Microsoft Sentinel playbook'larını oluşturma ve yönetme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Playbook'lar, bir olayın tamamına, tek bir uyarıya veya belirli bir varlığa yanıt olarak Microsoft Sentinel'den çalıştırılabilir yordam koleksiyonlarıdır. Playbook, yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir ve belirli uyarılar oluşturulduğunda veya olaylar oluşturulduğunda veya güncelleştirildiğinde otomatik olarak çalıştırılacak bir otomasyon kuralına eklenebilir. Playbook'lar belirli olaylar, uyarılar veya varlıklar üzerinde isteğe bağlı olarak el ile de çalıştırılabilir.

Bu makalede, Microsoft Sentinel playbook'larının nasıl oluşturulacağı ve yönetileceği açıklanır. Daha sonra bu playbook'ları analiz kurallarına veya otomasyon kurallarına ekleyebilir veya bunları belirli olaylar, uyarılar veya varlıklar üzerinde el ile çalıştırabilirsiniz.

Not

Microsoft Sentinel'deki Playbook'lar, Azure Logic Apps'te yerleşik iş akışlarını temel alır. Bu, Logic Apps'in tüm gücünü, özelleştirilebilirliğini ve yerleşik şablonlarını elde ettiğiniz anlamına gelir. Ek ücretler uygulanabilir. Daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Playbook'ları oluşturmak ve yönetmek için aşağıdaki Azure rollerinden biriyle Microsoft Sentinel'e erişmeniz gerekir:

• Mantıksal uygulamaları düzenlemek ve yönetmek için Mantıksal Uygulama Katkıda Bulunanı
• Logic App işleci, mantıksal uygulamaları okumak, etkinleştirmek ve devre dışı bırakmak için

Daha fazla bilgi için bkz . Microsoft Sentinel playbook önkoşulları.

Playbook'unuzu oluşturmadan önce Microsoft Sentinel playbook'ları için Azure Logic Apps'i okumanızı öneririz.

Playbook oluşturma

Microsoft Sentinel'de yeni bir playbook oluşturmak için şu adımları izleyin:

1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

   Azure portalı

   

   Defender portalı

   

2. Üst menüden Oluştur'u seçin ve ardından aşağıdaki seçeneklerden birini belirleyin:

   1. Standart playbook oluşturuyorsanız Boş playbook'u seçin ve ardından Standart mantıksal uygulama türü için adımları izleyin.

   2. Tüketim playbook'u oluşturuyorsanız, kullanmak istediğiniz tetikleyiciye bağlı olarak aşağıdaki seçeneklerden birini belirleyin ve aşağıdaki Logic Apps Tüketimi sekmesindeki adımları izleyin:

      • Olay tetikleyicili Playbook
      • Uyarı tetikleyicili Playbook
      • Varlık tetikleyicisi olan Playbook

   Daha fazla bilgi için bkz . Desteklenen mantıksal uygulama türleri ve Microsoft Sentinel playbook'larında desteklenen tetikleyiciler ve eylemler.

Playbook'unuzun Mantıksal Uygulamasını hazırlama

Tüketim veya Standart iş akışı kullanıp kullanmadığınıza bağlı olarak playbook'unuz için mantıksal uygulama oluşturma hakkında ayrıntılı bilgi için aşağıdaki sekmelerden birini seçin. Daha fazla bilgi için bkz . Desteklenen mantıksal uygulama türleri.

Tüketim

Olay, uyarı veya varlık tetikleyicisi de dahil olmak üzere kullanmak istediğiniz tetikleyiciyi seçtikten sonra playbook oluşturma sihirbazı görüntülenir. Örneğin:

Playbook'unuzu oluşturmak için aşağıdakileri yapın:

1. Temel Bilgiler sekmesinde:

   1. İlgili açılan listelerinden seçtiğiniz Abonelik, Kaynak grubu ve Bölge'yi seçin. Seçilen bölge, Mantıksal Uygulama bilgilerinizin depolandığı bölgedir.

   2. Playbook'unuz için Playbook adı'nın altına bir ad girin.

   3. Bu playbook'un etkinliğini tanılama amacıyla izlemek istiyorsanız Log Analytics'te tanılama günlüklerini etkinleştir onay kutusunu seçin ve açılan listeden Log Analytics çalışma alanınızı seçin.

   4. Playbook'larınızın bir Azure sanal ağı içindeki veya bağlı korumalı kaynaklara erişmesi gerekiyorsa, bir tümleştirme hizmeti ortamı (ISE) kullanmanız gerekebilir. Bu durumda Tümleştirme hizmeti ortamıyla ilişkilendir onay kutusunu seçin ve açılan listeden ilgili ISE'yi seçin.

   5. İleri: Bağlan ions >öğesini seçin.

2. Bağlan ions sekmesinde, Logic Apps'i yönetilen kimlikle Microsoft Sentinel'e bağlanacak şekilde yapılandırarak varsayılan değerleri bırakmanızı öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'ların kimliğini doğrulama.

   Devam etmek için İleri: Gözden geçir ve oluştur'u > seçin.

3. Gözden geçir ve oluştur sekmesinde, yaptığınız yapılandırma seçimlerini gözden geçirin ve Oluştur'u seçin ve tasarımcıya devam edin.

   Playbook'unuzun oluşturulması ve dağıtılması birkaç dakika sürer ve ardından "Dağıtımınız tamamlandı" iletisini görürsünüz ve yeni playbook'unuzun Mantıksal Uygulama Tasarım Aracı yönlendirilirsiniz. Başlangıçta seçtiğiniz tetikleyici otomatik olarak ilk adım olarak eklenir ve buradan iş akışını tasarlamaya devam edebilirsiniz.

   

4. Microsoft Sentinel varlık tetikleyicisini seçtiyseniz, bu playbook'un giriş olarak almasını istediğiniz varlık türünü seçin.

   

Standart

Standart iş akışına dayalı playbook'lar playbook şablonlarını desteklemediğinden önce mantıksal uygulamanızı oluşturmanız, ardından playbook'unuzu oluşturmanız ve son olarak playbook'unuz için tetikleyiciyi seçmeniz gerekir.

Boş playbook seçeneğini seçtikten sonra, Mantıksal Uygulama Oluşturma sihirbazıyla yeni bir tarayıcı sekmesi açılır. Örneğin:

Mantıksal uygulama oluşturma

1. Temel Bilgiler sekmesinde aşağıdaki ayrıntıları girin:

   1. İlgili açılan listelerinden seçtiğiniz Abonelik ve Kaynak Grubunu seçin.
   2. Mantıksal Uygulamanız için bir ad girin. Yayımla için İş Akışı'yı seçin. Mantıksal uygulamayı dağıtmak istediğiniz Bölgeyi seçin.
   3. Plan türü için Standart'ı seçin.
   4. İleri : Barındırma >öğesini seçin.

2. Barındırma sekmesinde:

   1. Depolama tür için Azure Depolama'ı seçin ve bir Depolama hesabı seçin veya oluşturun.
   2. Bir Windows Planı seçin.

3. İzleme sekmesinde:

   1. Bu uygulama için Azure İzleyici'de performans izlemeyi etkinleştirmek istiyorsanız, iki durumlu düğmeyi Evet'te bırakın. Aksi takdirde, hayır'a geçin.

      Not

      Bu izleme Microsoft Sentinel için gerekli değildir ve size ek maliyetler sağlayacaktır.

   2. İsteğe bağlı olarak, kaynak kategorilere ayırma ve faturalama amacıyla bu Mantıksal Uygulamaya etiket uygulamak için İleri : Etiketler'i > seçin. Aksi takdirde Gözden geçir ve oluştur'u seçin.

4. Gözden geçir ve oluştur sekmesinde, yaptığınız yapılandırma seçimlerini gözden geçirin ve Oluştur'u seçin.

   Playbook'unuzun oluşturulması ve dağıtılması birkaç dakika sürer ve bu süre boyunca bazı dağıtım iletileri görürsünüz. İşlemin sonunda, "Dağıtımınız tamamlandı" iletisini gördüğünüz son dağıtım ekranına yönlendirilirsiniz.

5. Kaynağa git’i seçin. Yeni Mantıksal Uygulamanızın ana sayfasına yönlendirilirsiniz.

   Klasik Tüketim playbook'larından farklı olarak henüz işiniz bitmedi. Şimdi bir iş akışı oluşturmanız gerekir.

Playbook'unuz için iş akışı oluşturma

1. Mantıksal Uygulamanızın ayrıntılar sayfasında İş Akışları > + Ekle'yi seçin. + Ekle düğmesinin etkinleşmesi birkaç dakika sürebilir.

2. Görüntülenen Yeni iş akışı bölmesinde:

   1. İş akışınız için anlamlı bir ad girin.
   2. Durum türü altında Durum bilgisi olan'ı seçin. Microsoft Sentinel, durum bilgisi olmayan iş akışlarının playbook olarak kullanılmasını desteklemez.
   3. Oluştur'u belirleyin.

   İş akışınız kaydedilir ve Mantıksal Uygulamanızdaki iş akışları listesinde görünür.

3. Devam etmek ve iş akışı ayrıntıları sayfanıza erişmek için yeni iş akışını seçin. Burada, iş akışınız hakkındaki tüm bilgileri ve çalıştığı tüm zamanların kaydını görebilirsiniz.

4. İş akışı ayrıntıları sayfasından Tasarım Aracı'ı seçin.

5. Tasarım Aracı sayfası açılır ve bir tetikleyici eklemeniz ve iş akışını tasarlamaya devam etmek isteyip istemediğiniz sorulur. Örneğin:

   

Tetikleyicinizi ekleme

1. Tasarım Aracı sayfasında Azure sekmesini seçin ve Arama kutusuna Sentinel yazın. Tetikleyiciler sekmesi, Microsoft Sentinel tarafından desteklenen tetikleyicileri gösterir, örneğin:

   • Microsoft Sentinel uyarısı
   • Microsoft Sentinel varlığı
   • Microsoft Sentinel olayı

   Örneğin:

   

2. Microsoft Sentinel varlık tetikleyicisini seçerseniz, bu playbook'un giriş olarak almasını istediğiniz varlık türünü seçin. Örneğin:

   

Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larında desteklenen tetikleyiciler ve eylemler.

Playbook'unuza eylem ekleme

Artık bir mantıksal uygulamanız olduğuna göre playbook'u çağırdığınızda ne olacağını tanımlayın. Yeni adım'ı seçerek eylemler, mantıksal koşullar, döngüler veya anahtar büyük/küçük harf koşulları ekleyin. Bu seçim tasarımcıda yeni bir çerçeve açar; burada etkileşim kurmak için bir sistem veya uygulama ya da ayarlayabileceğiniz bir koşul seçebilirsiniz. Çerçevenin üst kısmındaki arama çubuğuna sistem veya uygulamanın adını girin ve kullanılabilir sonuçlar arasından seçim yapın.

Bu adımların her birinde, herhangi bir alana tıklanması aşağıdaki menüleri içeren bir panel görüntüler:

• Dinamik içerik: Uyarı veya olayda yer alan tüm eşlenen varlıklarındeğerleri ve öznitelikleri ve özel ayrıntılar dahil olmak üzere playbook'a geçirilen uyarının veya olayın özniteliklerine başvurular ekleyin. Dinamik içerik kullanma örnekleri için bkz:

  • Olay kimliği olmayan varlık playbook'larını kullanma
  • Özel ayrıntılarla çalışma

• İfade: Adımlarınıza daha fazla mantık eklemek için büyük bir işlev kitaplığından seçim yapın.

Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larında desteklenen tetikleyiciler ve eylemler.

Kimlik doğrulama istemleri

Bir tetikleyiciyi veya sonraki herhangi bir eylemi seçtiğinizde, etkileşimde olduğunuz kaynak sağlayıcısında kimlik doğrulaması yapmanız istenir. Bu durumda sağlayıcı Microsoft Sentinel'dir ve birkaç kimlik doğrulama seçeneği vardır. Daha fazla bilgi için bkz.

• Microsoft Sentinel'de playbook'ların kimliğini doğrulama
• Microsoft Sentinel playbook'larında desteklenen tetikleyiciler ve eylemler

Dinamik içerik: Olay kimliği olmayan varlık playbook'larını kullanma

Varlık tetikleyicisi ile oluşturulan playbook'lar genellikle Olay ARM Kimliği alanını kullanır. Örneğin, varlık üzerinde eylem gerçekleştirdikten sonra bir olayı güncelleştirmek için.

Böyle bir playbook, tehdit avcılığı gibi bir olaya bağlı olmayan bir bağlamda tetikleniyorsa, kimliği bu alanı doldurabilecek bir olay yoktur. Bu durumda, alan null değerle doldurulur.

Sonuç olarak playbook tamamlanmaya çalışamayabilir. Bu hatayı önlemek için, herhangi bir eylem gerçekleştirmeden önce olay kimliği alanındaki bir değeri denetleyebilen bir koşul oluşturmanızı ve alanın null değeri varsa (yani playbook bir olaydan çalıştırılmıyorsa) farklı bir eylem kümesi yazmanızı öneririz.

Aşağıdaki adımları yapın:

1. Olay ARM Kimliği alanına başvuran ilk eylemden önce bir Koşul adımı ekleyin.

2. Yan tarafta Değer seçin alanını seçerek Dinamik içerik ekle iletişim kutusuna girin.

3. Olay ARM Kimliği (İsteğe bağlı) öğesini seçin ve işlecine eşit değildir.

4. Dinamik içerik ekle iletişim kutusuna yeniden Değer seçin'i seçin.

5. İfade sekmesini ve null işlevini seçin.

Örneğin:

Dinamik içerik: Özel ayrıntılarla çalışma

Olay tetikleyicisinde bulunan Uyarı özel ayrıntıları dinamik alanı, her biri bir uyarının özel ayrıntılarını temsil eden bir JSON nesneleri dizisidir. Özel ayrıntılar , uyarıdaki olaylardan gelen bilgileri olayın bir parçası olarak temsil edilebilmeleri, izlenebilmeleri ve analiz edilebilmeleri için ortaya çıkarmanızı sağlayan anahtar-değer çiftleridir.

Uyarıdaki bu alan özelleştirilebilir olduğundan, şeması ortaya çıkarılan olayın türüne bağlıdır. Özel ayrıntılar alanının nasıl ayrıştırıldığını belirleyen şemayı oluşturmak için bu olayın bir örneğinden veri sağlayın.

Örneğin:

Bu anahtar-değer çiftlerinde:

• Sol sütundaki anahtar, oluşturduğunuz özel alanları temsil eder.
• Sağ sütundaki değer, özel alanları dolduran olay verilerindeki alanları temsil eder.

Şemayı oluşturmak için aşağıdaki JSON kodunu sağlayın. Kod, anahtar adlarını dizi olarak, değerleri ise dizilerdeki öğeler olarak gösterir. Değerler, değerleri içeren sütun olarak değil gerçek değerler olarak gösterilir.

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

Olay tetikleyicileri için özel alanlar kullanmak için:

1. JSON Ayrıştır yerleşik eylemini kullanarak yeni bir adım ekleyin. Gerekirse bulmak için Arama alanına 'json ayrıştır' yazın.

2. Olay tetikleyicisinin altındaki Dinamik içerik listesinde Uyarı Özel Ayrıntıları'nı bulun ve seçin. Örneğin:

   

   Bir olay bir dizi uyarı içerdiğinden, bu her döngü için bir oluşturur.

3. Şema oluşturmak için örnek yükü kullan bağlantısını seçin. Örneğin:

   

4. Örnek bir yük sağlayın. Örneğin, Log Analytics'te bu uyarının başka bir örneğine bakarak ve Genişletilmiş Özellikler altında bulunan özel ayrıntılar nesnesini kopyalayarak örnek bir yük bulabilirsiniz. Log Analytics verilerine Azure portalındaki Günlükler sayfasından veya Defender portalındaki Gelişmiş tehdit avcılığı sayfasından erişin. Aşağıdaki ekran görüntüsünde, yukarıda gösterilen JSON kodunu kullandık.

   

Özel alanlar, Dizi türünde dinamik alanlar olarak kullanılmaya hazırdır. Örneğin, aşağıdaki ekran görüntüsünde, hem şemada hem de Dinamik içerik altında görüntülenen ve bu bölümde açıklanan listede bir dizi ve öğeleri gösterilir:

Playbook'larınızı yönetme

Erişiminiz olan tüm playbook'ları abonelik görünümünüz tarafından filtrelenmiş olarak görüntülemek için Otomasyon > Etkin playbook'ları sekmesini seçin.

Birleşik güvenlik operasyonları platformuna eklendikten sonra, Varsayılan olarak Etkin playbook'lar sekmesi, eklenen çalışma alanının aboneliğiyle önceden tanımlanmış bir filtre gösterir. Azure portalında, genel Azure sayfa üst bilgisindeki Dizin + abonelik menüsünden gösterdiğiniz abonelikleri düzenleyin.

Etkin playbook'lar sekmesinde seçili aboneliklerde kullanılabilen tüm etkin playbook'lar görüntülenirken, playbook'un kaynak grubuna özel olarak Microsoft Sentinel izinleri vermediğiniz sürece, varsayılan olarak playbook yalnızca ait olduğu abonelik içinde kullanılabilir.

Etkin playbook'lar sekmesi, playbook'larınızı aşağıdaki ayrıntılarla birlikte gösterir:

Sütun adı	Açıklama
Statü	Playbook'un etkin mi yoksa devre dışı mı olduğunu gösterir.
Plan	Playbook'un Standart mı yoksa Tüketim Azure Logic Apps kaynak türünü mü kullandığını gösterir. Standart türündeki playbook'lar, Standart playbook'un tek bir Mantıksal Uygulamadaki diğer iş akışlarıyla birlikte var olan bir iş akışını nasıl temsil ettiğini yansıtan adlandırma kuralını kullanırLogicApp/Workflow. Daha fazla bilgi için bkz . Microsoft Sentinel playbook'ları için Azure Logic Apps.
Tetikleyici türü	Bu playbook'u başlatan Azure Logic Apps tetikleyicisini gösterir: - Microsoft Sentinel Olayı/Uyarısı/Varlığı: Playbook olay, uyarı veya varlık gibi Sentinel tetikleyicilerinden biriyle başlatılır - Microsoft Sentinel Eylemini Kullanma: Playbook, Microsoft Sentinel olmayan bir tetikleyiciyle başlatılır ancak bir Microsoft Sentinel eylemi kullanır - Diğer: Playbook herhangi bir Microsoft Sentinel bileşeni içermez - Başlatılmadı: Playbook oluşturuldu, ancak bileşen içermiyor, hiçbir eylem tetiklemiyor.

Playbook hakkında daha fazla ayrıntı gösteren Azure Logic Apps sayfasını açmak için bir playbook seçin. Azure Logic Apps sayfasında:

• Playbook'un çalıştır olduğu tüm zamanların günlüğünü görüntüleme
• Başarılar, hatalar ve diğer ayrıntılar dahil olmak üzere çalıştırma sonuçlarını görüntüleme
• İlgili izinlere sahipseniz playbook'u doğrudan düzenlemek için Azure Logic Apps'te iş akışı tasarımcısını açın

İlgili içerik

Playbook'unuzu oluşturduktan sonra ortamınızdaki olaylar tarafından tetiklenecek kurallara ekleyin veya playbook'larınızı belirli olaylar, uyarılar veya varlıklar üzerinde el ile çalıştırın.

Daha fazla bilgi için bkz.

• Microsoft Sentinel playbook'larını otomatikleştirme ve çalıştırma
• Microsoft Sentinel'de playbook'ların kimliğini doğrulama
• Güvenliği aşılmış olabilecek kullanıcıları durdurmak için Microsoft Sentinel playbook'u kullanma