Aracılığıyla paylaş

Microsoft Sentinel playbook'larını otomatikleştirme ve çalıştırma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbook'lar, bir olayın tamamına, tek bir uyarıya veya belirli bir varlığa yanıt olarak Microsoft Sentinel'den çalıştırılabilir yordam koleksiyonlarıdır. Playbook, yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir ve otomasyon kuralına eklenerek belirli uyarılar oluşturulduğunda veya olaylar oluşturulduğunda veya güncelleştirildiğinde otomatik olarak çalışacak şekilde ayarlanabilir. Ayrıca belirli olaylar, uyarılar veya varlıklar üzerinde isteğe bağlı olarak el ile de çalıştırılabilir.

Bu makalede analiz kurallarına veya otomasyon kurallarına playbook ekleme veya playbook'ları belirli olaylar, uyarılar veya varlıklar üzerinde el ile çalıştırma açıklanmaktadır.

Not

Microsoft Sentinel'deki Playbook'lar, Azure Logic Apps'te yerleşik iş akışlarını temel alır. Bu, Logic Apps'in tüm gücünü, özelleştirilebilirliğini ve yerleşik şablonlarını elde ettiğiniz anlamına gelir. Ek ücretler uygulanabilir. Daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Başlamadan önce tetikleyici, koşullar ve eylemler tanımlanmış şekilde otomatikleştirmeye veya çalıştırmaya uygun bir playbook'nuz olduğundan emin olun. Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larını oluşturma ve yönetme.

Playbook'ları çalıştırmak için gerekli Azure rolleri

Playbook'ları çalıştırmak için aşağıdaki Azure rollerine ihtiyacınız vardır:

Rol Açıklama
Sahip Kaynak grubundaki playbook'lara erişim vermenizi sağlar.
Microsoft Sentinel Katkıda Bulunanı Analiz kuralına veya otomasyon kuralına playbook ekleme
Microsoft Sentinel Yanıtlayıcısı Playbook'u el ile çalıştırmak için bir olaya erişin. Playbook'u gerçekten çalıştırmak için aşağıdaki rollere de ihtiyacınız vardır:

- Bir playbook'u el ile çalıştırmak için Microsoft Sentinel Playbook Operatörü
- Otomasyon kurallarının playbook'ları çalıştırmasına izin vermek için Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü.

Daha fazla bilgi için bkz . playbook önkoşulları.

Olaylar üzerinde playbook çalıştırmak için gereken ek izinler

Microsoft Sentinel, olaylar üzerinde playbook çalıştırmak, güvenlik eklemek ve CI/CD kullanım örneklerini desteklemek üzere otomasyon kuralları API'sini etkinleştirmek için bir hizmet hesabı kullanır. Bu hizmet hesabı, olayla tetiklenen playbook'lar için veya belirli bir olay üzerinde el ile bir playbook çalıştırdığınızda kullanılır.

Kendi rollerinize ve izinlerinize ek olarak, bu Microsoft Sentinel hizmet hesabının playbook'un bulunduğu kaynak grubunda Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü biçiminde kendi izinleri olmalıdır. Microsoft Sentinel bu role sahip olduktan sonra ilgili kaynak grubundaki herhangi bir playbook'u el ile veya otomasyon kuralından çalıştırabilir.

Microsoft Sentinel'e gerekli izinleri vermek için Sahip veya Kullanıcı erişimi yöneticisi rolüne sahip olmanız gerekir. Playbook'ları çalıştırmak için çalıştırmak istediğiniz playbook'ları içeren kaynak grubunda Mantıksal Uygulama Katılımcısı rolüne de ihtiyacınız vardır.

Çok kiracılı dağıtımdaki olaylar için playbook izinlerini yapılandırma

Çok kiracılı bir dağıtımda, çalıştırmak istediğiniz playbook farklı bir kiracıdaysa, Microsoft Sentinel hizmet hesabına playbook'u playbook'un kiracısında çalıştırma izni vermelisiniz.

  1. Playbook'ların kiracısında Microsoft Sentinel gezinti menüsünden Ayarlar'ı seçin.

  2. Ayarlar sayfasında Ayarlar sekmesini ve ardından Playbook izinleri genişleticisini seçin.

  3. İzinleri yapılandır düğmesini seçerek İzinleri yönet panelini açın.

  4. Çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin. Örneğin:

    Playbook'u çalıştır seçeneğinin seçili olduğu eylemler bölümünü gösteren ekran görüntüsü.

Microsoft Sentinel izinleri vermek istediğiniz herhangi bir kaynak grubunda sahip izinlerine sahip olmanız ve çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Microsoft Sentinel Playbook Operatörü rolüne sahip olmanız gerekir.

MSSP senaryosunda, hizmet sağlayıcısı kiracısında oturum açarken oluşturulan otomasyon kuralından bir playbook'u müşteri kiracısında çalıştırmak istiyorsanız, Microsoft Sentinel'e playbook'u her iki kiracıda da çalıştırma izni vermelisiniz:

  • Müşteri kiracısında, çok kiracılı dağıtım için standart yönergeleri izleyin.

  • Hizmet sağlayıcısı kiracısında, Azure Lighthouse ekleme şablonunuza Azure Security Insights uygulamasını aşağıdaki gibi ekleyin:

    1. Azure portalından Microsoft Entra Id'ye gidin ve Kurumsal uygulamalar'ı seçin.
    2. Uygulama türü'nü seçin ve Microsoft Uygulamaları'nda filtreleyin.
    3. Arama kutusuna Azure Security Insights yazın.
    4. Nesne Kimliği alanını kopyalayın. Bu ek yetkilendirmeyi mevcut Azure Lighthouse temsilcinize eklemeniz gerekir.

Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü sabit bir GUID'sine f4c81013-99ee-4d62-a7ee-b3f1f648599asahiptir. Örnek bir Azure Lighthouse yetkilendirmesi, parametre şablonunuzda aşağıdakine benzer olacaktır:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Olaylara ve uyarılara yanıtları otomatikleştirme

Playbook ile tüm olaylara veya tek tek uyarılara otomatik olarak yanıt vermek için, olay oluşturulduğunda veya güncelleştirildiğinde ya da uyarı oluşturulduğunda çalışan bir otomasyon kuralı oluşturun. Bu otomasyon kuralı, kullanmak istediğiniz playbook'u çağıran bir adım içerir.

Otomasyon kuralı oluşturmak için:

  1. Microsoft Sentinel gezinti menüsündeki Otomasyon sayfasından, üst menüden Oluştur'u ve ardından Otomasyon kuralı'nı seçin. Örneğin:

    Yeni otomasyon kuralının nasıl ekleneceğini gösteren ekran görüntüsü.

  2. Yeni otomasyon kuralı oluştur paneli açılır. Kuralınız için bir ad girin. Seçenekleriniz, çalışma alanınızın birleşik güvenlik operasyonları platformuna eklenip eklenmediğine bağlı olarak farklılık gösterir. Örneğin:

  3. Tetikleyici: Otomasyon kuralını oluşturduğunuz duruma göre uygun tetikleyiciyi seçin: Olay oluşturulduğunda, Olay güncelleştirildiğinde veya Uyarı oluşturulduğunda.

  4. Koşul -ları:

    1. Çalışma alanınız henüz birleşik güvenlik operasyonları platformuna eklenmiyorsa, olaylar iki olası kaynağa sahip olabilir:

      Olay tetikleyicilerinden birini seçtiyseniz ve otomasyon kuralının yalnızca Microsoft Sentinel'de veya alternatif olarak Microsoft Defender XDR'de bulunan olaylar üzerinde geçerli olmasını istiyorsanız, Olay sağlayıcısı eşitse koşulunda kaynağı belirtin.

      Bu koşul yalnızca bir olay tetikleyicisi seçildiğinde ve çalışma alanınız birleşik güvenlik operasyonları platformuna eklenmediyse görüntülenir.

    2. Tüm tetikleyici türleri için, otomasyon kuralının yalnızca belirli analiz kuralları üzerinde etkili olmasını istiyorsanız, If Analytics kural adı içinde koşulunu değiştirerek hangilerini belirtin.

    3. Bu otomasyon kuralının çalışıp çalışmadığını belirlemek istediğiniz diğer koşulları ekleyin. + Ekle'yi seçin ve açılan listeden koşulları veya koşul gruplarını seçin. Koşulların listesi uyarı ayrıntısı ve varlık tanımlayıcı alanlarıyla doldurulur.

  5. Eylemler:

    1. Playbook çalıştırmak için bu otomasyon kuralını kullandığınızdan, açılan listeden Playbook'u çalıştır eylemini seçin. Ardından kullanılabilir playbook'ları gösteren ikinci bir açılan listeden seçim yapmanız istenir. Otomasyon kuralı yalnızca kuralda tanımlanan tetikleyiciyle aynı tetikleyiciyle (olay veya uyarı) başlayan playbook'ları çalıştırabilir, bu nedenle yalnızca bu playbook'lar listede görünür.

      Açılan listede playbook gri görünüyorsa, Bu, Microsoft Sentinel'in bu playbook'un kaynak grubuna izin vermediği anlamına gelir. İzinleri atamak için Playbook izinlerini yönetme bağlantısını seçin.

      Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin. Örneğin:

      Playbook'u çalıştır seçeneğinin seçili olduğu eylemler bölümünü gösteren ekran görüntüsü.

      Microsoft Sentinel izinleri vermek istediğiniz herhangi bir kaynak grubunda sahip izinlerine sahip olmanız ve çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Microsoft Sentinel Playbook Operatörü rolüne sahip olmanız gerekir.

      Daha fazla bilgi için bkz . Olaylar üzerinde playbook çalıştırmak için gereken ek izinler.

    2. Bu kural için istediğiniz diğer eylemleri ekleyin. Herhangi bir eylemin sağındaki yukarı veya aşağı okları seçerek eylemlerin yürütülme sırasını değiştirebilirsiniz.

  6. Otomasyon kuralınız için bir son kullanma tarihi ayarlayın.

  7. Bu kuralın otomasyon kuralları dizisinde nerede çalıştırdığını belirlemek için Sipariş'in altına bir sayı girin.

  8. Otomasyonunuzu tamamlamak için Uygula'yı seçin.

Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larını oluşturma ve yönetme.

Uyarıları yanıtlama— eski yöntem

Playbook'ları uyarılara yanıt olarak otomatik olarak çalıştırmanın bir diğer yolu da bunları bir analiz kuralından çağırmaktır. Kural bir uyarı oluşturduğunda playbook çalışır.

Bu yöntem Mart 2026 itibarıyla kullanımdan kaldırılacaktır.

Haziran 2023'te artık analiz kurallarına bu şekilde playbook ekleyemezsiniz. Ancak analiz kurallarından çağrılan mevcut playbook'ları görmeye devam edebilirsiniz ve bu playbook'lar Mart 2026'ya kadar çalışmaya devam eder. Bundan önce bu playbook'ları çağırmak için otomasyon kuralları oluşturmanızı kesinlikle öneririz.

Playbook'u isteğe bağlı olarak el ile çalıştırma

Uyarılara, olaylara veya varlıklara yanıt olarak, isteğe bağlı olarak bir playbook'u el ile de çalıştırabilirsiniz. Bu, düzenleme ve yanıt süreçlerine daha fazla insan girişi ve denetim sahibi olmak istediğiniz durumlarda yararlı olabilir.

Playbook'u bir uyarıda el ile çalıştırma

Bu yordam birleşik güvenlik operasyonları platformunda desteklenmez.

Azure portalında, ortamınız için gereken şekilde aşağıdaki sekmelerden birini seçin:

  1. Olaylar sayfasında bir olay seçin ve ardından Olay ayrıntıları sayfasını açmak için Tüm ayrıntıları görüntüle'yi seçin.

  2. Olay ayrıntıları sayfasındaki Olay zaman çizelgesi pencere öğesinde playbook'u çalıştırmak istediğiniz uyarıyı seçin. Uyarı satırının sonundaki üç noktayı seçin ve açılır menüden Playbook'u çalıştır'ı seçin.

    İsteğe bağlı bir uyarıda playbook çalıştırmanın ekran görüntüsü.

  3. Uyarı playbook'ları bölmesi açılır. Erişiminiz olan Microsoft Sentinel Uyarı Logic Apps tetikleyicisi ile yapılandırılmış tüm playbook'ların listesini görürsünüz.

  4. Belirli bir playbook'un satırında Çalıştır'ı seçerek hemen çalıştırın.

Uyarı playbook'ları bölmesindeki Çalıştırmalar sekmesini seçerek playbook'ların çalıştırma geçmişini bir uyarıda görebilirsiniz. Yeni tamamlanan çalıştırmaların listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Logic Apps'te tam çalıştırma günlüğü açılır.

Bir olayda playbook'u el ile çalıştırma

Bu yordam, Microsoft Sentinel'de mi yoksa birleşik güvenlik operasyonları platformunda mı çalıştığınıza bağlı olarak farklılık gösterir. Ortamınız için ilgili sekmeyi seçin:

  1. Olaylar sayfasında bir olay seçin.

  2. Yan tarafta görüntülenen olay ayrıntıları bölmesinden Eylemler > Playbook'u Çalıştır'ı seçin.

    Kılavuzda olayın satırının sonundaki üç noktayı seçmek veya olaya sağ tıklamak Eylem düğmesiyle aynı listeyi görüntüler.

  3. Olay panelinde playbook'u çalıştır seçeneği yan tarafta açılır. Erişiminiz olan Microsoft Sentinel Olay Logic Apps tetikleyicisi ile yapılandırılmış tüm playbook'ların listesini görürsünüz.

    Çalıştırmak istediğiniz playbook'u listede görmüyorsanız, Bu, Microsoft Sentinel'in bu kaynak grubunda playbook çalıştırma izinlerine sahip olmadığı anlamına gelir.

    Bu izinleri vermek için Ayarlar>Ayarlar>Playbook izinleri İzinleri> yapılandır'ı seçin. Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin.

    Daha fazla bilgi için bkz . Olaylar üzerinde playbook çalıştırmak için gereken ek izinler.

  4. Belirli bir playbook'un satırında Çalıştır'ı seçerek hemen çalıştırın.

    Çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Microsoft Sentinel playbook operatör rolüne sahip olmanız gerekir. Playbook'u eksik izinler nedeniyle çalıştıramıyorsanız, size ilgili izinleri vermesi için bir yöneticiye başvurmanızı öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel playbook önkoşulları.

Olay panelinde playbook'u çalıştır'ı seçerek bir olaydaki playbook'ların çalıştırma geçmişini görüntüleyin. Yeni tamamlanan çalıştırmaların listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Logic Apps'te tam çalıştırma günlüğü açılır.

Varlıkta playbook'u el ile çalıştırma

Bu yordam birleşik güvenlik operasyonları platformunda desteklenmez.

Kaynak bağlamınıza bağlı olarak aşağıdaki yollardan biriyle bir varlık seçin:

Bir olayın ayrıntılar sayfasındaysanız (yeni sürüm):

Genel Bakış sekmesindeki Varlıklar pencere öğesinde varlığınızı bulun ve aşağıdakilerden birini yapın:

  • Varlığı seçmeyin. Bunun yerine varlığın sağındaki üç noktayı seçin ve ardından Playbook'u çalıştır'ı seçin. Çalıştırmak istediğiniz playbook'u bulun ve playbook'un satırında Çalıştır'ı seçin.

  • Varlığı seçerek olay ayrıntıları sayfasının Varlıklar sekmesini açın. Listede varlığınızı bulun ve sağ taraftaki üç noktayı seçin. Çalıştırmak istediğiniz playbook'u bulun ve playbook'un satırında Çalıştır'ı seçin.

  • Bir varlık seçin ve varlık ayrıntıları sayfasına gidin. Ardından sol taraftaki panelde Playbook'u çalıştır düğmesini seçin. Çalıştırmak istediğiniz playbook'u bulun ve playbook'un satırında Çalıştır'ı seçin.

Geldiğiniz bağlamdan bağımsız olarak, bu yordamın son adımı Varlık türündeki> playbook'u< çalıştır panelindendir. Bu panelde, seçilen varlık türü için Microsoft Sentinel Entity Logic Apps tetikleyicisi ile yapılandırılan erişiminiz olan tüm playbook'ların listesi gösterilir.

*Playbook'u <varlık türünde> çalıştır bölmesinde, belirli bir varlığın playbook çalıştırma geçmişini görmek için Çalıştırmalar sekmesini seçin. Yeni tamamlanan çalıştırmaların listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Logic Apps'te tam çalıştırma günlüğü açılır.

İlgili içerik

Daha fazla bilgi için bkz.