Svara på hotaktörer vid undersökning eller hotjakt i Microsoft Sentinel

  • Artikel

Den här artikeln visar hur du vidtar åtgärder mot hotaktörer på plats, under en incidentundersökning eller hotjakt, utan att pivotera eller kontext växla ut från undersökningen eller jakten. Du gör detta med hjälp av spelböcker baserat på den nya entitetsutlösaren.

Entitetsutlösaren stöder för närvarande följande entitetstyper:

Viktigt!

Entitetsutlösaren är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Köra spelböcker med entitetsutlösaren

När du undersöker en incident och du fastställer att en viss entitet – ett användarkonto, en värd, en IP-adress, en fil och så vidare – utgör ett hot, kan du vidta omedelbara åtgärder för att åtgärda hotet genom att köra en spelbok på begäran. Du kan göra på samma sätt om du stöter på misstänkta entiteter när du proaktivt jagar efter hot utanför händelsekontexten.

  1. Välj entiteten i vilken kontext du än stöter på den och välj lämpligt sätt att köra en spelbok på följande sätt:

    • I widgeten Entiteter på fliken Översikt för en incident på sidan med ny incidentinformation (nu i förhandsversion) eller på fliken Entiteter väljer du en entitet i listan, väljer de tre punkterna bredvid entiteten och väljer Kör spelbok (förhandsversion) på popup-menyn.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • På fliken Entiteter i en incident väljer du entiteten i listan och väljer länken Kör spelbok (förhandsversion) i slutet av raden i listan.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • I diagrammet Undersökning väljer du en entitet och väljer knappen Kör spelbok (förhandsversion) på entitetspanelen.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • På sidan Entitetsbeteende väljer du en entitet. På den resulterande entitetssidan väljer du knappen Kör spelbok (förhandsversion) i den vänstra panelen.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Alla dessa öppnar spelboken Kör på <entitetstyppanelen> .

    Screenshot of Run playbook on entity panel.

    I någon av dessa paneler visas två flikar: Spelböcker och körningar.

  3. På fliken Spelböcker visas en lista över alla spelböcker som du har åtkomst till och som använder Utlösaren för Microsoft Sentinel-entitet för den entitetstypen (i det här fallet användarkonton). Välj knappen Kör för den spelbok som du vill köra den direkt.

    Kommentar

    Om du inte ser den spelbok som du vill köra i listan innebär det att Microsoft Sentinel inte har behörighet att köra spelböcker i resursgruppen (läs mer). Om du vill bevilja dessa behörigheter väljer du Inställningar på huvudmenyn, väljer fliken Inställningar, expanderar behörigheter för spelboken och väljer Konfigurera behörigheter. I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och väljer Tillämpa.

  4. Du kan granska aktiviteten för dina entitetsutlösarspelböcker på fliken Körningar . Du ser en lista över alla gånger en spelbok har körts på den entitet som du har valt. Det kan ta några sekunder innan en precis slutförd körning visas i den här listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Azure Logic Apps.

Nästa steg

I den här artikeln har du lärt dig hur du kör spelböcker manuellt för att åtgärda hot från entiteter när du undersöker en incident eller letar efter hot.