Dela via

Skapa och utföra incidentuppgifter i Microsoft Sentinel med hjälp av spelböcker

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln beskriver hur du använder spelböcker för att skapa och eventuellt utföra incidentuppgifter för att hantera komplexa arbetsflödesprocesser för analytiker i Microsoft Sentinel.

Använd åtgärden Lägg till uppgift i en spelbok i Microsoft Sentinel-anslutningsappen för att automatiskt lägga till en uppgift i incidenten som utlöste spelboken. Både standard- och förbrukningsarbetsflöden stöds.

Dricks

Incidentuppgifter kan skapas automatiskt inte bara av spelböcker, utan även av automatiseringsregler, och även manuellt, ad hoc, inifrån en incident.

Mer information finns i Använda uppgifter för att hantera incidenter i Microsoft Sentinel.

Förutsättningar

  • Microsoft Sentinel Responder-rollen krävs för att visa och redigera incidenter, vilket är nödvändigt för att lägga till, visa och redigera uppgifter.

  • Rollen Logic Apps-deltagare krävs för att skapa och redigera spelböcker.

Mer information finns i Krav för Microsoft Sentinel-spelböcker.

Använda en spelbok för att lägga till en uppgift och utföra den

Det här avsnittet innehåller en exempelprocedur för att lägga till en spelboksåtgärd som gör följande:

  • Lägger till en uppgift i incidenten och återställer en komprometterad användares lösenord
  • Lägger till en annan spelboksåtgärd för att skicka en signal till Microsoft Entra ID Protection (AADIP) för att återställa lösenordet
  • Lägger till en sista spelboksåtgärd för att markera uppgiften i incidenten slutförd.

Utför följande steg för att lägga till och konfigurera dessa åtgärder:

  1. Från Microsoft Sentinel-anslutningsappen lägger du till åtgärden Lägg till uppgift till incident och sedan:

    1. Välj det dynamiska arm-ID:t för incident för fältet Arm-ID för incident.

    2. Ange Återställ användarlösenord som Rubrik.

    3. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbild som visar spelboksåtgärder för att lägga till en uppgift för att återställa en användares lösenord.

  2. Lägg till åtgärden Entiteter – Hämta konton (förhandsversion). Lägg till objektet Dynamiskt innehåll för entiteter (från Microsoft Sentinel-incidentschemat) i fältet Entitetslista. Till exempel:

    Skärmbild som visar spelboksåtgärder för att hämta kontoentiteterna i incidenten.

  3. Lägg till en För varje loop från biblioteket Kontrollåtgärder . Lägg till det dynamiska innehållsobjektet Konton från entiteterna – Hämta kontoutdata i fältet Välj utdata från föregående steg. Till exempel:

    Skärmbild som visar hur du lägger till en för-varje loop-åtgärd i en spelbok för att utföra en åtgärd på varje identifierat konto.

  4. I loopen För varje loop väljer du Lägg till en åtgärd. Sedan:

    1. Sök efter och välj Microsoft Entra ID Protection-anslutningsappen
    2. Välj åtgärden Bekräfta en riskfylld användare som komprometterad (förhandsversion).
    3. Lägg till objekt för dynamiskt innehåll för Microsoft Entra-användar-ID i fältet userIds Item – 1 .

    Den här åtgärden ställer in rörelseprocesser i Microsoft Entra ID Protection för att återställa användarens lösenord.

    Skärmbild som visar hur entiteter skickas till AADIP för att bekräfta en kompromiss.

    Kommentar

    Fältet Microsoft Entra-användar-ID för konton är ett sätt att identifiera en användare i AADIP. Det kanske inte nödvändigtvis är det bästa sättet i varje scenario, men tas hit precis som ett exempel.

    Om du behöver hjälp kan du läsa andra spelböcker som hanterar komprometterade användare eller dokumentationen om Microsoft Entra ID Protection.

  5. Lägg till åtgärden Markera en aktivitet som slutförd från Microsoft Sentinel-anslutningsappen och lägg till det dynamiska innehållsobjektet incidentaktivitets-ID i fältet Aktivitets-ARM id. Till exempel:

    Skärmbild som visar hur du lägger till en spelboksåtgärd för att markera att en incidentaktivitet har slutförts.

Använda en spelbok för att lägga till en uppgift villkorligt

Det här avsnittet innehåller en exempelprocedur för att lägga till en spelboksåtgärd som undersöker en IP-adress som visas i en incident.

  • Om resultatet av den här forskningen är att IP-adressen är skadlig skapar spelboken en uppgift för analytikern att inaktivera användaren med den IP-adressen.
  • Om IP-adressen inte är en känd skadlig adress skapar spelboken en annan uppgift, så att analytikern kan kontakta användaren för att verifiera aktiviteten.

Utför följande steg för att lägga till och konfigurera dessa åtgärder:

  1. Från Microsoft Sentinel-anslutningsappen lägger du till åtgärden Entiteter – Hämta IP-adresser . Lägg till objektet Dynamiskt innehåll för entiteter (från Microsoft Sentinel-incidentschemat) i fältet Entitetslista. Till exempel:

    Skärmbild som visar spelboksåtgärder för att hämta IP-adressentiteterna i incidenten.

  2. Lägg till en För varje loop från biblioteket Kontrollåtgärder . Lägg till det dynamiska innehållsobjektet IP-adresser från entiteterna – Hämta IP-adresser i fältet Välj utdata från föregående steg. Till exempel:

    Skärmbild som visar hur du lägger till en for-each-loop-åtgärd i en spelbok för att utföra en åtgärd på varje identifierad IP-adress.

  3. I loopen För varje loop väljer du Lägg till en åtgärd och sedan:

    1. Sök efter och välj anslutningsprogrammet För totalt virus.
    2. Välj åtgärden Hämta en IP-rapport (förhandsversion).
    3. Lägg till objektet IP-adress dynamiskt innehåll från entiteterna – Hämta IP-adresser i fältet IP-adress.

    Till exempel:

    Skärmbild som visar hur begäran skickas till virussumma för IP-adressrapport.

  4. I loopen För varje loop väljer du Lägg till en åtgärd och sedan:

    1. Lägg till ett villkor från biblioteket Kontrollåtgärder .
    2. Lägg till last analysis statistics Malicious dynamic content item from the Get an IP report output (Hämta utdata från en IP-rapport ). Du kan behöva välja Visa mer för att hitta den.
    3. Välj operatorn är större än och ange 0 som värde.

    Det här villkoret ställer frågan "Har virus totalt IP-rapport har några resultat?" Till exempel:

    Skärmbild som visar hur du anger ett true-false-villkor i en spelbok.

  5. I alternativet Sant väljer du Lägg till en åtgärd och sedan:

    1. Välj åtgärden Lägg till uppgift till incident från Microsoft Sentinel-anslutningsappen.
    2. Välj det dynamiska arm-ID:t för incident för fältet Arm-ID för incident.
    3. Ange Markera användaren som komprometterad som Rubrik.
    4. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbild som visar spelboksåtgärder för att lägga till en uppgift för att markera en användare som komprometterad.

  6. I alternativet Falskt väljer du Lägg till en åtgärd och sedan:

    1. Välj åtgärden Lägg till uppgift till incident från Microsoft Sentinel-anslutningsappen.
    2. Välj det dynamiska arm-ID:t för incident för fältet Arm-ID för incident.
    3. Ange Kontakta användaren för att bekräfta aktiviteten som rubrik.
    4. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbild som visar spelboksåtgärder för att lägga till en uppgift för att få användaren att bekräfta aktiviteten.

Relaterat innehåll

Mer information finns i: