Реагирование на субъекты угроз при расследовании или охоте на угрозы в Microsoft Sentinel
В этой статье показано, как принять меры реагирования против субъектов угроз на месте во время расследования инцидентов или охоты на угрозы, без переключения или переключения контекста из расследования или охоты. Это можно сделать с помощью сборников схем на основе нового триггера сущности.
Триггер сущности в настоящее время поддерживает следующие типы сущностей:
Важно!
Триггер сущности в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Запуск сборников схем с триггером сущности
Когда вы расследуете инцидент и определяете, что определенная сущность — учетная запись пользователя, узел, IP-адрес, файл и т. д. — представляет угрозу, вы можете выполнить немедленные действия по исправлению этой угрозы, выполнив сборник схем по запросу. Вы также можете сделать это, если вы столкнулись с подозрительными сущностями при упреждающем поиске угроз за пределами контекста инцидентов.
Выберите сущность в любом контексте, который вы столкнулись, и выберите подходящие средства для запуска сборника схем, как показано ниже.
В мини-приложении "Сущности" на вкладке "Обзор" инцидента на новой странице сведений об инциденте (теперь в предварительной версии) или на вкладке "Сущности" выберите сущность из списка, выберите три точки рядом с сущностью и выберите команду Run Playbook (Preview) во всплывающем меню.
На вкладке "Сущности" инцидента выберите сущность из списка и щелкните ссылку run playbook (предварительная версия) в конце строки в списке.
На графике исследования выберите сущность и нажмите кнопку run playbook (предварительная версия) на боковой панели сущности.
На странице поведения сущности выберите сущность. На странице результирующей сущности нажмите кнопку Run Playbook (Preview) на левой панели.
Все они будут открывать сборник схем run на< панели типов> сущностей.
На любой из этих панелей вы увидите две вкладки: сборники схем и запуски.
На вкладке "Сборники схем" вы увидите список всех сборников схем, к которым у вас есть доступ, и которые используют триггер сущности Microsoft Sentinel для этого типа сущности (в данном случае учетные записи пользователей). Нажмите кнопку "Запустить" для сборника схем, которую вы хотите запустить немедленно.
Примечание.
Если вы не видите сборник схем, который вы хотите запустить в списке, это означает, что Microsoft Sentinel не имеет разрешений на запуск сборников схем в этой группе ресурсов (дополнительные сведения). Чтобы предоставить эти разрешения, выберите Параметры в главном меню, перейдите на вкладку Параметры, разверните элемент Разрешения для сборника схем и выберите Настройка разрешений. На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить.
Вы можете проверить действие сборников схем с триггером сущности на вкладке "Запуски ". Вы увидите список всех случаев запуска любой сборник схем в выбранной сущности. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Azure Logic Apps.
Следующие шаги
В этой статье вы узнали, как вручную запускать сборники схем для устранения угроз от сущностей в середине расследования инцидента или поиска угроз.
- Дополнительные сведения о расследовании инцидентов в Microsoft Sentinel.
- Дополнительные сведения см. в статье об упреждающем обнаружении угроз с помощью Microsoft Sentinel.
- Подробнее о сущностях в Microsoft Sentinel.
- Дополнительные сведения о сборниках схем в Microsoft Sentinel.