Şablonlardan Microsoft Sentinel playbook'ları oluşturma ve özelleştirme
Playbook şablonu, Microsoft Sentinel için gereksinimlerinizi karşılayacak şekilde özelleştirilebilen önceden oluşturulmuş, test edilmiş ve kullanıma hazır bir otomasyon iş akışıdır. Şablonlar, sıfırdan playbook'lar geliştirirken en iyi uygulamalar için bir başvuru veya yeni otomasyon senaryoları için ilham kaynağı olarak da kullanılabilir.
Playbook şablonları etkin playbook'lar değildir ve gereksinimleriniz için düzenlenebilir bir kopya oluşturmanız gerekir.
Birçok playbook şablonu Microsoft Sentinel topluluğu, bağımsız yazılım satıcıları (ISV' ler) ve Microsoft'un kendi uzmanları tarafından dünyanın dört bir yanındaki güvenlik operasyonları merkezleri tarafından kullanılan popüler otomasyon senaryolarına dayalı olarak geliştirilmiştir.
Önemli
Playbook şablonları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar
Playbook'ları oluşturmak ve yönetmek için aşağıdaki Azure rollerinden biriyle Microsoft Sentinel'e erişmeniz gerekir:
- Mantıksal uygulamaları düzenlemek ve yönetmek için Mantıksal Uygulama Katkıda Bulunanı
- Logic App işleci, mantıksal uygulamaları okumak, etkinleştirmek ve devre dışı bırakmak için
Daha fazla bilgi için bkz . Microsoft Sentinel playbook önkoşulları.
Playbook'unuzu oluşturmadan önce Microsoft Sentinel playbook'ları için Azure Logic Apps'i okumanızı öneririz.
Playbook şablonlarına erişme
Playbook şablonlarına aşağıdaki kaynaklardan erişin:
| Konum | Açıklama |
|---|---|
| Microsoft Sentinel Otomasyonu sayfası | Playbook şablonları sekmesinde yüklü tüm playbook'lar listelenir. Aynı şablonu kullanarak bir veya daha fazla etkin playbook oluşturun. Şablonun yeni bir sürümünü yayımladığımızda, bu şablondan oluşturulan tüm etkin playbook'lar, bir güncelleştirmenin kullanılabilir olduğunu belirtmek için Etkin playbook'lar sekmesine ek bir etiket ekler. |
| Microsoft Sentinel İçerik hub'ı sayfası | Playbook şablonları, İçerik hub'ından yüklenen ürün çözümlerinin veya tek başına içeriğin bir parçası olarak kullanılabilir. Daha fazla bilgi için, şuraya bakın: Microsoft Sentinel içeriği ve çözümleri hakkında Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme |
| GitHub | Microsoft Sentinel GitHub deposu başka birçok playbook şablonu içerir. Azure aboneliğinize şablon dağıtmak için Azure'a dağıt'ı seçin. |
Teknik olarak playbook şablonu, çeşitli kaynaklardan oluşan bir Azure Resource Manager (ARM) şablonudur: Azure Logic Apps iş akışı ve ilgili her bağlantı için API bağlantıları.
Bu makale, Otomasyon altındaki Playbook şablonları sekmesinden bir playbook şablonu dağıtmaya odaklanır.
Playbook şablonlarını keşfetme
Azure portalında Microsoft Sentinel için İçerik yönetimi>İçerik hub'ı sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.
İçerik hub'ı sayfasında, Playbook'u filtrelemek için İçerik türü'nü seçin. Bu filtrelenmiş görünümde, bir veya daha fazla playbook şablonu içeren tüm çözümler ve tek başına içerik listelenir. Şablonu almak için çözümü veya tek başına içeriği yükleyin.
Ardından, yüklü şablonları görüntülemek için Yapılandırma>Otomasyonu>Playbook şablonları sekmesini seçin. Örneğin:
Gereksinimlerinize uygun bir playbook şablonu bulmak için listeyi aşağıdaki ölçütlere göre filtreleyin:
| Filtre | Açıklama |
|---|---|
| Tetikleyici | Olaylar, uyarılar veya varlıklar dahil olmak üzere playbook'un nasıl tetikleneceğine göre filtreleyin. Daha fazla bilgi için bkz . Desteklenen Microsoft Sentinel tetikleyicileri. |
| Logic Apps bağlayıcıları | Playbook'ların etkileşimde olduğu dış hizmetlere göre filtreleyin. Dağıtım işlemi sırasında, her bağlayıcının dış hizmette kimlik doğrulaması yapmak için bir kimlik varsayması gerekir. |
| Varlıklar | Playbook'un olayda bulmayı beklediği varlık türlerine göre filtreleyin. Örneğin, güvenlik duvarına IP adresini engellemesini söyleyen bir playbook, olaydaki IP adreslerini bulmayı bekler. Bu tür olaylar deneme yanılma saldırısı analizi kuralı tarafından oluşturulabilir. |
| Etiketler | Playbook'a uygulanan etiketlere göre filtreleyin, playbook'u belirli bir senaryoyla ilgili veya özel bir özelliği belirtin. Örneğin: - Zenginleştirme - Bir olaya bağlam eklemek için başka bir hizmetten bilgi getiren Playbook'lar. Bu bilgiler genellikle olaya açıklama olarak eklenir veya SOC'ye gönderilir. - Düzeltme - Olası bir tehdidi ortadan kaldırmak için etkilenen varlıklar üzerinde eylemde bulunan Playbook'lar. - Eşitleme - Olay yönetimi hizmeti gibi bir dış hizmetin olayın özellikleriyle güncelleştirilmesi için yardımcı olan Playbook. - Bildirim - E-posta veya ileti gönderen playbook'lar. - Teams'den yanıt - Analistlerin etkileşimli kartları kullanarak Teams'den el ile eylem gerçekleştirmesine olanak sağlayan Playbook'lar. |
Örneğin:
Şablondan playbook'u özelleştirme
Bu yordamda playbook şablonlarının nasıl dağıtılacağı açıklanır ve aynı şablondan birden çok playbook oluşturmak için tekrarlanabilir.
Çoğu playbook şablonu olduğu gibi kullanılabilse de, playbook'unuzu SOC gereksinimlerinize uyacak şekilde ayarlamanızı öneririz.
Playbook şablonları sekmesinde başlangıç olarak bir playbook seçin.
Playbook'un önkoşulları varsa yönergeleri izlediğinden emin olun. Örneğin:
Bazı playbook'lar diğer playbook'ları eylem olarak çağırır. Bu ikinci playbook iç içe playbook olarak adlandırılır. Böyle bir durumda, önkoşullardan biri önce iç içe playbook'u dağıtmaktır.
Bazı playbook'lar için özel bir Logic Apps bağlayıcısı veya Azure İşlevi dağıtılması gerekir. Bu gibi durumlarda, sizi genel ARM şablonu dağıtım işlemine götüren bir Azure'a Dağıt bağlantısı vardır.
Playbook oluşturma sihirbazını seçili şablona göre açmak için Playbook oluştur'u seçin. Sihirbazın dört sekmesi vardır:
Temel bilgiler: Logic Apps kaynağı olan yeni playbook'unuzu bulun ve bir ad verin. Varsayılanı kullanabilirsiniz. Örneğin:
Parametreler: Playbook'un kullandığı müşteriye özgü değerleri girin. Örneğin, playbook SOC'ye bir e-posta gönderirse, alıcı adresini tanımlayın. Playbook'un kullanımda olan özel bir bağlayıcısı varsa, bu bağlayıcının aynı kaynak grubunda dağıtılması gerekir ve parametreler sekmesine adını girmeniz istenir.
Parametreler sekmesi yalnızca playbook'ta parametreler olup olmadığını gösterir. Örneğin:
Bağlan ions: Önceki playbook'lar için oluşturduğunuz mevcut bağlantıları görmek için her eylemi genişletin. Mevcut bağlantıları kullanmayı veya yeni bir bağlantı oluşturmayı seçebilirsiniz. Örneğin:
Yeni bağlantı oluşturmak için Dağıtımdan sonra yeni bağlantı oluştur'u seçin. Bu seçenek, dağıtım işlemi tamamlandıktan sonra sizi Logic Apps tasarımcısına götürür.
Özel bağlayıcılar, Parametreler sekmesine girilen özel bağlayıcı adıyla listelenir.
Microsoft Sentinel gibi yönetilen kimlikle bağlanmayı destekleyen bağlayıcılar için, yönetilen kimlik varsayılan bağlantı yöntemidir.
Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'ların kimliğini doğrulama.
Gözden Geçirme ve Oluşturma: İşlemin özetini görüntüleyin ve playbook'u oluşturmadan önce girişinizin doğrulanması bekleniyor.
Playbook oluşturma sihirbazındaki adımları sonuna kadar takip ettikten sonra Logic Apps tasarımcısında yeni playbook'un iş akışı tasarımına yönlendirilirsiniz. Örneğin:
Seçtiğiniz her bağlayıcı için dağıtım sonrası için yeni bir bağlantı oluşturun:
Gezinti menüsünde API bağlantıları'nı ve ardından bağlantı adını seçin. Örneğin:
Gezinti menüsünden API bağlantısını düzenle'yi seçin.
Gerekli parametreleri doldurun ve Kaydet'i seçin. Örneğin:
Alternatif olarak, Logic Apps tasarımcısındaki ilgili adımların içinden yeni bir bağlantı oluşturun:
Hata işaretiyle birlikte görüntülenen her adım için genişletmek için bu adımı seçin ve ardından Yeni ekle'yi seçin.
İlgili yönergelere göre kimlik doğrulaması. Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'ların kimliğini doğrulama.
Aynı bağlayıcıyı kullanan başka adımlar varsa kutularını genişletin. Görüntülenen bağlantılar listesinden yeni oluşturduğunuz bağlantıyı seçin.
Microsoft Sentinel için veya desteklenen diğer bağlantılar için yönetilen kimlik bağlantısı kullanmayı seçtiyseniz, Microsoft Sentinel çalışma alanında veya diğer bağlayıcılar için ilgili hedef kaynaklarda yeni playbook'a izinler verdiğinden emin olun.
Playbook'u kaydedin. Playbook, Etkin Playbook'lar sekmesinde görünür.
Playbook'unuzu çalıştırmak için otomatik bir yanıt ayarlayın veya el ile çalıştırın. Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larıyla tehditlere yanıt verme.
Playbook şablonunda sorun bildirme
Bir hatayı bildirmek veya bir playbook için iyileştirme istemek için playbook'un ayrıntılar bölmesindeki Tarafından destekleniyor bağlantısını seçin. Bu topluluk tarafından desteklenen bir playbook ise bağlantı sizi GitHub sorununu açmaya götürür. Aksi takdirde, destekçinin sayfasına yönlendirilirsiniz ve geri bildiriminizi nasıl gönderebilirsiniz?
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin