Skapa och anpassa Microsoft Sentinel-spelböcker från mallar
En spelboksmall är ett fördefinierat, testat och färdigt automationsarbetsflöde för Microsoft Sentinel som kan anpassas efter dina behov. Mallar kan också fungera som en referens för bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier.
Spelboksmallar är inte aktiva spelböcker själva och du måste skapa en redigerbar kopia för dina behov.
Många spelboksmallar utvecklas av Microsoft Sentinel-communityn, oberoende programvaruleverantörer (ISV:er) och Microsofts egna experter, baserat på populära automatiseringsscenarier som används av säkerhetsoperationscenter runt om i världen.
Viktigt!
Spelboksmallar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
För att skapa och hantera spelböcker behöver du åtkomst till Microsoft Sentinel med någon av följande Azure-roller:
- Logic App-deltagare för att redigera och hantera logikappar
- Logic App-operatör för att läsa, aktivera och inaktivera logikappar
Mer information finns i Krav för Microsoft Sentinel-spelböcker.
Vi rekommenderar att du läser Azure Logic Apps för Microsoft Sentinel-spelböcker innan du skapar din spelbok.
Komma åt spelboksmallar
Få åtkomst till spelboksmallar från följande källor:
| Plats | beskrivning |
|---|---|
| Sidan Microsoft Sentinel Automation | På fliken Spelboksmallar visas alla installerade spelböcker. Skapa en eller flera aktiva spelböcker med samma mall. När vi publicerar en ny version av en mall har alla aktiva spelböcker som skapats från mallen en extra etikett som läggs till på fliken Aktiva spelböcker för att indikera att en uppdatering är tillgänglig. |
| Sidan För Microsoft Sentinel-innehållshubben | Spelboksmallar är tillgängliga som en del av produktlösningar eller fristående innehåll som installerats från innehållshubben. För ytterligare information, se: Om Microsoft Sentinel-innehåll och -lösningar Identifiera och hantera innehåll i Microsoft Sentinel |
| GitHub | Microsoft Sentinel GitHub-lagringsplatsen innehåller många andra spelboksmallar. Välj Distribuera till Azure för att distribuera en mall till din Azure-prenumeration. |
Tekniskt sett är en spelboksmall en ARM-mall (Azure Resource Manager), som består av flera resurser: ett Azure Logic Apps-arbetsflöde och API-anslutningar för varje anslutning som ingår.
Den här artikeln fokuserar på att distribuera en spelboksmall från fliken Spelboksmallar under Automation.
Utforska spelboksmallar
För Microsoft Sentinel i Azure-portalen väljer du innehållshubben för innehållshantering>. För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.
På sidan Innehållshubb väljer du Innehållstyp för att filtrera efter spelbok. I den här filtrerade vyn visas alla lösningar och fristående innehåll som innehåller en eller flera spelboksmallar. Installera lösningen eller det fristående innehållet för att hämta mallen.
Välj sedan fliken Konfigurationsautomatiseringsmallar>> för att visa de installerade mallarna. Till exempel:
Om du vill hitta en spelboksmall som passar dina krav filtrerar du listan efter följande kriterier:
| Filter | beskrivning |
|---|---|
| Utlösare | Filtrera efter hur spelboken utlöses, inklusive incidenter, aviseringar eller entiteter. Mer information finns i Microsoft Sentinel-utlösare som stöds. |
| Logic Apps-anslutningsappar | Filtrera efter de externa tjänster som spelböckerna interagerar med. Under distributionsprocessen måste varje anslutningsapp anta en identitet för att autentisera till den externa tjänsten. |
| Entiteter | Filtrera efter de entitetstyper som spelboken förväntar sig att hitta i incidenten. En spelbok som till exempel uppmanar en brandvägg att blockera en IP-adress förväntar sig att hitta IP-adresser i incidenten. Sådana incidenter kan skapas av en Brute Force-attackanalysregel. |
| Taggar | Filtrera efter de etiketter som tillämpas på spelboken, relatera spelboken till ett specifikt scenario eller ange särskild egenskap. Till exempel: - Enrichment – spelböcker som hämtar information från en annan tjänst för att lägga till kontext till en incident. Den här informationen läggs vanligtvis till som en kommentar till incidenten eller skickas till SOC. - Reparation – Spelböcker som vidtar en åtgärd på de berörda entiteterna för att eliminera ett potentiellt hot. - Synkronisering – Spelbok som hjälper till att hålla en extern tjänst, till exempel en incidenthanteringstjänst, uppdaterad med incidentens egenskaper. - Meddelande – spelböcker som skickar ett e-postmeddelande eller meddelande. - Svar från Teams – spelböcker som gör det möjligt för analytiker att vidta en manuell åtgärd från Teams med hjälp av interaktiva kort. |
Till exempel:
Anpassa en spelbok från en mall
Den här proceduren beskriver hur du distribuerar spelboksmallar och kan upprepas för att skapa flera spelböcker från samma mall.
De flesta spelboksmallar kan användas som de är, men vi rekommenderar att du justerar dem efter behov för att passa din spelbok efter dina SOC-behov.
På fliken Spelboksmallar väljer du en spelbok att börja från.
Om spelboken har några förutsättningar måste du följa anvisningarna. Till exempel:
Vissa spelböcker kallar andra spelböcker för åtgärder. Den här andra spelboken kallas för en kapslad spelbok. I sådana fall är en av förutsättningarna att först distribuera den kapslade spelboken.
Vissa spelböcker kräver att du distribuerar en anpassad Logic Apps-anslutning eller en Azure-funktion. I sådana fall finns det en Distribution till Azure-länk som tar dig till den allmänna DISTRIBUTIONsprocessen för ARM-mallar.
Välj Skapa spelbok för att öppna guiden skapa spelbok baserat på den valda mallen. Guiden har fyra flikar:
Grundläggande: Leta upp din nya spelbok, som är en Logic Apps-resurs, och ge den ett namn. Du kan använda standardinställningen. Till exempel:
Parametrar: Ange kundspecifika värden som spelboken använder. Om spelboken till exempel skickar ett e-postmeddelande till SOC definierar du mottagaradressen. Om spelboken har en anpassad anslutningsapp som används måste den distribueras i samma resursgrupp och du uppmanas att ange dess namn på fliken Parametrar .
Fliken Parametrar visar endast om spelboken har parametrar. Till exempel:
Anslut ioner: Expandera varje åtgärd för att se befintliga anslutningar som du skapade för tidigare spelböcker. Du kan välja att använda befintliga anslutningar eller skapa en ny. Till exempel:
Om du vill skapa en ny anslutning väljer du Skapa ny anslutning efter distributionen. Det här alternativet tar dig till Logic Apps-designern när distributionsprocessen har slutförts.
Anpassade anslutningsappar visas med namnet på den anpassade anslutningsappen som anges på fliken Parametrar .
För anslutningsappar som stöder anslutning med hanterad identitet, till exempel Microsoft Sentinel, är hanterad identitet standardanslutningsmetod.
Mer information finns i Autentisera spelböcker till Microsoft Sentinel.
Granska och skapa: Visa en sammanfattning av processen och vänta på validering av dina indata innan du skapar spelboken.
När du har följt stegen i guiden för att skapa spelböcker till slutet, kommer du till den nya spelbokens arbetsflödesdesign i Logic Apps-designern. Till exempel:
Skapa en ny anslutning för efter distributionen för varje anslutningsapp som du har valt:
I navigeringsmenyn väljer du API-anslutningar och sedan anslutningsnamnet. Till exempel:
Välj Redigera API-anslutning på navigeringsmenyn.
Fyll i de obligatoriska parametrarna och välj Spara. Till exempel:
Du kan också skapa en ny anslutning inom de relevanta stegen i Logic Apps-designern:
För varje steg som visas med ett feltecken väljer du det för att expandera och väljer sedan Lägg till ny.
Autentisera enligt relevanta instruktioner. Mer information finns i Autentisera spelböcker till Microsoft Sentinel.
Om det finns andra steg med samma anslutningsapp expanderar du deras rutor. I listan över anslutningar som visas väljer du den anslutning som du nyss skapade.
Om du har valt att använda en hanterad identitetsanslutning för Microsoft Sentinel, eller för andra anslutningar som stöds, måste du bevilja behörigheter till den nya spelboken på Microsoft Sentinel-arbetsytan eller på relevanta målresurser för andra anslutningsappar.
Spara spelboken. Spelboken visas på fliken Aktiva spelböcker .
Om du vill köra din spelbok anger du ett automatiserat svar eller kör det manuellt. Mer information finns i Svara på hot med Microsoft Sentinel-spelböcker.
Rapportera ett problem i en spelboksmall
Om du vill rapportera en bugg eller begära en förbättring för en spelbok väljer du länken Stöds av i spelbokens informationsfönster. Om det här är en spelbok som stöds av communityn tar länken dig till att öppna ett GitHub-problem. Annars dirigeras du till supportersidan med information om hur du skickar feedback.
Relaterat innehåll
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för