и других вариантах проверки подлинности.

   Нажмите Далее: проверка и создание >.

3. На вкладке Проверка и создание:

   Просмотрите выбранные параметры конфигурации и выберите Создать конструктор и перейти в него.

4. Создание и развертывание сборника схем займет несколько минут, после чего появится сообщение "Развертывание завершено" и вы перейдете в конструктор приложений логики нового сборника схем. Триггер, выбранный в начале, будет автоматически добавлен в качестве первого шага, и вы можете продолжить проектирование рабочего процесса.

   

   Если вы выбрали триггер сущности Microsoft Sentinel (предварительная версия), выберите тип сущности, которую вы хотите получить в качестве входных данных.

   

Приложения логики категории "Стандартные"

Подготовка приложения логики и рабочего процесса

Чтобы приступить к созданию стандартного сборника схем приложений логики, выполните три действия:

1. Создайте приложение логики.
2. Создайте рабочий процесс (это фактический сборник схем).
3. Выберите триггер.

Создание приложения логики

После выбора пустого сборника схем откроется новая вкладка браузера и мастер создания приложения логики.

1. На вкладке Основные сведения задайте следующие параметры:

   1. Выберите подписку и группу ресурсов из соответствующих раскрывающихся списков.

   2. Введите имя приложения логики. Для параметра Опубликовать выберите Рабочий процесс. Выберите регион, в котором нужно развернуть приложение логики.

   3. В качестве типа плана выберите Стандартный.

   4. Выберите Далее: Размещение >.

2. На вкладке Размещение:

   1. В качестве типа хранилища выберите Служба хранилища Azure и выберите или создайте учетную запись службы хранилища.

   2. Выберите План Windows.

3. Выберите Далее: Мониторинг >.

4. На вкладке Наблюдение:

   1. Если вы хотите включить мониторинг производительности в Azure Monitor для этого приложения, оставьте переключатель в положении "Да". В противном случае измените его положение на "Нет".

      Примечание.

      Этот мониторинг не является необходимым для Microsoft Sentinel и оплачивается дополнительно.

   2. При необходимости выберите Далее: Теги >, чтобы применить теги к этому приложению логики для классификации ресурсов и выставления счетов. В противном случае нажмите кнопку Просмотр и создание.

5. На вкладке Просмотр и создание сделайте следующее:

   Просмотрите выбранные параметры конфигурации и нажмите кнопку Создать.

6. Создание и развертывание сборника схем займет несколько минут, в течение которых будут отображаться сообщения о развертывании. В конце откроется последний экран развертывания с сообщением "Развертывание завершено".

   Выберите Перейти к ресурсу. Вы перейдете на главную страницу нового приложения логики.

   В отличие от классических сборников схем на основе потребления, на этом процесс не завершен. Теперь необходимо создать рабочий процесс.

Создание рабочего процесса (сборник схем)

1. Выберите Рабочие процессы в меню навигации на странице приложения логики.

2. Нажмите кнопку + Добавить на панели кнопок в верхней части (чтобы кнопка стала активной, может потребоваться несколько секунд).

3. Откроется панель Новый рабочий процесс. Введите имя веб-приложения.

4. В разделе Тип состояния выберите С отслеживанием состояния.

   Примечание.

   В настоящее время Microsoft Sentinel не поддерживает использование рабочих процессов без отслеживания состояния в качестве сборников схем.

5. Нажмите кнопку создания. Рабочий процесс будет сохранен и появится в списке рабочих процессов в приложении логики. Выберите рабочий процесс.

6. Откроется страница рабочего процесса. На ней вы увидите все сведения о своем рабочем процессе, в том числе о расписании запуска. В меню навигации выберите Конструктор.

7. Откроется экран конструктора, и вам сразу будет предложено добавить триггер и продолжить проектирование рабочего процесса.

   

Выбор триггера

1. Откройте вкладку Azure и введите Sentinel в строке поиска.

2. На вкладке "Триггеры" ниже вы увидите три триггера, предлагаемые Microsoft Sentinel:

   • Оповещение Microsoft Sentinel (предварительная версия)
   • Сущность Microsoft Sentinel (предварительная версия)
   • Инцидент Microsoft Sentinel (предварительная версия)

   Выберите триггер, соответствующий типу создаваемого вами сборника схем.

   

   Если вы выбрали триггер сущности Microsoft Sentinel (предварительная версия), выберите тип сущности, которую вы хотите получить в качестве входных данных.

   

Примечание.

При выборе триггера или любого последующего действия вам будет предложено пройти проверку подлинности в зависимости от того, с каким поставщиком ресурсов вы взаимодействуете. В этом случае поставщиком является Microsoft Sentinel. Существует несколько подходов к проверке подлинности. Дополнительные сведения и инструкции см. в статье Аутентификация сборников схем в Microsoft Sentinel.

Дополнительные сведения о том, какой триггер следует использовать, см. в статье Использование триггеров и действий в сборниках схем Microsoft Sentinel.

Добавление действий

Теперь можно определить, что произойдет при активации сборника схем. Чтобы добавить действия, логические условия, циклы или условия для оператора switch, выберите Новый шаг. При выборе этого варианта в конструкторе открывается новый фрейм, где можно выбрать систему или приложение для взаимодействия или условие, которое необходимо задать. Введите имя системы или приложения в строке поиска в верхней части фрейма, а затем выберите один из доступных результатов.

На каждом из этих шагов при щелчке в любом поле отображается панель с двумя меню: Динамическое содержимое и Выражение. В меню Динамическое содержимое можно добавить ссылки на атрибуты предупреждения или инцидента, которые были переданы в сборник схем, в том числе значения и атрибуты всех сопоставленных сущностей и настраиваемые сведения в оповещении или инциденте. С помощью меню Выражение можно добавить дополнительную логику к шагам, выбрав необходимые элементы из большой библиотеки функций.

На этом снимке экрана показаны действия и условия, которые можно добавить при создании сборника схем, описанного в примере в начале этого документа. Узнайте больше о добавлении действий в сборники схем.

Дополнительные сведения о действиях, которые можно добавить в сборники схем Microsoft Sentinel, см . в разделе "Использование триггеров и действий" в сборниках схем Microsoft Sentinel.

В частности, обратите внимание на эти важные сведения о сборниках схем на основе триггера сущности в контексте, отличном от инцидентов.

Автоматизация реагирования на угрозы

Вы создали сборник схем и определили триггер, установили условия, а также задали действия, которые он будет выполнять, и выходные данные, которые он будет создавать. Теперь необходимо определить условия, при которых он будет выполняться, и настроить механизм автоматизации, который будет запускать его при выполнении этих условий.

Реагирование на инциденты и оповещения

Чтобы использовать сборник схем для автоматического реагирования на весь инцидент или отдельное оповещение, создайте правило автоматизации, которое будет выполняться при создании или обновлении инцидента или при создании оповещения. Это правило автоматизации будет включать шаг, который вызывает сборник схем, который вы хотите использовать.

Чтобы создать правило автоматизации, выполните следующие действия.

1. На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать" в верхнем меню, а затем правило автоматизации.

   

2. Откроется панель Create new automation rule (Создание правила автоматизации). Введите имя правила.

   Параметры отличаются в зависимости от того, подключена ли рабочая область к единой платформе операций безопасности. Например:

   Подключенные рабочие области

   

   Рабочие области, которые не подключены

   

3. Триггер: выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации: при создании инцидента, при обновлении инцидента или при создании оповещения.

4. Условия.

   1. Если рабочая область еще не подключена к единой платформе операций безопасности, инциденты могут иметь два возможных источника:

      • Инциденты можно создать внутри Microsoft Sentinel
      • Инциденты можно импортировать из (и синхронизировать с) XDR в Microsoft Defender.

      Если вы выбрали один из триггеров инцидентов и хотите, чтобы правило автоматизации ввелось только на инциденты, которые были источником в Microsoft Sentinel или в XDR в Microsoft Defender, укажите источник в условии, если поставщик инцидентов равен условию.

      Это условие будет отображаться только в том случае, если выбран триггер инцидента, и ваша рабочая область не подключена к единой платформе операций безопасности.

   2. Для всех типов триггеров, если требуется, чтобы правило автоматизации действовало только в определенных правилах аналитики, укажите, какие из них можно изменить, изменив имя правила If Analytics, содержащее условие.

   3. Добавьте любые другие условия, которые необходимо определить, будет ли выполняться это правило автоматизации. Выберите +Добавить и выберите условия или группы условий из раскрывающегося списка. Список условий заполняется сведениями о предупреждении и полями идентификаторов сущностей.

5. Действия:

   1. Так как вы используете это правило автоматизации для запуска сборника схем, выберите действие run playbook из раскрывающегося списка. Затем появится запрос на выбор из второго раскрывающегося списка, где отображаются доступные сборники схем. Правило автоматизации может запускать только те сборники схем, которые начинаются с того же триггера (инцидента или оповещения), что и триггер, определенный в правиле, поэтому в списке будут отображаться только те сборники схем.

      Внимание

      Microsoft Sentinel должен предоставлять явные разрешения, чтобы запускать сборники схем вручную или из правил автоматизации. Если сборник схем в раскрывающемся списке неактивен, это означает, что у Sentinel нет разрешения на доступ к группе ресурсов этого сборника. Щелкните ссылку Manage playbook permissions (Управление разрешениями для сборника схем), чтобы назначить разрешения.

      На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и нажмите кнопку Применить.

      

      • Вы сами должны иметь разрешения владельца в любой группе ресурсов, для которой вы хотите предоставить разрешения Microsoft Sentinel. У вас также должна быть роль участника приложения логики в любой группе ресурсов, содержащей сборники схем, которые нужно запустить.

      • Если при развертывании с несколькими арендаторами сборник схем, который нужно запустить, находится в другом клиенте, необходимо предоставить Microsoft Sentinel разрешение на запуск сборника схем в том арендаторе, где расположен этот сборник.

        1. В меню навигации Microsoft Sentinel в арендаторе сборника схем выберите Параметры.
        2. В колонке Параметры выберите вкладку Параметры, а затем — расширитель разрешений сборника схем.
        3. Нажмите кнопку Настройка разрешений, чтобы открыть панель Управление разрешениями, упомянутую выше, а затем выполните описанные здесь действия.

      • Если в рамках сценария MSSP требуется выполнить сборник схем на арендаторе заказчика из правила автоматизации, созданного при входе на арендатор поставщика услуг, необходимо предоставить Microsoft Sentinel разрешение для выполнения сборника схем на обоих арендаторах. На арендаторе клиента следуйте инструкциям для развертываний с несколькими клиентами, приведенных в предыдущем пункте. В клиенте поставщика услуг необходимо добавить приложение azure Security Аналитика в шаблон подключения Azure Lighthouse:

        1. На портале Azure перейдите к идентификатору Microsoft Entra.
        2. Выберите Корпоративные приложения.
        3. Выберите Тип приложения и фильтр Приложения Майкрософт.
        4. В поле поиска введите Azure Security Insights.
        5. Скопируйте поле Идентификатор объекта. Необходимо добавить эту дополнительную авторизацию в существующее делегирование Azure Lighthouse.

        Роль участника службы автоматизации Microsoft Sentinel имеет фиксированный идентификатор GUID, для которого установлено значение f4c81013-99ee-4d62-a7ee-b3f1f648599a. Пример авторизации Azure Lighthouse в шаблоне параметров будет иметь следующий вид.

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Добавьте другие действия, которые вы хотите выполнить для этого правила. Порядок выполнения действий можно изменить, выбрав стрелки вверх или вниз справа от любого действия.

6. Задайте дату истечения срока действия правила автоматизации, если это необходимо.

7. Введите число в разделе Порядок, чтобы определить, где в последовательности правил автоматизации будет выполняться это правило.

8. Выберите Применить. Готово!

Узнайте о других способах создания правил автоматизации.

Реагирование на оповещения — устаревший метод

Еще одним способом автоматического запуска сборников схем в ответ на оповещения являются вызовы из правила аналитики. Когда правило создает оповещение, сборник схем запускается.

Этот метод будет нерекомендуем по состоянию на март 2026 года.

Начиная с июня 2023 года, вы больше не можете добавлять сборники схем в правила аналитики таким образом. Однако вы по-прежнему видите существующие сборники схем, вызываемые из правил аналитики, и эти сборники схем по-прежнему будут работать до марта 2026 года. Перед этим настоятельно рекомендуется создавать правила автоматизации для вызова этих сборников схем.

Выполнение сборника схем по запросу

Вы также можете вручную запустить сборник схем по запросу, будь то в ответ на оповещения, инциденты (в предварительной версии) или сущности (также в предварительной версии). Это может быть полезно в тех ситуациях, когда требуется больше сотрудников для ввода данных и управления процессами оркестрации и реагирования.

Запуск сборника схем в оповещении вручную

Эта процедура не поддерживается на унифицированной платформе операций безопасности.

В портал Azure выберите одну из следующих вкладок, как это необходимо для вашей среды:

Страница сведений об инциденте NEW

1. На странице Инциденты выберите инцидент.

   В портал Azure выберите "Просмотреть полные сведения" в нижней части области сведений об инциденте, чтобы открыть страницу сведений об инциденте.

2. На странице сведений об инциденте в мини-приложении "Инцидент" временная шкала выберите оповещение, в которое нужно запустить сборник схем. Выберите три точки в конце строки оповещения и выберите команду "Запустить сборник схем" во всплывающем меню.

   

3. Откроется панель Сборники схем оповещения. Вы увидите список всех сборников схем, настроенных с помощью триггера Logic Apps Microsoft Sentinel Alert, к которому у вас есть доступ.

4. Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.

График исследования

1. На странице Инциденты выберите инцидент.

   В портал Azure выберите "Просмотреть полные сведения" в нижней части области сведений об инциденте, чтобы открыть страницу сведений об инциденте.

2. На странице сведений об инциденте перейдите на вкладку Оповещения, выберите предупреждение, для которого нужно запустить сборник схем, и выберите Просмотреть сборники схем в конце строки оповещения.

3. Откроется панель Сборники схем оповещения. Вы увидите список всех сборников схем, настроенных с помощью триггера Logic Apps Microsoft Sentinel Alert, к которому у вас есть доступ.

4. Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.

Журнал выполнения для сборника схем можно просмотреть в оповещении, выбрав вкладку Запуски в области Сборники схем оповещения. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе конкретной операции запуска открывается полный журнал запуска в Logic Apps.

Запуск сборника схем вручную в инциденте (предварительная версия)

Эта процедура отличается в зависимости от того, работаете ли вы в Microsoft Sentinel или на платформе унифицированных операций безопасности. Выберите соответствующую вкладку для вашей среды:

Портал Azure

1. На странице Инциденты выберите инцидент.

2. В области сведений об инциденте, отображаемой справа, выберите Действия > Запуск сборника схем (предварительная версия).
   (Выбрав три точки в конце строки инцидента в таблице или щелкнув инцидент правой кнопкой мыши, вы увидите тот же список, что и в случае нажатия кнопки Действия.)

3. Справа откроется панель Запуск сборника схем для инцидента. Вы увидите список всех сборников схем, настроенных с помощью триггера Logic Apps Microsoft Sentinel Incident, к которому у вас есть доступ.

   Если вы не увидите нужный сборник схем в списке, то у Microsoft Sentinel нет разрешений на запуск сборников схем в этой группе ресурсов (см. примечание выше).

   Чтобы предоставить эти разрешения, выберите Параметры> Параметры> Playbook, чтобы>настроить разрешения. На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить.

4. Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.

   У вас должна быть роль оператора сборника схем Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые требуется запустить. Если вы не можете запустить сборник схем из-за отсутствия разрешений, рекомендуется обратиться к администратору, чтобы предоставить вам соответствующие разрешения. Дополнительные сведения см. в разделе "Разрешения", необходимые для работы с сборниками схем.

Портал Microsoft Defender

1. На странице Инциденты выберите инцидент.

2. В области сведений об инциденте, которая отображается справа, выберите "Запустить сборник схем".

3. Сборник схем Run на панели инцидентов открывается справа с всеми связанными сборниками схем для выбранного инцидента. В столбце "Действие " выберите "Выполнить сборник схем" для сборника схем, которые необходимо запустить немедленно.

Столбец "Действия" также может отображать одно из следующих состояний:

Состояние	Описание и действие, необходимые
Отсутствующие разрешения	У вас должна быть роль оператора сборника схем Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые требуется запустить. Если у вас отсутствуют разрешения, рекомендуется обратиться к администратору, чтобы предоставить вам соответствующие разрешения. Дополнительные сведения см. в разделе "Разрешения", необходимые для работы с сборниками схем.
Предоставление разрешения	Microsoft Sentinel отсутствует роль участника службы автоматизации Microsoft Sentinel, которая требуется для запуска сборников схем по инцидентам. В таких случаях выберите "Предоставить разрешение" , чтобы открыть панель "Управление разрешениями ". Область "Управление разрешениями " фильтруется по умолчанию в выбранной группе ресурсов сборника схем. Выберите группу ресурсов и нажмите кнопку "Применить ", чтобы предоставить необходимые разрешения. Вы должны быть владельцем или администратором доступа пользователей в группе ресурсов, которой требуется предоставить разрешения Microsoft Sentinel. Если у вас отсутствуют разрешения, группа ресурсов неактивна, и вы не сможете выбрать ее. В таких случаях рекомендуется обратиться к администратору, чтобы предоставить вам соответствующие разрешения. Дополнительные сведения см. в приведенной выше заметке.

Просмотрите журнал выполнения сборников схем в инциденте, выбрав вкладку "Запуски " на панели схем запуска на панели инцидентов . На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе конкретной операции запуска открывается полный журнал запуска в Logic Apps.

Запуск сборника схем вручную для сущности (предварительная версия)

Эта процедура не поддерживается на унифицированной платформе операций безопасности.

1. Выберите сущность одним из следующих способов в зависимости от исходного контекста:

   Если вы находитесь на странице сведений об инциденте (новая версия):

   1. На вкладке "Обзор" мини-приложение "Сущности" найдите сущность из списка (не выбирайте ее).
   2. Выберите три точки справа от сущности.
   3. Выберите "Запустить сборник схем" (предварительная версия) во всплывающем меню и перейдите к шагу 2 ниже.
      Если вы выбрали сущность и ввели вкладку "Сущности" на странице сведений об инциденте, перейдите к следующей строке ниже.
   4. Найдите сущность из списка (не выбирайте ее).
   5. Выберите три точки справа от сущности.
   6. Выберите "Запустить сборник схем" (предварительная версия) во всплывающем меню.
      Если вы выбрали сущность и ввели ее страницу сущности, нажмите кнопку run playbook (preview) на панели слева.

   Если вы находитесь на странице сведений об инциденте (устаревшая версия):

   1. Перейдите на вкладку "Сущности инцидента".
   2. Найдите сущность из списка (не выбирайте ее).
   3. Выберите ссылку run playbook (предварительная версия) в конце строки в списке.
      Если вы выбрали сущность и ввели ее страницу сущности, нажмите кнопку run playbook (preview) на панели слева.

   Если вы находитесь на графике исследования:

   1. Выберите сущность в графе.
   2. Нажмите кнопку run playbook (предварительная версия) на боковой панели сущности.
      Для некоторых типов сущностей может потребоваться выбрать кнопку "Действия сущности" и в результирующем меню выберите "Запустить сборник схем " (предварительная версия)".

   Если вы упреждаете охоту на угрозы:

   1. На экране поведения сущности выберите сущность из списков на странице или найдите и выберите другую сущность.
   2. На странице сущности нажмите кнопку Run Playbook (Preview) на левой панели.

2. Независимо от контекста, из который вы пришли, приведенные выше инструкции будут открывать сборник схем run на< панели типов> сущностей. Вы увидите список всех сборников схем, к которым вы получили доступ с триггером Microsoft Sentinel Entity Logic Apps для выбранного типа сущности.

3. Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.

Журнал выполнения сборников схем на заданной сущности можно просмотреть, выбрав вкладку "Запуски" в сборнике схем Run на <панели типов> сущностей. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе конкретной операции запуска открывается полный журнал запуска в Logic Apps.

Следующие шаги

Из этого учебника вы узнали, как использовать сборники схем и правила автоматизации в Microsoft Sentinel для реагирования на угрозы.

• Дополнительные сведения об проверке подлинности сборников схем в Microsoft Sentinel
• Дополнительные сведения об использовании триггеров и действий в сборниках схем Microsoft Sentinel
• Дополнительные сведения см. в статье об упреждающем обнаружении угроз с помощью Microsoft Sentinel.