Поделиться через

Создание и выполнение задач инцидентов в Microsoft Sentinel с помощью сборников схем

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье объясняется, как использовать сборники схем для создания и выполнения задач по инцидентам для управления сложными процессами рабочего процесса аналитика в Microsoft Sentinel.

Используйте действие Добавить задачу в сборнике схем в соединителе Microsoft Sentinel, чтобы автоматически добавить задачу в инцидент, который активировал сборник схем. Поддерживаются как стандартные, так и потребительские рабочие процессы.

Подсказка

Задачи инцидента могут создаваться автоматически не только по плейбукам, но и по правилам автоматизации, а также вручную, по ходу дела, из инцидента.

Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel".

Предпосылки

  • Роль Microsoft Sentinel Responder требуется для просмотра и редактирования инцидентов, что необходимо для добавления, просмотра и редактирования задач.

  • Роль участника Logic Apps необходима для создания и редактирования плейбуков.

Дополнительные сведения см. в предварительных требованиях плейбука Microsoft Sentinel.

Использование сборника схем для добавления задачи и ее выполнения

В этом разделе приведен пример процедуры добавления действия сборника схем, которое выполняет следующие действия:

  • Добавляет в инцидент задачу, сбрасывая скомпрометированный пароль пользователя
  • Добавлено еще одно действие сборника схем для отправки сигнала в Microsoft Entra ID Protection (AADIP) для фактического сброса пароля
  • Добавляет последнее действие сборника схем, чтобы отметить задачу в инциденте как завершенную.

Чтобы добавить и настроить эти действия, выполните следующие действия:

  1. В соединителе Microsoft Sentinel добавьте задачу Добавить в действие инцидента , а затем:

    1. Выберите элемент динамического содержимого Incident ARM ID в поле Incident ARM id .

    2. Введите Сброс пароля пользователя в качестве заголовка.

    3. Добавьте необязательное описание.

    Рассмотрим пример.

    На скриншоте показаны действия плейбука для добавления задачи по сбросу пароля пользователя.

  2. Добавьте действие Сущности — Получить учетные записи (предварительная версия). Добавьте элемент динамического содержимого "Сущности " (из схемы инцидента Microsoft Sentinel) в поле списка "Сущности ". Рассмотрим пример.

    На скриншоте показаны действия плейбука для получения сущностей учетной записи в инциденте.

  3. Добавьте цикл For each из библиотеки действий управления . Добавьте элемент динамического содержимого Учетные записи из выходных данных Сущности - Получить учетные записи в поле Выберите выходные данные из предыдущих шагов . Рассмотрим пример.

    На скриншоте показано, как добавить действие цикла for-each в сборник схем, чтобы выполнить действие с каждой обнаруженной учетной записью.

  4. В поле Для каждого цикла выберите Добавить действие. Затем сделайте следующее:

    1. Поиск и выбор соединителя Microsoft Entra ID Protection
    2. Выберите действие Подтвердить рискованного пользователя как скомпрометированного (предварительная версия).
    3. Добавьте элемент динамического содержимого Accounts Microsoft Entra user ID в поле userIds Item - 1 .

    Это действие запускает процессы в Microsoft Entra ID Protection для сброса пароля пользователя.

    На скриншоте показана отправка сущностей в AADIP для подтверждения компрометации.

    Замечание

    Поле «Учетные записи идентификатора пользователя Microsoft Entra» является одним из способов идентификации пользователя в AADIP. Это может быть не обязательно лучшим способом в каждом сценарии, но здесь мы приводим его просто в качестве примера.

    Если вам нужна помощь, обратитесь к другим сборникам схем, которые работают с скомпрометированными пользователями, или к документации по Microsoft Entra ID Protection.

  5. Добавьте действие Пометить задачу как завершенную из соединителя Microsoft Sentinel и добавьте элемент динамического содержимого Идентификатор задачи инцидента в поле Идентификатор задачи ARM . Рассмотрим пример.

    На снимке экрана показано, как добавить действие сборника схем, чтобы отметить задачу инцидента как завершенную.

Использование сборника схем для условного добавления задачи

В этом разделе приведен пример процедуры добавления действия сборника схем, которое исследует IP-адрес, отображаемый в инциденте.

  • Если результаты этого исследования показывают, что IP-адрес является вредоносным, сборник схем создает задачу для аналитика, чтобы отключить пользователя, использующего этот IP-адрес.
  • Если IP-адрес не является известным вредоносным адресом, сборник схем создает другую задачу, в которой аналитик должен связаться с пользователем для проверки действия.

Чтобы добавить и настроить эти действия, выполните следующие действия:

  1. В соединителе Microsoft Sentinel добавьте действие Сущности — получение IP-адресов . Добавьте элемент динамического содержимого "Сущности " (из схемы инцидента Microsoft Sentinel) в поле списка "Сущности ". Рассмотрим пример.

    На скриншоте показаны действия сборника схем для получения сущностей IP-адреса в инциденте.

  2. Добавьте цикл For each из библиотеки действий управления . Добавьте элемент динамического содержимого IPs из поля Сущности - Получить выходные данные в поле Выберите выходные данные из предыдущих шагов . Рассмотрим пример.

    На снимке экрана показано, как добавить действие цикла for-each в сборник схем, чтобы выполнить действие с каждым обнаруженным IP-адресом.

  3. В поле Для каждого цикла выберите Добавить действие, а затем:

    1. Найдите и выберите соединитель Общее количество вирусов .
    2. Выберите действие Получить отчет по IP-адресу (предварительная версия).
    3. Добавьте элемент динамического содержимого IPs Address из вывода Entities - Get IPs в поле IP Address .

    Рассмотрим пример.

    На скриншоте показана отправка запроса к отчету Virus Total for IP address.

  4. В поле Для каждого цикла выберите Добавить действие, а затем:

    1. Добавьте условие из библиотеки действий управления.
    2. Добавьте элемент Статистика последнего анализа Вредоносный динамический контент из выходных данных отчета Получить IP . Возможно, вам придется выбрать Посмотреть еще , чтобы найти его.
    3. Выберите оператор is greater than и введите в 0 качестве значения.

    Это условие задает вопрос: «Были ли результаты отчета о Virus Total IP?» Например:

    На снимке экрана показано, как задать условие true-false в сборнике схем.

  5. В параметре True выберите Добавить действие, а затем:

    1. Выберите действие Добавить задачу в инцидент в соединителе Microsoft Sentinel .
    2. Выберите элемент динамического содержимого Incident ARM ID в поле Incident ARM id .
    3. Введите Пометить пользователя как скомпрометированного , как и Заголовок.
    4. Добавьте необязательное описание.

    Рассмотрим пример.

    На снимке экрана показаны действия сборника схем для добавления задачи, чтобы пометить пользователя как скомпрометированного.

  6. В поле Ложь выберите Добавить действие, а затем:

    1. Выберите действие Добавить задачу в инцидент в соединителе Microsoft Sentinel .
    2. Выберите элемент динамического содержимого Incident ARM ID в поле Incident ARM id .
    3. Введите Свяжитесь с пользователем, чтобы подтвердить действие в качестве заголовка.
    4. Добавьте необязательное описание.

    Рассмотрим пример.

    На скриншоте показаны действия сборника схем для добавления задачи, чтобы пользователь подтвердил действие.

Связанный контент

Дополнительные сведения можно найти здесь

  • Last updated on