Dela via

Skapa och utföra incidentuppgifter i Microsoft Sentinel med hjälp av spelböcker

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Den här artikeln beskriver hur du använder spelböcker för att skapa och eventuellt utföra incidentuppgifter för att hantera komplexa arbetsflödesprocesser för analytiker i Microsoft Sentinel.

Använd åtgärden Lägg till uppgift i en spelbok i Microsoft Sentinel-anslutningsappen för att automatiskt lägga till en uppgift i incidenten som utlöste spelboken. Det finns stöd för både Standard- och Förbrukningsarbetsflöden.

Tips/Råd

Incidentuppgifter kan skapas automatiskt, inte bara av spelböcker, utan även av automatiseringsregler, och även manuellt, ad hoc, inifrån en incident.

Mer information finns i Använda uppgifter för att hantera incidenter i Microsoft Sentinel.

Förutsättningar

  • Rollen Microsoft Sentinel-svarare krävs för att visa och redigera incidenter, vilket är nödvändigt för att lägga till, visa och redigera uppgifter.

  • Behörigheten Logic Apps-deltagare krävs för att skapa och redigera spelböcker.

För mer information, se Krav för Microsoft Sentinel-spelböcker.

Använd en spelbok för att lägga till en uppgift och utföra den

Det här avsnittet innehåller ett exempel på en procedur för att lägga till en spelboksåtgärd som gör följande:

  • Lägger till en uppgift i incidenten och återställer en komprometterad användares lösenord
  • Lägger till ytterligare en spelboksåtgärd för att skicka en signal till Microsoft Entra ID Protection (AADIP) för att faktiskt återställa lösenordet
  • Lägger till en slutlig spelboksåtgärd för att markera uppgiften i incidenten som slutförd.

Utför följande steg för att lägga till och konfigurera dessa åtgärder:

  1. Från Microsoft Sentinel-anslutningsappen lägger du till åtgärden Lägg till uppgift i incidenten och gör sedan följande:

    1. Välj objektet Dynamiskt innehåll för ARM-ID för incidenten i fältet ARM-ID för incident .

    2. Ange Återställ användarlösenord som Titel.

    3. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbilden visar spelboksåtgärder för att lägga till en uppgift för att återställa en användares lösenord.

  2. Lägg till åtgärden Entiteter – Hämta konton (förhandsversion). Lägg till objektet Dynamiskt innehåll för entiteter (från Microsoft Sentinel-incidentschemat) i fältet Entitetslista . Till exempel:

    Skärmbilden visar spelboksåtgärder för att hämta kontoentiteterna i incidenten.

  3. Lägg till en For each-loop från biblioteket Kontrollåtgärder . Lägg till objektet Konton med dynamiskt innehåll från Entiteter – Hämta kontoutdata i fältet Välj utdata från föregående steg . Till exempel:

    Skärmbilden visar hur du lägger till en for-each-loopåtgärd i en spelbok för att utföra en åtgärd på varje identifierat konto.

  4. I loopen För varje väljer du Lägg till en åtgärd. Då:

    1. Sök efter och välj anslutningsappen Microsoft Entra ID Protection
    2. Välj åtgärden Bekräfta en riskfylld användare som komprometterad (förhandsversion).
    3. Lägg till objektet Accounts Microsoft Entra user ID dynamic content (Konton Microsoft Entra användar-ID ) dynamiskt innehåll i fältet userIds Item – 1 .

    Den här åtgärden sätter igång processer i Microsoft Entra ID-skydd för att återställa användarens lösenord.

    Skärmbilden visar hur du skickar entiteter till AADIP för att bekräfta kompromettering.

    Anmärkning

    Fältet Konton Microsoft Entra användar-ID är ett sätt att identifiera en användare i AADIP. Det kanske inte nödvändigtvis är det bästa sättet i alla scenarier, men tas upp här bara som ett exempel.

    Om du behöver hjälp kan du läsa andra spelböcker som hanterar komprometterade användare eller dokumentationen för Microsoft Entra ID Protection.

  5. Lägg till åtgärden Markera en uppgift som slutförd från Microsoft Sentinel-anslutningsappen och lägg till objektet Incidentaktivitets-ID med dynamiskt innehåll i fältet ARM-ID för aktivitet . Till exempel:

    Skärmbilden visar hur du lägger till en spelboksåtgärd för att markera en incidentaktivitet som slutförd.

Använda en spelbok för att lägga till en uppgift villkorligt

Det här avsnittet innehåller ett exempel på en procedur för att lägga till en spelboksåtgärd som undersöker en IP-adress som visas i en incident.

  • Om resultatet av den här undersökningen är att IP-adressen är skadlig skapar spelboken en uppgift för analytikern att inaktivera användaren med hjälp av den IP-adressen.
  • Om IP-adressen inte är en känd skadlig adress skapar spelboken en annan uppgift där analytikern kan kontakta användaren för att verifiera aktiviteten.

Utför följande steg för att lägga till och konfigurera dessa åtgärder:

  1. Från Microsoft Sentinel-anslutningsappen lägger du till åtgärden Entiteter – Hämta IP-adresser . Lägg till objektet Dynamiskt innehåll för entiteter (från Microsoft Sentinel-incidentschemat) i fältet Entitetslista . Till exempel:

    Skärmbilden visar spelboksåtgärder för att hämta IP-adressentiteterna i incidenten.

  2. Lägg till en For each-loop från biblioteket Kontrollåtgärder . Lägg till objektet IP-adresser med dynamiskt innehåll från Entiteter – Hämta IP-utdata i fältet Välj utdata från föregående steg . Till exempel:

    Skärmbilden visar hur du lägger till en for-each-loopåtgärd i en spelbok för att utföra en åtgärd på varje identifierad IP-adress.

  3. I loopen För varje väljer du Lägg till en åtgärd och sedan:

    1. Sök efter och välj kopplingen Virus Total .
    2. Välj åtgärden Hämta en IP-rapport (förhandsversion).
    3. Lägg till objektet IP-adress dynamiskt innehåll från Entiteter – Hämta IP-utdata i fältet IP-adress .

    Till exempel:

    Skärmdumpen visar hur du skickar en begäran till Virus Total för IP-adressrapport.

  4. I loopen För varje väljer du Lägg till en åtgärd och sedan:

    1. Lägg till ett villkor från biblioteket Kontrollåtgärder .
    2. Lägg till objektet Senaste analysstatistik Skadligt dynamiskt innehåll från utdata från Hämta en IP-rapport . Du kan behöva välja Visa mer för att hitta den.
    3. Välj operatorn är större än och ange 0 som värde.

    Detta villkor ställer frågan "Hade Virus Total IP-rapporten några resultat?" Till exempel:

    Skärmbilden visar hur du ställer in ett sant-falskt-villkor i en spelbok.

  5. I alternativet Sant väljer du Lägg till en åtgärd och gör sedan följande:

    1. Välj åtgärden Lägg till uppgift i incident från Microsoft Sentinel-anslutningsappen .
    2. Välj objektet Dynamiskt innehåll för ARM-ID för incidenten i fältet ARM-ID för incident .
    3. Ange Markera användare som komprometterad som titeln.
    4. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbilden visar spelboksåtgärder för att lägga till en uppgift för att markera en användare som komprometterad.

  6. I alternativet Falskt väljer du Lägg till en åtgärd och gör sedan följande:

    1. Välj åtgärden Lägg till uppgift i incident från Microsoft Sentinel-anslutningsappen .
    2. Välj objektet Dynamiskt innehåll för ARM-ID för incidenten i fältet ARM-ID för incident .
    3. Ange Kontakta användaren för att bekräfta aktiviteten som Titel.
    4. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbilden visar spelboksåtgärder för att lägga till en uppgift för att få användaren att bekräfta aktiviteten.

Relaterat innehåll

Mer information finns i:

  • Last updated on