Создание сборников схем Microsoft Sentinel и управление ими

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответ, и может быть присоединен к правилу автоматизации для автоматического запуска при создании определенных оповещений или при создании или обновлении инцидентов. Сборники схем также можно запускать вручную по запросу по конкретным инцидентам, оповещениям или сущностям.

В этой статье описывается создание сборников схем Microsoft Sentinel и управление ими. Позже эти сборники схем можно подключить к правилам аналитики или правилам автоматизации или запускать их вручную в определенных инцидентах, оповещениях или сущностях.

Примечание.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps. Это означает, что вы получаете все функции, возможности настройки и встроенные шаблоны Logic Apps. Дополнительные расходы могут применяться. Подробные сведения о ценах см. на странице цен на Azure Logic Apps.

Внимание

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Чтобы создавать сборники схем и управлять ими, вам потребуется доступ к Microsoft Sentinel с одной из следующих ролей Azure:

• Участник приложения логики для редактирования приложений логики и управления ими
• Оператор приложения логики для чтения, включения и отключения приложений логики

Дополнительные сведения см. в статье о предварительных требованиях сборника схем Microsoft Sentinel.

Перед созданием сборников схем рекомендуется читать сборники схем Azure Logic Apps для Microsoft Sentinel.

Создание сборника схем

Чтобы создать сборник схем в Microsoft Sentinel, сделайте следующее.

1. Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.

   Портал Azure

   

   Портал Defender

   

2. В верхнем меню выберите "Создать", а затем выберите один из следующих параметров:

   1. Если вы создаете стандартный сборник схем, выберите пустой сборник схем, а затем выполните действия для типа приложения логики "Стандартный".

   2. Если вы создаете сборник схем потребления , выберите один из следующих параметров в зависимости от триггера, который вы хотите использовать, и выполните действия на вкладке "Потребление Logic Apps" ниже:

      • Сборник схем с триггером инцидента
      • Сборник схем с триггером генерации оповещений
      • Сборник схем с триггером сущности

   Дополнительные сведения см. в статье Поддерживаемые типы приложений логики и поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel.

Подготовка приложения логики сборника схем

Выберите одну из следующих вкладок, чтобы узнать, как создать приложение логики для сборника схем в зависимости от того, используете ли вы рабочий процесс потребления или стандартного рабочего процесса. Дополнительные сведения см. в разделе "Поддерживаемые типы приложений логики".

Потребление

Мастер создания сборников схем появляется после выбора триггера, который вы хотите использовать, включая инцидент, оповещение или триггер сущности. Например:

Сделайте следующее, чтобы создать сборник схем:

1. На вкладке Основные сведения задайте следующие параметры:

   1. Выберите подписку, группу ресурсов и регион из соответствующих раскрывающихся списков. Выбранный регион — это место хранения сведений о приложении логики.

   2. Введите название сборника схем в поле Имя сборника схем.

   3. Если вы хотите отслеживать действия этой сборника схем для диагностики, выберите в раскрывающемся списке "Включить диагностика журналы" в Log Analytics проверка и выберите рабочую область Log Analytics.

   4. Если сборники схем нуждаются в доступе к защищенным ресурсам, которые находятся внутри или подключены к виртуальной сети Azure, может потребоваться использовать среду службы интеграции (ISE). В этом случае выберите поле "Связать с средой службы интеграции" проверка и выберите соответствующую среду isE в раскрывающемся списке.

   5. Выберите Далее: подключения >.

2. На вкладке Подключение ions рекомендуется оставить значения по умолчанию, настроив Logic Apps для подключения к Microsoft Sentinel с управляемым удостоверением. Дополнительные сведения см. в сборниках схем проверки подлинности в Microsoft Sentinel.

   Нажмите кнопку "Далее". Просмотрите и создайте > его, чтобы продолжить.

3. На вкладке "Проверка и создание " просмотрите выбранные варианты конфигурации и выберите "Создать" и перейдите к конструктору.

   Сборник схем займет несколько минут, чтобы создать и развернуть его, после чего появится сообщение "Развертывание завершено" и вы перейдете в конструктор приложений логики новой книги схем. Выбранный в начале триггер автоматически добавляется в качестве первого шага, и вы можете продолжить разработку рабочего процесса.

   

4. Если вы выбрали триггер сущности Microsoft Sentinel, выберите тип сущности , которую вы хотите получить в качестве входных данных.

   

Стандартные

Так как сборники схем на основе рабочего процесса "Стандартный" не поддерживают шаблоны схем, необходимо сначала создать приложение логики, а затем создать сборник схем и, наконец, выбрать триггер для сборника схем.

После выбора параметра "Пустой сборник схем " откроется новая вкладка браузера с помощью мастера создания приложения логики. Например:

Создание приложения логики

1. На вкладке Основные сведения введите следующие данные.

   1. Выберите подписку и группу ресурсов из соответствующих раскрывающихся списков.
   2. Введите имя приложения логики. Для публикации выберите Рабочий процесс. Выберите регион, в котором нужно развернуть приложение логики.
   3. Для типа плана выберите "Стандартный".
   4. Выберите Далее: Размещение >.

2. На вкладке Размещение:

   1. Для типа служба хранилища выберите служба хранилища Azure и выберите или создайте учетную запись служба хранилища.
   2. Выберите план Windows.

3. На вкладке Наблюдение:

   1. Если вы хотите включить мониторинг производительности в Azure Monitor для этого приложения, оставьте переключатель на "Да". В противном случае переключите его на No.

      Примечание.

      Этот мониторинг не является необходимым для Microsoft Sentinel и оплачивается дополнительно.

   2. При необходимости нажмите кнопку Далее: теги > для применения тегов к этому приложению логики для классификации ресурсов и выставления счетов. В противном случае нажмите кнопку Просмотр и создание.

4. На вкладке "Просмотр и создание" просмотрите выбранные варианты конфигурации и нажмите кнопку "Создать".

   Сборник схем занимает несколько минут для создания и развертывания, в течение которого отображаются некоторые сообщения о развертывании. В конце процесса, который вы перейдете на окончательный экран развертывания, где отображается сообщение "Развертывание завершено".

5. Выберите Перейти к ресурсу. Вы перейдете на главную страницу нового приложения логики.

   В отличие от классических сборников схем на основе потребления, на этом процесс не завершен. Теперь необходимо создать рабочий процесс.

Создание рабочего процесса для сборника схем

1. На странице сведений о приложении логики > выберите "Рабочие процессы и добавить". Чтобы стать активным, может потребоваться несколько минут.

2. В появившейся области нового рабочего процесса:

   1. Введите понятное имя рабочего процесса.
   2. В разделе Тип состояния выберите С отслеживанием состояния. Microsoft Sentinel не поддерживает использование рабочих процессов без отслеживания состояния в качестве сборников схем.
   3. Нажмите кнопку создания.

   Рабочий процесс сохраняется и отображается в списке рабочих процессов в приложении логики.

3. Выберите новый рабочий процесс, чтобы продолжить и получить доступ к странице сведений о рабочем процессе. Здесь можно просмотреть все сведения о рабочем процессе, включая запись всех операций запуска.

4. На странице сведений о рабочем процессе выберите Конструктор.

5. Откроется страница конструктора , и вам будет предложено добавить триггер и продолжить проектирование рабочего процесса. Например:

   

Добавление триггера

1. На странице конструктора выберите вкладку Azure и введите Sentinel в поле поиска. На вкладке "Триггеры" показаны триггеры, поддерживаемые Microsoft Sentinel, включая:

   • Оповещение Microsoft Sentinel
   • Сущность Microsoft Sentinel
   • Инцидент Microsoft Sentinel

   Например:

   

2. Если выбрать триггер сущности Microsoft Sentinel, выберите тип сущности , которую вы хотите получить в качестве входных данных. Например:

   

Дополнительные сведения см. в статье "Поддерживаемые триггеры и действия" в сборниках схем Microsoft Sentinel.

Добавление действий в сборник схем

Теперь, когда у вас есть приложение логики, определите, что происходит при вызове сборника схем. Добавьте действия, логические условия, циклы или условия переключения, выбрав новый шаг. При выборе этого варианта в конструкторе открывается новый фрейм, где можно выбрать систему или приложение для взаимодействия или условие, которое необходимо задать. Введите имя системы или приложения в строке поиска в верхней части фрейма, а затем выберите один из доступных результатов.

В каждом из этих шагов, щелкнув любое поле, отобразит панель со следующими меню:

• Динамическое содержимое: добавьте ссылки на атрибуты оповещения или инцидента, переданные в сборник схем, включая значения и атрибуты всех сопоставленных сущностей и пользовательских сведений , содержащихся в оповещении или инциденте. Примеры использования динамического содержимого см. в следующих примерах:

  • Использование сборников схем сущностей без идентификатора инцидента
  • Работа с пользовательскими сведениями

• Выражение. Выберите из большой библиотеки функций, чтобы добавить в шаги дополнительную логику.

Дополнительные сведения см. в статье "Поддерживаемые триггеры и действия" в сборниках схем Microsoft Sentinel.

Запросы проверки подлинности

При выборе триггера или последующего действия вам будет предложено пройти проверку подлинности в любом поставщике ресурсов, с которым вы взаимодействуете. В этом случае поставщиком является Microsoft Sentinel, и есть несколько вариантов проверки подлинности. Дополнительные сведения см. в разделе:

• Проверка подлинности сборников схем в Microsoft Sentinel
• Поддерживаемые триггеры и действия в сборниках схем Microsoft Sentinel

Динамическое содержимое: использование сборников схем сущностей без идентификатора инцидента

Сборники схем, созданные с помощью триггера сущности, часто используют поле идентификатора ARM инцидента, например для обновления инцидента после принятия действий по сущности.

Если такой сборник схем активируется в контексте, не подключенном к инциденту, например при поиске угроз, нет инцидента, идентификатор которого может заполнить это поле. В этом случае поле заполняется значением NULL.

В результате сборник схем может завершиться сбоем. Чтобы предотвратить этот сбой, рекомендуется создать условие, которое проверка для значения в поле идентификатора инцидента перед выполнением каких-либо действий и назначить другой набор действий, если поле имеет значение NULL, то есть если сборник схем не выполняется из инцидента.

Выполните следующие действия:

1. Перед первым действием, ссылающимся на поле идентификатора ARM инцидента, добавьте шаг условия .

2. На стороне выберите поле "Выбрать значение ", чтобы ввести диалоговое окно "Добавить динамическое содержимое ".

3. Выберите идентификатор ARM инцидента (необязательно) и оператор не равен оператору .

4. Нажмите кнопку "Выбрать значение", чтобы ввести диалоговое окно "Добавить динамическое содержимое".

5. Выберите вкладку "Выражение" и функцию NULL .

Например:

Динамическое содержимое: работа с пользовательскими сведениями

Динамическое поле Настраиваемые сведения об оповещении, доступное в триггере инцидента, представляет собой массив объектов JSON, каждый из которых представляет собой настраиваемые сведения об оповещении. Пользовательские сведения — это пары "ключ-значение", которые позволяют отображать сведения из событий в оповещении, чтобы они могли быть представлены, отслеживаются и анализируются как часть инцидента.

Поскольку это поле в оповещении является настраиваемым, его схема зависит от типа события. Предоставьте данные из экземпляра этого события, чтобы создать схему, которая определяет, как выполняется анализ настраиваемого поля сведений.

Например:

В этих парах "ключ-значение":

• Ключ в левом столбце представляет создаваемые настраиваемые поля.
• Значение в правом столбце представляет поля из данных события, заполняющих настраиваемые поля.

Укажите следующий код JSON для создания схемы. В коде показаны имена ключей в виде массивов и значения в виде элементов в массивах. Значения отображаются как фактические значения, а не столбец, содержащий значения.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Чтобы использовать настраиваемые поля для триггеров инцидентов:

1. Добавьте новый шаг с помощью встроенного действия Анализировать JSON. Введите "parse json" в поле поиска , чтобы найти его, если вам нужно.

2. В списке Динамическое содержимое для триггера инцидента найдите и выберите пункт Настраиваемые сведения об оповещении. Например:

   

   При этом создается цикл для каждого цикла, так как инцидент содержит массив оповещений.

3. Выберите пример полезных данных Use для создания ссылки схемы . Например:

   

4. Укажите пример полезной нагрузки. Например, можно найти пример полезных данных, выполнив поиск в Log Analytics для другого экземпляра этого оповещения и копирования объекта пользовательской информации, найденного в разделе Расширенные свойства. Доступ к данным Log Analytics на странице "Журналы" на портал Azure или на странице расширенной охоты на портале Defender. На следующем снимке экрана мы использовали код JSON, показанный выше.

   

Настраиваемые поля готовы использовать в качестве динамических полей массива типов. Например, на следующем снимке экрана показан массив и его элементы, как в схеме, так и в списке, который отображается в динамическом содержимом, описанном в этом разделе:

Управление сборниками схем

Перейдите на вкладку "Сборники схем службы автоматизации > ", чтобы просмотреть все сборники схем, к которым у вас есть доступ, отфильтрованные в представлении подписки.

После подключения к единой платформе операций безопасности по умолчанию на вкладке "Активные сборники схем" отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure измените подписки, отображаемые в меню "Каталог + подписка" в заголовке глобальной страницы Azure.

Хотя на вкладке "Активные сборники схем" отображаются все активные сборники схем, доступные в любой выбранной подписке, по умолчанию сборник схем можно использовать только в подписке, к которой она принадлежит, если только вы не предоставляете разрешения Microsoft Sentinel группе ресурсов сборника схем.

На вкладке "Активные сборники схем" отображаются сборники схем со следующими сведениями:

Имя столбца	Description
Состояние	Указывает, включена ли или отключена сборник схем.
План	Указывает, использует ли сборник схем тип ресурса Azure Logic Apps уровня "Стандартный" или "Потребление". Сборники схем стандартного типа используют LogicApp/Workflow соглашение об именовании, которое отражает, как стандартный сборник схем представляет рабочий процесс, который существует вместе с другими рабочими процессами в одном приложении логики. Дополнительные сведения см. в сборниках схем Microsoft Sentinel в Azure Logic Apps.
Тип триггера	Указывает триггер Azure Logic Apps, который запускает этот сборник схем: - Инцидент Microsoft Sentinel/Alert/Entity: сборник схем запускается с одним из триггеров Sentinel, включая инциденты, оповещения или сущность - Использование действия Microsoft Sentinel: сборник схем запускается с триггера, отличного от Microsoft Sentinel, но использует действие Microsoft Sentinel - Другие: сборник схем не включает какие-либо компоненты Microsoft Sentinel - Не инициализирован: сборник схем был создан, но не содержит компонентов, ни активирует никаких действий.

Выберите сборник схем, чтобы открыть страницу Azure Logic Apps, которая содержит дополнительные сведения о сборнике схем. На странице Azure Logic Apps:

• Просмотр журнала всех времен запуска сборника схем
• Просмотр результатов выполнения, включая успехи и сбои и другие сведения
• Если у вас есть соответствующие разрешения, откройте конструктор рабочих процессов в Azure Logic Apps, чтобы изменить сборник схем напрямую.

Связанный контент

После создания сборника схем подключите его к правилам для активации событий в вашей среде или вручную запустите сборники схем для определенных инцидентов, оповещений или сущностей.

Дополнительные сведения см. в разделе:

• Автоматизация и запуск сборников схем Microsoft Sentinel
• Проверка подлинности сборников схем в Microsoft Sentinel
• Использование сборника схем Microsoft Sentinel для остановки потенциально скомпрометированных пользователей