Självstudie: Svara på hot med hjälp av spelböcker med automatiseringsregler i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här självstudien visar hur du använder spelböcker tillsammans med automatiseringsregler för att automatisera incidenthantering och åtgärda säkerhetshot som identifierats av Microsoft Sentinel. När du har slutfört den här självstudien kommer du att kunna:

• Skapa en automatiseringsregel
• Skapa en spelbok
• Lägga till åtgärder i en spelbok
• Koppla en spelbok till en automatiseringsregel eller en analysregel för att automatisera hotsvar

Kommentar

Den här självstudien ger grundläggande vägledning för en toppkundsuppgift: att skapa automatisering för att sortera incidenter. Mer information finns i avsnittet Anvisningar, till exempel Automatisera hotsvar med spelböcker i Microsoft Sentinel och Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Vad är automatiseringsregler och spelböcker?

Automatiseringsregler hjälper dig att sortera incidenter i Microsoft Sentinel. Du kan använda dem för att automatiskt tilldela incidenter till rätt personal, stänga bullriga incidenter eller kända falska positiva identifieringar, ändra deras allvarlighetsgrad och lägga till taggar. De är också den mekanism som du kan använda för att köra spelböcker som svar på incidenter eller aviseringar.

Spelböcker är samlingar av procedurer som kan köras från Microsoft Sentinel som svar på en hel incident, till en enskild avisering eller till en specifik entitet. En spelbok kan hjälpa dig att automatisera och samordna ditt svar och kan ställas in att köras automatiskt när specifika aviseringar genereras eller när incidenter skapas eller uppdateras genom att kopplas till en automatiseringsregel. Det kan också köras manuellt på begäran på specifika incidenter, aviseringar eller entiteter.

Spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps, vilket innebär att du får all kraft, anpassningsbarhet och inbyggda mallar för Logic Apps. Varje spelbok skapas för den specifika prenumeration som den tillhör, men spelböckerna visar alla tillgängliga spelböcker i alla valda prenumerationer.

Kommentar

Eftersom spelböcker använder Azure Logic Apps kan ytterligare avgifter tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps .

Om du till exempel vill hindra potentiellt komprometterade användare från att flytta runt i nätverket och stjäla information kan du skapa ett automatiserat, mångfacetterat svar på incidenter som genereras av regler som identifierar komprometterade användare. Du börjar med att skapa en spelbok som utför följande åtgärder:

1. När spelboken anropas av en automatiseringsregel som skickar en incident öppnar spelboken en biljett i ServiceNow eller något annat IT-biljettsystem.

2. Den skickar ett meddelande till din säkerhetsåtgärdskanal i Microsoft Teams eller Slack för att se till att dina säkerhetsanalytiker är medvetna om incidenten.

3. Den skickar också all information i incidenten i ett e-postmeddelande till din högre nätverksadministratör och säkerhetsadministratör. E-postmeddelandet innehåller alternativknapparna Blockera och Ignorera användare.

4. Spelboken väntar tills ett svar tas emot från administratörerna och fortsätter sedan med nästa steg.

5. Om administratörerna väljer Blockera skickar det ett kommando till Microsoft Entra-ID för att inaktivera användaren och ett till brandväggen för att blockera IP-adressen.

6. Om administratörerna väljer Ignorera stänger spelboken incidenten i Microsoft Sentinel och biljetten i ServiceNow.

För att utlösa spelboken skapar du sedan en automatiseringsregel som körs när dessa incidenter genereras. Den regeln vidtar följande steg:

1. Regeln ändrar incidentstatusen till Aktiv.

2. Den tilldelar incidenten till den analytiker som har till uppgift att hantera den här typen av incident.

3. Den lägger till taggen "komprometterad användare".

4. Slutligen anropas spelboken som du nyss skapade. (Särskilda behörigheter krävs för det här steget.)

Spelböcker kan köras automatiskt som svar på incidenter genom att skapa automatiseringsregler som kallar spelböckerna som åtgärder, som i exemplet ovan. De kan också köras automatiskt som svar på aviseringar genom att uppmana analysregeln att automatiskt köra en eller flera spelböcker när aviseringen genereras.

Du kan också välja att köra en spelbok manuellt på begäran som svar på en vald avisering.

Få en mer fullständig och detaljerad introduktion till att automatisera hotsvar med hjälp av automatiseringsregler och spelböcker i Microsoft Sentinel.

Skapa en spelbok

Följ dessa steg för att skapa en ny spelbok i Microsoft Sentinel:

Azure-portalen

Defender-portalen

1. För Microsoft Sentinel i Azure-portalen väljer du sidan Konfigurationsautomatisering>. För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Automation.

2. Välj Skapa på den översta menyn.

3. Den nedrullningsbara menyn som visas under Skapa ger dig fyra alternativ för att skapa spelböcker:

   1. Om du skapar en Standard-spelbok (den nya typen – se Typer av logikappar) väljer du Tom spelbok och följer sedan stegen på fliken Logic Apps Standard nedan.

   2. Om du skapar en förbrukningsspelbok (den ursprungliga, klassiska typen) väljer du antingen Spelbok med incidentutlösare, Spelbok med aviseringsutlösare eller Spelbok med entitetsutlösare, beroende på vilken utlösare du vill använda. Fortsätt sedan att följa stegen på fliken Logic Apps-förbrukning nedan.

      Mer information om vilken utlösare som ska användas finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.

Logic Apps-förbrukning

Förbereda spelboken och logikappen

Oavsett vilken utlösare du valde att skapa din spelbok med i föregående steg visas guiden Skapa spelbok .

1. På fliken Grundläggande :

   1. Välj den prenumeration, resursgrupp och region som du väljer från respektive listruta. Den valda regionen är den region där logikappsinformationen lagras.

   2. Ange ett namn på din spelbok under Spelboksnamn.

   3. Om du vill övervaka den här spelbokens aktivitet för diagnostiska ändamål markerar du kryssrutan Aktivera diagnostikloggar i Log Analytics och väljer din Log Analytics-arbetsyta i listrutan.

   4. Om dina spelböcker behöver åtkomst till skyddade resurser som finns i eller är anslutna till ett virtuellt Azure-nätverk kan du behöva använda en integrationstjänstmiljö (ISE). Markera i så fall kryssrutan Associera med integrationstjänstens miljö och välj önskad ISE i listrutan.

   5. Välj Nästa: Anslut ions >.

2. På fliken Anslut ions:

   Vi rekommenderar att du lämnar det här avsnittet som det är och konfigurerar Logic Apps för att ansluta till Microsoft Sentinel med hanterad identitet. Lär dig mer om detta och andra autentiseringsalternativ.

   Välj Nästa: Granska och skapa >.

3. På fliken Granska och skapa :

   Granska de konfigurationsalternativ du har gjort och välj Skapa och fortsätt att skapa.

4. Det tar några minuter att skapa och distribuera din spelbok. Därefter visas meddelandet "Distributionen är klar" och du kommer att tas till logikappdesignern för den nya spelboken. Utlösaren som du valde i början har lagts till automatiskt som det första steget och du kan fortsätta att utforma arbetsflödet därifrån.

   

   Om du väljer utlösaren för Microsoft Sentinel-entitet (förhandsversion) väljer du den typ av entitet som du vill att spelboken ska ta emot som indata.

   

Logic Apps Standard

Förbereda logikappen och arbetsflödet

Det finns tre steg för att komma igång med att skapa en Logic Apps Standard-spelbok:

1. Skapa en logikapp.
2. Skapa ett arbetsflöde (det här är den faktiska spelboken).
3. Välj utlösaren.

Skapa en logikapp

Eftersom du har valt Tom spelbok öppnas en ny webbläsarflik och du kommer till guiden Skapa logikapp .

1. På fliken Grundläggande :

   1. Välj den prenumeration och resursgrupp som du väljer från respektive listruta.

   2. Ange ett namn för logikappen. För Publicera väljer du Arbetsflöde. Välj den region där du vill distribuera logikappen.

   3. För Plantyp väljer du Standard.

   4. Välj Nästa: Värd >.

2. På fliken Värd :

   1. För Lagringstyp väljer du Azure Storage och väljer eller skapar ett lagringskonto.

   2. Välj en Windows-plan.

3. Välj Nästa: Övervakning >.

4. På fliken Övervakning :

   1. Om du vill aktivera prestandaövervakning i Azure Monitor för det här programmet lämnar du växlingsknappen på Ja. Annars kan du växla till Nej.

      Kommentar

      Den här övervakningen krävs inte för Microsoft Sentinel och kommer att kosta dig extra.

   2. Om du vill kan du välja Nästa: Taggar > för att tillämpa taggar på den här logikappen för resurskategorisering och fakturering. Annars väljer du Granska + skapa.

5. På fliken Granska + skapa :

   Granska de konfigurationsalternativ som du har gjort och välj Skapa.

6. Det tar några minuter att skapa och distribuera din spelbok, under vilken du ser några distributionsmeddelanden. I slutet av processen kommer du till den sista distributionsskärmen där du ser meddelandet "Distributionen är klar".

   Välj Gå till resurs. Du kommer till huvudsidan för din nya logikapp.

   Till skillnad från klassiska förbrukningsspelböcker är du inte klar än. Nu måste du skapa ett arbetsflöde.

Skapa ett arbetsflöde (spelbok)

1. Välj Arbetsflöden på navigeringsmenyn på sidan Logikapp.

2. Välj + Lägg till i knappfältet längst upp (det kan ta några sekunder innan knappen är aktiv).

3. Panelen Nytt arbetsflöde visas. Ange ett namn för arbetsflödet.

4. Under Tillståndstyp väljer du Tillståndskänslig.

   Kommentar

   Microsoft Sentinel stöder för närvarande inte användning av tillståndslösa arbetsflöden som spelböcker.

5. Välj Skapa. Arbetsflödet sparas och visas i listan över arbetsflöden i logikappen. Välj arbetsflödet för att fortsätta.

6. Du anger arbetsflödets sida. Här kan du se all information om arbetsflödet, inklusive en post för alla gånger det kommer att köras. I navigeringsmenyn väljer du Designer.

7. Skärmen Designer öppnas och du uppmanas omedelbart att lägga till en utlösare och fortsätta att utforma arbetsflödet.

   

Välj utlösare

1. Välj fliken Azure och ange "Sentinel" på sökraden.

2. På fliken Utlösare nedan visas de tre utlösare som erbjuds av Microsoft Sentinel:

   • Microsoft Sentinel-avisering (förhandsversion)
   • Microsoft Sentinel-entitet (förhandsversion)
   • Microsoft Sentinel-incident (förhandsversion)

   Välj den utlösare som matchar den typ av spelbok som du skapar.

   

   Om du väljer utlösaren för Microsoft Sentinel-entitet (förhandsversion) väljer du den typ av entitet som du vill att spelboken ska ta emot som indata.

   

Kommentar

När du väljer en utlösare eller en efterföljande åtgärd uppmanas du att autentisera till vilken resursprovider du interagerar med. I det här fallet är providern Microsoft Sentinel. Det finns några olika metoder som du kan använda för autentisering. Mer information och instruktioner finns i Autentisera spelböcker till Microsoft Sentinel.

Mer information om vilken utlösare som ska användas finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker

Lägg till åtgärder

Nu kan du definiera vad som händer när du anropar spelboken. Du kan lägga till åtgärder, logiska villkor, loopar eller skiftfallsvillkor genom att välja Nytt steg. Det här valet öppnar en ny ram i designern, där du kan välja ett system eller ett program att interagera med eller ett villkor att ange. Ange namnet på systemet eller programmet i sökfältet överst i ramen och välj sedan bland de tillgängliga resultaten.

I vart och ett av dessa steg visas en panel med två menyer när du klickar på ett fält: Dynamiskt innehåll och uttryck. Från menyn Dynamiskt innehåll kan du lägga till referenser till attributen för aviseringen eller incidenten som skickades till spelboken, inklusive värden och attribut för alla mappade entiteter och anpassad information som finns i aviseringen eller incidenten. På menyn Uttryck kan du välja från ett stort bibliotek med funktioner för att lägga till ytterligare logik i dina steg.

Den här skärmbilden visar de åtgärder och villkor som du lägger till när du skapar spelboken som beskrivs i exemplet i början av det här dokumentet. Läs mer om att lägga till åtgärder i dina spelböcker.

Mer information om åtgärder som du kan lägga till i spelböcker för olika syften finns i Använda utlösare och åtgärder i Microsoft Sentinel-spelböcker.

Observera särskilt den här viktiga informationen om spelböcker baserat på entitetsutlösaren i en icke-incidentkontext.

Automatisera hotsvar

Du har skapat din spelbok och definierat utlösaren, angett villkoren och angett de åtgärder som ska utföras och de utdata som skapas. Nu måste du fastställa under vilka kriterier den ska köras och konfigurera automatiseringsmekanismen som ska köra den när dessa kriterier uppfylls.

Svara på incidenter och aviseringar

Om du vill använda en spelbok för att svara automatiskt på en hel incident eller en enskild avisering skapar du en automatiseringsregel som körs när incidenten skapas eller uppdateras eller när aviseringen genereras. Den här automatiseringsregeln innehåller ett steg som anropar den spelbok som du vill använda.

Så här skapar du en automatiseringsregel:

1. På sidan Automation i Microsoft Sentinel-navigeringsmenyn väljer du Skapa på den översta menyn och sedan Automation-regeln.

   

2. Panelen Skapa ny automatiseringsregel öppnas. Ange ett namn på regeln.

   Alternativen varierar beroende på om arbetsytan är registrerad på den enhetliga säkerhetsåtgärdsplattformen. Till exempel:

   Registrerade arbetsytor

   

   Arbetsytor som inte är registrerade

   

3. Utlösare: Välj lämplig utlösare enligt omständigheterna för vilken du skapar automatiseringsregeln – När incidenten skapas, När incidenten uppdateras eller När aviseringen skapas.

4. Villkor:

   1. Om din arbetsyta ännu inte har registrerats på plattformen för enhetliga säkerhetsåtgärder kan incidenter ha två möjliga källor:

      • Incidenter kan skapas i Microsoft Sentinel
      • Incidenter kan importeras från – och synkroniseras med – Microsoft Defender XDR.

      Om du valde en av incidentutlösarna och vill att automatiseringsregeln endast ska gälla för incidenter som kommer från Microsoft Sentinel, eller alternativt i Microsoft Defender XDR, anger du källan i om incidentprovidern är lika med villkoret.

      Det här villkoret visas endast om en incidentutlösare har valts och din arbetsyta inte är registrerad på den enhetliga säkerhetsåtgärdsplattformen.

   2. Om du vill att automationsregeln endast ska gälla för vissa analysregler för alla utlösartyper anger du vilka genom att ändra if analytics-regelnamnet innehåller villkoret.

   3. Lägg till andra villkor som du vill avgöra om den här automatiseringsregeln ska köras. Välj + Lägg till och välj villkorsgrupper i listrutan. Listan över villkor fylls i med aviseringsinformations- och entitetsidentifierarfält.

5. Åtgärder:

   1. Eftersom du använder den här automatiseringsregeln för att köra en spelbok väljer du åtgärden Kör spelbok i listrutan. Sedan uppmanas du att välja från en andra listruta som visar tillgängliga spelböcker. En automatiseringsregel kan bara köra de spelböcker som börjar med samma utlösare (incident eller avisering) som utlösaren som definierats i regeln, så endast dessa spelböcker visas i listan.

      Viktigt!

      Microsoft Sentinel måste beviljas explicita behörigheter för att kunna köra spelböcker, antingen manuellt eller från automatiseringsregler. Om en spelbok visas "nedtonad" i listrutan innebär det att Sentinel inte har behörighet till spelbokens resursgrupp. Klicka på länken Hantera spelboksbehörigheter om du vill tilldela behörigheter.

      I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och klickar på Använd.

      

      • Du måste själv ha ägarbehörigheter för alla resursgrupper som du vill bevilja Microsoft Sentinel-behörigheter till, och du måste ha rollen Logic App-deltagare för alla resursgrupper som innehåller spelböcker som du vill köra.

      • Om spelboken som du vill köra finns i en annan klientorganisation i en distribution med flera innehavare måste du ge Microsoft Sentinel behörighet att köra spelboken i spelbokens klientorganisation.

        1. På Microsoft Sentinel-navigeringsmenyn i spelböckernas klientorganisation väljer du Inställningar.
        2. På bladet Inställningar väljer du fliken Inställningar och sedan utökningen av spelboksbehörigheter.
        3. Klicka på knappen Konfigurera behörigheter för att öppna panelen Hantera behörigheter som nämns ovan och fortsätt enligt beskrivningen där.

      • Om du i ett MSSP-scenario vill köra en spelbok i en kundklientorganisation från en automatiseringsregel som skapades när du var inloggad i tjänstleverantörens klientorganisation, måste du ge Microsoft Sentinel behörighet att köra spelboken i båda klientorganisationer. I kundklientorganisationen följer du anvisningarna för distributionen med flera klientorganisationer i föregående punkt. I tjänstleverantörens klientorganisation måste du lägga till Azure Security Insights-appen i din Azure Lighthouse-registreringsmall:

        1. Från Azure-portalen går du till Microsoft Entra-ID.
        2. Klicka på Företagsprogram.
        3. Välj Programtyp och filtrera på Microsoft-program.
        4. I sökrutan skriver du Azure Security Insights.
        5. Kopiera fältet Objekt-ID . Du måste lägga till den här ytterligare auktoriseringen i din befintliga Azure Lighthouse-delegering.

        Rollen Microsoft Sentinel Automation-deltagare har ett fast GUID som är f4c81013-99ee-4d62-a7ee-b3f1f648599a. Ett exempel på Azure Lighthouse-auktorisering skulle se ut så här i parametermallen:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Lägg till andra åtgärder som du vill ha för den här regeln. Du kan ändra ordningen på körningen av åtgärder genom att välja uppåt- eller nedåtpilarna till höger om en åtgärd.

6. Ange ett förfallodatum för automatiseringsregeln om du vill att den ska ha ett.

7. Ange ett tal under Order för att avgöra var i sekvensen av automatiseringsregler den här regeln ska köras.

8. Välj Använd. Du är klar!

Upptäck andra sätt att skapa automatiseringsregler.

Svara på aviseringar – äldre metod

Ett annat sätt att köra spelböcker automatiskt som svar på aviseringar är att anropa dem från en analysregel. När regeln genererar en avisering körs spelboken.

Den här metoden kommer att vara inaktuell från och med mars 2026.

Från och med juni 2023 kan du inte längre lägga till spelböcker i analysregler på det här sättet. Du kan dock fortfarande se de befintliga spelböckerna som anropas från analysregler, och dessa spelböcker körs fortfarande fram till mars 2026. Du uppmanas starkt att skapa automatiseringsregler för att anropa dessa spelböcker i stället innan dess.

Köra en spelbok på begäran

Du kan också köra en spelbok manuellt på begäran, oavsett om det är som svar på aviseringar, incidenter (i förhandsversion) eller entiteter (även i förhandsversion). Detta kan vara användbart i situationer där du vill ha mer mänsklig indata till och kontroll över orkestrerings- och svarsprocesser.

Köra en spelbok manuellt i en avisering

Den här proceduren stöds inte i den enhetliga säkerhetsåtgärdsplattformen.

I Azure-portalen väljer du någon av följande flikar efter behov för din miljö:

SIDAN NY incidentinformation

1. På sidan Incidenter väljer du en incident.

   I Azure-portalen väljer du Visa fullständig information längst ned i fönstret incidentinformation för att öppna sidan med incidentinformation.

2. På sidan incidentinformation går du till widgeten Incidenttidslinje och väljer den avisering som du vill köra spelboken på. Välj de tre punkterna i slutet av aviseringens rad och välj Kör spelbok på popup-menyn.

   

3. Fönstret Aviseringsspelböcker öppnas. Du ser en lista över alla spelböcker som konfigurerats med utlösaren för Microsoft Sentinel-aviseringslogikappar som du har åtkomst till.

4. Välj Kör på raden i en specifik spelbok för att köra den omedelbart.

Undersökningsdiagram

1. På sidan Incidenter väljer du en incident.

   I Azure-portalen väljer du Visa fullständig information längst ned i fönstret incidentinformation för att öppna sidan med incidentinformation.

2. På sidan incidentinformation väljer du fliken Aviseringar , väljer den avisering som du vill köra spelboken på och väljer länken Visa spelböcker i slutet av raden i aviseringen.

3. Fönstret Aviseringsspelböcker öppnas. Du ser en lista över alla spelböcker som konfigurerats med utlösaren för Microsoft Sentinel-aviseringslogikappar som du har åtkomst till.

4. Välj Kör på raden i en specifik spelbok för att köra den omedelbart.

Du kan se körningshistoriken för spelböcker i en avisering genom att välja fliken Körningar i fönstret Aviseringsspelböcker . Det kan ta några sekunder innan en precis slutförd körning visas i listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Logic Apps.

Kör en spelbok manuellt vid en incident (förhandsversion)

Den här proceduren skiljer sig åt beroende på om du arbetar i Microsoft Sentinel eller på den enhetliga säkerhetsåtgärdsplattformen. Välj relevant flik för din miljö:

Azure-portalen

1. På sidan Incidenter väljer du en incident.

2. I fönstret incidentinformation som visas till höger väljer du Åtgärder > Kör spelbok (förhandsversion).
   (Om du väljer de tre punkterna i slutet av incidentens rad i rutnätet eller högerklickar på incidenten visas samma lista som Åtgärdsknapp .)

3. Spelboken Kör på incidentpanelen öppnas till höger. Du ser en lista över alla spelböcker som konfigurerats med utlösaren för Incidentlogikappar i Microsoft Sentinel som du har åtkomst till.

   Om du inte ser den spelbok som du vill köra i listan innebär det att Microsoft Sentinel inte har behörighet att köra spelböcker i resursgruppen (se anteckningen ovan).

   Om du vill bevilja dessa behörigheter väljer du Inställningar> Inställningar> Playbook-behörigheter>Konfigurera behörigheter. I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och väljer Tillämpa.

4. Välj Kör på raden i en specifik spelbok för att köra den omedelbart.

   Du måste ha rollen som Microsoft Sentinel-spelboksoperator för alla resursgrupper som innehåller spelböcker som du vill köra. Om du inte kan köra spelboken på grund av saknade behörigheter rekommenderar vi att du kontaktar en administratör för att ge dig relevanta behörigheter. Mer information finns i Behörigheter som krävs för att arbeta med spelböcker.

Microsoft Defender-portalen

1. På sidan Incidenter väljer du en incident.

2. I fönstret incidentinformation som visas till höger väljer du Kör spelbok.

3. Spelboken Kör på incident öppnas till höger med alla relaterade spelböcker för den valda incidenten. I kolumnen Åtgärd väljer du Kör spelbok för den spelbok som du vill köra direkt.

Kolumnen Åtgärder kan också visa någon av följande statusar:

Status	Beskrivning och åtgärd krävs
Behörigheter saknas	Du måste ha rollen som Microsoft Sentinel-spelboksoperator för alla resursgrupper som innehåller spelböcker som du vill köra. Om du saknar behörigheter rekommenderar vi att du kontaktar en administratör för att ge dig relevanta behörigheter. Mer information finns i Behörigheter som krävs för att arbeta med spelböcker.
Bevilja behörighet	Microsoft Sentinel saknar rollen Microsoft Sentinel Automation-deltagare , som krävs för att köra spelböcker på incidenter. I sådana fall väljer du Bevilja behörighet för att öppna fönstret Hantera behörigheter . Fönstret Hantera behörigheter filtreras som standard till den valda spelbokens resursgrupp. Välj resursgruppen och välj sedan Använd för att bevilja de behörigheter som krävs. Du måste vara ägare eller administratör för användaråtkomst i den resursgrupp som du vill bevilja Microsoft Sentinel-behörigheter till. Om du saknar behörigheter är resursgruppen nedtonad och du kan inte välja den. I sådana fall rekommenderar vi att du kontaktar en administratör för att ge dig relevanta behörigheter. Mer information finns i anteckningen ovan.

Visa körningshistoriken för spelböcker för en incident genom att välja fliken Körningar i spelboken Kör på incidentpanelen . Det kan ta några sekunder innan en precis slutförd körning visas i listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Logic Apps.

Kör en spelbok manuellt på en entitet (förhandsversion)

Den här proceduren stöds inte i den enhetliga säkerhetsåtgärdsplattformen.

1. Välj en entitet på något av följande sätt, beroende på din ursprungliga kontext:

   Om du är på informationssidan för en incident (ny version):

   1. I widgeten Entiteter på fliken Översikt hittar du en entitet i listan (markera den inte).
   2. Välj de tre punkterna till höger om entiteten.
   3. Välj Kör spelbok (förhandsversion) på popup-menyn och fortsätt med steg 2 nedan.
      Om du valde entiteten och gick in på fliken Entiteter på sidan incidentinformation fortsätter du med nästa rad nedan.
   4. Hitta en entitet i listan (markera den inte).
   5. Välj de tre punkterna till höger om entiteten.
   6. Välj Kör spelbok (förhandsversion) på popup-menyn.
      Om du har valt entiteten och angett dess entitetssida väljer du knappen Kör spelbok (förhandsversion) i den vänstra panelen.

   Om du är på informationssidan för en incident (äldre version):

   1. Välj fliken Entiteter för incidenten.
   2. Hitta en entitet i listan (markera den inte).
   3. Välj länken Kör spelbok (förhandsversion) i slutet av raden i listan.
      Om du har valt entiteten och angett dess entitetssida väljer du knappen Kör spelbok (förhandsversion) i den vänstra panelen.

   Om du är i undersökningsdiagrammet:

   1. Välj en entitet i diagrammet.
   2. Välj knappen Kör spelbok (förhandsversion) på panelen på entitetssidan.
      För vissa entitetstyper kan du behöva välja knappen Entitetsåtgärder och välja Kör spelbok (förhandsversion) på den resulterande menyn.

   Om du proaktivt jagar efter hot:

   1. På skärmen Entitetsbeteende väljer du en entitet från listorna på sidan eller söker efter och väljer en annan entitet.
   2. På entitetssidan väljer du knappen Kör spelbok (förhandsversion) i den vänstra panelen.

2. Oavsett vilken kontext du kom från öppnar anvisningarna ovan alla spelboken Kör på <entitetstyppanelen> . Du ser en lista över alla spelböcker som du har åtkomst till som har konfigurerats med Utlösaren för Microsoft Sentinel Entity Logic Apps för den valda entitetstypen.

3. Välj Kör på raden i en specifik spelbok för att köra den omedelbart.

Du kan se körningshistoriken för spelböcker på en viss entitet genom att välja fliken Körningar på panelen Kör spelbok på< entitetstyp>. Det kan ta några sekunder innan en precis slutförd körning visas i listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Logic Apps.

Nästa steg

I den här självstudien har du lärt dig hur du använder spelböcker och automatiseringsregler i Microsoft Sentinel för att svara på hot.

• Läs mer om att autentisera spelböcker till Microsoft Sentinel
• Läs mer om hur du använder utlösare och åtgärder i Microsoft Sentinel-spelböcker
• Lär dig hur du proaktivt jagar efter hot med hjälp av Microsoft Sentinel.