Använda en Microsoft Sentinel-spelbok för att stoppa potentiellt komprometterade användare
I den här artikeln beskrivs ett exempelscenario med hur du kan använda en spelbok och automatiseringsregel för att automatisera incidenthantering och åtgärda säkerhetshot. Automatiseringsregler hjälper dig att sortera incidenter i Microsoft Sentinel och används även för att köra spelböcker som svar på incidenter eller aviseringar. Mer information finns i Automation i Microsoft Sentinel: Säkerhetsorkestrering, automatisering och svar (SOAR).
Exempelscenariot som beskrivs i den här artikeln beskriver hur du använder en automatiseringsregel och spelbok för att stoppa en potentiellt komprometterad användare när en incident skapas.
Kommentar
Eftersom spelböcker använder Azure Logic Apps kan ytterligare avgifter tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps .
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
Följande roller krävs för att använda Azure Logic Apps för att skapa och köra spelböcker i Microsoft Sentinel.
| Roll | beskrivning |
|---|---|
| Ägare | Gör att du kan ge åtkomst till spelböcker i resursgruppen. |
| Logic App-deltagare | Gör att du kan hantera logikappar och köra spelböcker. Tillåter inte att du beviljar åtkomst till spelböcker. |
| Logikappoperator | Låter dig läsa, aktivera och inaktivera logikappar. Tillåter inte att du redigerar eller uppdaterar logikappar. |
| Microsoft Sentinel-deltagare | Gör att du kan koppla en spelbok till en analys- eller automatiseringsregel. |
| Microsoft Sentinel-svarare | Gör att du kan komma åt en incident för att kunna köra en spelbok manuellt, men du kan inte köra spelboken. |
| Microsoft Sentinel-spelboksoperator | Låter dig köra en spelbok manuellt. |
| Microsoft Sentinel Automation-deltagare | Tillåter automatiseringsregler att köra spelböcker. Den här rollen används inte för något annat syfte. |
Fliken Aktiva spelböcker på sidan Automation visar alla aktiva spelböcker som är tillgängliga i alla valda prenumerationer. Som standard kan en spelbok endast användas i den prenumeration som den tillhör, såvida du inte uttryckligen beviljar Microsoft Sentinel-behörigheter till spelbokens resursgrupp.
Extra behörigheter som krävs för att köra spelböcker på incidenter
Microsoft Sentinel använder ett tjänstkonto för att köra spelböcker på incidenter, för att lägga till säkerhet och göra det möjligt för API:et för automatiseringsregler att stödja CI/CD-användningsfall. Det här tjänstkontot används för incidentutlösta spelböcker eller när du kör en spelbok manuellt vid en specifik incident.
Förutom dina egna roller och behörigheter måste det här Microsoft Sentinel-tjänstkontot ha en egen uppsättning behörigheter för resursgruppen där spelboken finns, i form av rollen Microsoft Sentinel Automation-deltagare . När Microsoft Sentinel har den här rollen kan den köra valfri spelbok i relevant resursgrupp, manuellt eller från en automatiseringsregel.
Om du vill bevilja Microsoft Sentinel de behörigheter som krävs måste du ha rollen Ägare eller Administratör för användaråtkomst. Om du vill köra spelböckerna behöver du även rollen Logic App-deltagare i resursgruppen som innehåller de spelböcker som du vill köra.
Stoppa potentiellt komprometterade användare
SOC-team vill se till att potentiellt komprometterade användare inte kan flytta runt i nätverket och stjäla information. Vi rekommenderar att du skapar ett automatiserat, mångfacetterat svar på incidenter som genereras av regler som identifierar komprometterade användare för att hantera sådana scenarier.
Konfigurera automatiseringsregeln och spelboken så att de använder följande flöde:
En incident skapas för en potentiellt komprometterad användare och en automatiseringsregel utlöses för att anropa din spelbok.
Spelboken öppnar en biljett i ditt IT-biljettsystem, till exempel ServiceNow.
Spelboken skickar också ett meddelande till din säkerhetsåtgärdskanal i Microsoft Teams eller Slack för att se till att dina säkerhetsanalytiker är medvetna om incidenten.
Spelboken skickar också all information i incidenten i ett e-postmeddelande till din seniora nätverksadministratör och säkerhetsadministratör. E-postmeddelandet innehåller alternativknapparna Blockera och Ignorera användare.
Spelboken väntar tills ett svar tas emot från administratörerna och fortsätter sedan med nästa steg.
Om administratörerna väljer Blockera skickar spelboken ett kommando till Microsoft Entra-ID för att inaktivera användaren och ett till brandväggen för att blockera IP-adressen.
Om administratörerna väljer Ignorera stänger spelboken incidenten i Microsoft Sentinel och biljetten i ServiceNow.
Följande skärmbild visar de åtgärder och villkor som du lägger till när du skapar den här exempelspelboken:
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för