Aracılığıyla paylaş

Playbook'ları kullanarak Microsoft Sentinel'de olay görevleri oluşturma ve gerçekleştirme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, Microsoft Sentinel'de karmaşık analist iş akışı işlemlerini yönetmek üzere olay görevleri oluşturmak ve isteğe bağlı olarak gerçekleştirmek için playbook'ların nasıl kullanılacağı açıklanmaktadır.

Playbook'u tetikleyen olaya otomatik olarak görev eklemek için Microsoft Sentinel bağlayıcısında bir playbook'ta Görev ekle eylemini kullanın. Hem Standart hem de Tüketim iş akışları desteklenir.

İpucu

Olay görevleri yalnızca playbook'lar tarafından değil, aynı zamanda otomasyon kuralları tarafından ve ayrıca bir olayın içinden el ile geçici olarak oluşturulabilir.

Daha fazla bilgi için bkz . Microsoft Sentinel'de olayları yönetmek için görevleri kullanma.

Önkoşullar

  • Görevleri eklemek, görüntülemek ve düzenlemek için gereken olayları görüntülemek ve düzenlemek için Microsoft Sentinel Yanıtlayıcısı rolü gereklidir.

  • Playbook'ları oluşturmak ve düzenlemek için Logic Apps Katkıda Bulunanı rolü gereklidir.

Daha fazla bilgi için bkz . Microsoft Sentinel playbook önkoşulları.

Görev eklemek ve gerçekleştirmek için playbook kullanma

Bu bölümde, aşağıdakileri yapabilen bir playbook eylemi eklemek için örnek bir yordam sağlanır:

  • Güvenliği aşılmış bir kullanıcının parolasını sıfırlayarak olaya bir görev ekler
  • Parolayı sıfırlamak için Microsoft Entra Kimlik Koruması 'a (AADIP) sinyal göndermek için başka bir playbook eylemi ekler
  • Olaydaki görevi tamamlandı olarak işaretlemek için son bir playbook eylemi ekler.

Bu eylemleri eklemek ve yapılandırmak için aşağıdaki adımları uygulayın:

  1. Microsoft Sentinel bağlayıcısından Olay olayına görev ekle eylemini ekleyin ve ardından:

    1. Olay ARM kimliği alanı için Olay ARM Kimliği dinamik içerik öğesini seçin.

    2. Başlık olarak Kullanıcı parolasını sıfırla yazın.

    3. İsteğe bağlı bir açıklama ekleyin.

    Örneğin:

    Ekran görüntüsü, kullanıcının parolasını sıfırlamak için görev eklemeye yönelik playbook eylemlerini gösterir.

  2. Varlıklar - Hesapları Al (Önizleme) eylemini ekleyin. Varlıklar dinamik içerik öğesini (Microsoft Sentinel olay şemasından) Varlıklar listesi alanına ekleyin. Örneğin:

    Olaydaki hesap varlıklarını almak için playbook eylemlerini gösteren ekran görüntüsü.

  3. Denetim eylemleri kitaplığından Her bir için döngüsü ekleyin. Varlıklar - Hesapları Al çıkışındaki Hesaplar dinamik içerik öğesini Önceki adımlardan bir çıkış seçin alanına ekleyin. Örneğin:

    Bulunan her hesapta eylem gerçekleştirmek için playbook'a her bir döngü için eylemin nasıl ekleneceğini gösteren ekran görüntüsü.

  4. Her döngü için içinde Eylem ekle'yi seçin. Ardından:

    1. Microsoft Entra Kimlik Koruması bağlayıcısını arama ve seçme
    2. Riskli bir kullanıcıyı tehlikeye atılmış olarak onayla (Önizleme) eylemini seçin.
    3. Hesaplar Microsoft Entra kullanıcı kimliği dinamik içerik öğesini userIds Öğesi - 1 alanına ekleyin.

    Bu eylem, kullanıcının parolasını sıfırlamak için Microsoft Entra Kimlik Koruması içinde hareket işlemlerini ayarlar.

    Güvenliğin aşılmasına onay vermek için AADIP'ye varlık göndermeyi gösteren ekran görüntüsü.

    Not

    Hesaplar Microsoft Entra kullanıcı kimliği alanı, AADIP'de bir kullanıcıyı tanımlamanın bir yoludur. Her senaryoda en iyi yol olmayabilir, ancak örnek olarak buraya getirilir.

    Yardım için, güvenliği aşılmış kullanıcıları işleyen diğer playbook'lara veya Microsoft Entra Kimlik Koruması belgelerine başvurun.

  5. Microsoft Sentinel bağlayıcısından Görevi tamamlandı olarak işaretle eylemini ekleyin ve Olay görev kimliği dinamik içerik öğesini Görev ARM kimliği alanına ekleyin. Örneğin:

    Bir olay görevini tamamlandı olarak işaretlemek için playbook eyleminin nasıl ekleneceğini gösteren ekran görüntüsü.

Görevi koşullu olarak eklemek için playbook kullanma

Bu bölümde, bir olayda görünen IP adresini araştıran bir playbook eylemi eklemek için örnek bir yordam sağlanır.

  • Bu araştırmanın sonuçları IP adresinin kötü amaçlı olduğuysa playbook, analistin bu IP adresini kullanarak kullanıcıyı devre dışı bırakması için bir görev oluşturur.
  • IP adresi bilinen bir kötü amaçlı adres değilse playbook, analistin etkinliği doğrulamak için kullanıcıyla iletişim kurması için farklı bir görev oluşturur.

Bu eylemleri eklemek ve yapılandırmak için aşağıdaki adımları uygulayın:

  1. Microsoft Sentinel bağlayıcısından Varlıklar - IP Al eylemini ekleyin. Varlıklar dinamik içerik öğesini (Microsoft Sentinel olay şemasından) Varlıklar listesi alanına ekleyin. Örneğin:

    Olaydaki IP adresi varlıklarını almak için playbook eylemlerini gösteren ekran görüntüsü.

  2. Denetim eylemleri kitaplığından Her bir için döngüsü ekleyin. Varlıklar - IP'leri alma çıktısından IP'ler dinamik içerik öğesini Önceki adımlardan bir çıkış seçin alanına ekleyin. Örneğin:

    Bulunan her IP adresinde eylem gerçekleştirmek için playbook'a her bir döngü için eylemin nasıl ekleneceğini gösteren ekran görüntüsü.

  3. Her döngü için içinde Eylem ekle'yi seçin ve ardından:

    1. Virüs Toplamı bağlayıcısını arayın ve seçin.
    2. IP raporu al (Önizleme) eylemini seçin.
    3. IP Adresi dinamik içerik öğesini Varlıklar - IP alma çıkışından IP Adresi alanına ekleyin.

    Örneğin:

    IP adresi raporu için Virüs Toplamı'na istek göndermeyi gösteren ekran görüntüsü.

  4. Her döngü için içinde Eylem ekle'yi seçin ve ardından:

    1. Denetim eylemleri kitaplığından bir Koşul ekleyin.
    2. Ip raporu al çıkışından Son çözümleme istatistikleri Kötü amaçlı dinamik içerik öğesini ekleyin. Bulmak için Daha fazla bilgi'yi seçmeniz gerekebilir.
    3. büyüktür işlecini seçin ve değer olarak girin0.

    Bu koşul şu soruyu sorar: "Virüs Toplam IP raporunda herhangi bir sonuç var mı?" Örneğin:

    Ekran görüntüsü, playbook'ta true-false koşulu ayarlamayı gösterir.

  5. True seçeneğinin içinde Eylem ekle'yi seçin ve ardından:

    1. Microsoft Sentinel bağlayıcısından Olaya görev ekle eylemini seçin.
    2. Olay ARM kimliği alanı için Olay ARM Kimliği dinamik içerik öğesini seçin.
    3. Kullanıcıyı Risk altında olarak işaretle'yi Başlık olarak girin.
    4. İsteğe bağlı bir açıklama ekleyin.

    Örneğin:

    Ekran görüntüsü, kullanıcıyı riskli olarak işaretlemek için görev eklemeye yönelik playbook eylemlerini gösterir.

  6. Yanlış seçeneğinin içinde Eylem ekle'yi seçin ve ardından:

    1. Microsoft Sentinel bağlayıcısından Olaya görev ekle eylemini seçin.
    2. Olay ARM kimliği alanı için Olay ARM Kimliği dinamik içerik öğesini seçin.
    3. Etkinliği Başlık olarak onaylamak için Kullanıcıya ulaşın yazın.
    4. İsteğe bağlı bir açıklama ekleyin.

    Örneğin:

    Ekran görüntüsü, kullanıcının etkinliği onaylamasını sağlamak için görev eklemeye yönelik playbook eylemlerini gösterir.

İlgili içerik

Daha fazla bilgi için bkz.