Öğretici: Microsoft Sentinel'de otomasyon kurallarıyla playbook'ları kullanarak tehditlere yanıt verme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu öğreticide, olay yanıtınızı otomatikleştirmek ve Microsoft Sentinel tarafından algılanan güvenlik tehditlerini düzeltmek için playbook'ları otomasyon kurallarıyla birlikte nasıl kullanacağınız gösterilmektedir. Bu öğreticiyi tamamladığınızda şunları yapabileceksiniz:

• Otomasyon kuralı oluşturma
• Playbook oluşturma
• Playbook'a eylem ekleme
• Tehdit yanıtlarını otomatikleştirmek için otomasyon kuralına veya analiz kuralına playbook ekleme

Not

Bu öğretici, en önemli müşteri görevi için temel yönergeler sağlar: olayları önceliklendirmek için otomasyon oluşturma. Daha fazla bilgi için Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme ve Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma gibi Nasıl yapılır bölümümüze bakın.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Otomasyon kuralları ve playbook'lar nedir?

Otomasyon kuralları , Microsoft Sentinel'de olayları önceliklendirmenize yardımcı olur. Olayları doğru personele otomatik olarak atamak, gürültülü olayları veya bilinen hatalı pozitif sonuçları kapatmak, önem derecelerini değiştirmek ve etiketler eklemek için kullanabilirsiniz. Bunlar aynı zamanda olaylara veya uyarılara yanıt olarak playbook'ları çalıştırabileceğiniz mekanizmadır.

Playbook'lar, bir olayın tamamına, tek bir uyarıya veya belirli bir varlığa yanıt olarak Microsoft Sentinel'den çalıştırılabilir yordam koleksiyonlarıdır. Playbook, yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir ve otomasyon kuralına eklenerek belirli uyarılar oluşturulduğunda veya olaylar oluşturulduğunda veya güncelleştirildiğinde otomatik olarak çalışacak şekilde ayarlanabilir. Ayrıca belirli olaylar, uyarılar veya varlıklar üzerinde isteğe bağlı olarak el ile de çalıştırılabilir.

Microsoft Sentinel'deki Playbook'lar, Azure Logic Apps'te yerleşik iş akışlarını temel alır. Bu, Logic Apps'in tüm gücünü, özelleştirilebilirliğini ve yerleşik şablonlarını elde ettiğiniz anlamına gelir. Her playbook ait olduğu belirli bir abonelik için oluşturulur, ancak Playbook'lar ekranında seçili aboneliklerde kullanılabilen tüm playbook'lar gösterilir.

Not

Playbook'lar Azure Logic Apps'i kullandığından ek ücretler uygulanabilir. Daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Örneğin, güvenliği aşılmış olabilecek kullanıcıların ağınızda gezinmesini ve bilgileri çalmasını durdurmak istiyorsanız, güvenliği aşılmış kullanıcıları algılayan kurallar tarafından oluşturulan olaylara otomatik, çok yönlü bir yanıt oluşturabilirsiniz. İlk olarak aşağıdaki eylemleri gerçekleştiren bir playbook oluşturacaksınız:

1. Playbook, bir olay geçiren bir otomasyon kuralı tarafından çağrıldığında, playbook ServiceNow'da veya başka bir BT bilet sisteminde bir bilet açar.

2. Güvenlik analistlerinizin olayın farkında olduğundan emin olmak için Microsoft Teams veya Slack'teki güvenlik operasyonları kanalınıza bir ileti gönderir.

3. Ayrıca olaydaki tüm bilgileri üst düzey ağ yöneticinize ve güvenlik yöneticinize bir e-posta iletisiyle gönderir. E-posta iletisinde Kullanıcıyı engelle ve Yoksay seçeneği düğmeleri bulunur.

4. Playbook, yöneticilerden bir yanıt alınana kadar bekler ve sonraki adımlarıyla devam eder.

5. Yöneticiler Engelle'yi seçerse, kullanıcıyı devre dışı bırakmak için Microsoft Entra Id'ye bir komut, IP adresini engellemek için de güvenlik duvarına bir komut gönderir.

6. Yöneticiler Yoksay'ı seçerse playbook, Microsoft Sentinel'deki olayı ve ServiceNow'daki bileti kapatır.

Playbook'u tetikleyebilmek için bu olaylar oluşturulduğunda çalışan bir otomasyon kuralı oluşturacaksınız. Bu kural şu adımları uygular:

1. Kural, olay durumunu Etkin olarak değiştirir.

2. Olayı, bu tür bir olayı yönetmekle görevli analiste atar.

3. "Güvenliği aşılmış kullanıcı" etiketini ekler.

4. Son olarak, yeni oluşturduğunuz playbook'u çağırır. (Bu adım için özel izinler gereklidir.)

Playbook'lar, yukarıdaki örnekte olduğu gibi playbook'ları eylem olarak çağıran otomasyon kuralları oluşturularak olaylara yanıt olarak otomatik olarak çalıştırılabilir. Ayrıca, uyarı oluşturulduğunda analiz kuralına bir veya daha fazla playbook'u otomatik olarak çalıştırması söylenerek uyarılara yanıt olarak da otomatik olarak çalıştırılabilir.

Seçili bir uyarıya yanıt olarak playbook'u isteğe bağlı olarak el ile çalıştırmayı da seçebilirsiniz.

Microsoft Sentinel'de otomasyon kurallarını ve playbook'ları kullanarak tehdit yanıtını otomatikleştirmeye daha eksiksiz ve ayrıntılı bir giriş yapın.

Playbook oluşturma

Microsoft Sentinel'de yeni bir playbook oluşturmak için şu adımları izleyin:

Azure portalı

Defender portalı

1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

2. Üstteki menüden Oluştur'u seçin.

3. Oluştur altında görüntülenen açılan menü, playbook oluşturmak için size dört seçenek sunar:

   1. Standart playbook oluşturuyorsanız (yeni tür : Mantıksal uygulama türlerine bakın), Boş playbook'u seçin ve aşağıdaki Logic Apps Standart sekmesindeki adımları izleyin.

   2. Tüketim playbook'u (özgün, klasik tür) oluşturuyorsanız, kullanmak istediğiniz tetikleyiciye bağlı olarak olay tetikleyicili Playbook, uyarı tetikleyicili Playbook veya varlık tetikleyicili Playbook'u seçin. Ardından, aşağıdaki Logic Apps Tüketimi sekmesindeki adımları takip edin.

      Hangi tetikleyicinin kullanılacağı hakkında daha fazla bilgi için bkz . Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma.

Logic Apps Tüketimi

Playbook'u ve Mantıksal Uygulamayı hazırlama

Önceki adımda playbook'unuzu oluşturmayı seçtiğiniz tetikleyiciden bağımsız olarak Playbook Oluşturma sihirbazı görüntülenir.

1. Temel Bilgiler sekmesinde:

   1. İlgili açılan listelerinden seçtiğiniz Abonelik, Kaynak grubu ve Bölge'yi seçin. Seçilen bölge, Mantıksal Uygulama bilgilerinizin depolanacağı bölgedir.

   2. Playbook'unuz için Playbook adı'nın altına bir ad girin.

   3. Bu playbook'un etkinliğini tanılama amacıyla izlemek istiyorsanız Log Analytics'te tanılama günlüklerini etkinleştir onay kutusunu işaretleyin ve açılan listeden Log Analytics çalışma alanınızı seçin.

   4. Playbook'larınızın bir Azure sanal ağı içindeki veya bağlı korumalı kaynaklara erişmesi gerekiyorsa, bir tümleştirme hizmeti ortamı (ISE) kullanmanız gerekebilir. Bu durumda Tümleştirme hizmeti ortamıyla ilişkilendir onay kutusunu işaretleyin ve açılan listeden istediğiniz ISE'yi seçin.

   5. İleri: Bağlan ions >öğesini seçin.

2. Bağlan ions sekmesinde:

   İdeal olarak, Logic Apps'i yönetilen kimlikle Microsoft Sentinel'e bağlanacak şekilde yapılandırarak bu bölümü olduğu gibi bırakmanız gerekir. Bu ve diğer kimlik doğrulama alternatifleri hakkında bilgi edinin.

   İleri: Gözden geçir'i seçin ve oluşturun >.

3. Gözden geçir ve oluştur sekmesinde:

   Yaptığınız yapılandırma seçimlerini gözden geçirin ve Oluştur'u seçin ve tasarımcıya devam edin.

4. Playbook'unuzun oluşturulması ve dağıtılması birkaç dakika sürer ve ardından "Dağıtımınız tamamlandı" iletisini görürsünüz ve yeni playbook'unuzun Mantıksal Uygulama Tasarım Aracı yönlendirilirsiniz. Başlangıçta seçtiğiniz tetikleyici otomatik olarak ilk adım olarak eklenir ve buradan iş akışını tasarlamaya devam edebilirsiniz.

   

   Microsoft Sentinel varlık (Önizleme) tetikleyicisini seçtiyseniz, bu playbook'un giriş olarak almasını istediğiniz varlık türünü seçin.

   

Logic Apps Standard

Mantıksal Uygulamayı ve iş akışını hazırlama

Logic Apps Standart playbook'u oluşturmaya başlamanın üç adımı vardır:

1. Mantıksal Uygulama oluşturma.
2. bir iş akışı oluşturun (gerçek playbook budur).
3. Tetikleyiciyi seçin.

Mantıksal uygulama oluşturma

Boş playbook'u seçtiğinizden, yeni bir tarayıcı sekmesi açılır ve sizi Mantıksal Uygulama Oluşturma sihirbazına götürür.

1. Temel Bilgiler sekmesinde:

   1. İlgili açılan listelerinden seçtiğiniz Abonelik ve Kaynak Grubunu seçin.

   2. Mantıksal Uygulamanız için bir ad girin. Yayımla için İş Akışı'nı seçin. Mantıksal uygulamayı dağıtmak istediğiniz Bölgeyi seçin.

   3. Plan türü için Standart'ı seçin.

   4. İleri : Barındırma >öğesini seçin.

2. Barındırma sekmesinde:

   1. Depolama tür için Azure Depolama'ı seçin ve bir Depolama hesabı seçin veya oluşturun.

   2. Bir Windows Planı seçin.

3. İleri : İzleme'yi >seçin.

4. İzleme sekmesinde:

   1. Bu uygulama için Azure İzleyici'de performans izlemeyi etkinleştirmek istiyorsanız, iki durumlu düğmeyi Evet'te bırakın. Aksi takdirde, hayır'a geçin.

      Not

      Bu izleme Microsoft Sentinel için gerekli değildir ve size ek maliyetler sağlayacaktır.

   2. İsterseniz, kaynak kategorilere ayırma ve faturalama amacıyla bu Mantıksal Uygulamaya etiket uygulamak için İleri : Etiketler'i > seçebilirsiniz. Aksi takdirde Gözden geçir ve oluştur'u seçin.

5. Gözden Geçir ve oluştur sekmesinde:

   Yaptığınız yapılandırma seçimlerini gözden geçirin ve Oluştur'u seçin.

6. Playbook'unuzun oluşturulması ve dağıtılması birkaç dakika sürer ve bu süre boyunca bazı dağıtım iletileri görürsünüz. İşlemin sonunda son dağıtım ekranına yönlendirilirsiniz ve burada "Dağıtımınız tamamlandı" iletisini görürsünüz.

   Kaynağa git’i seçin. Yeni Mantıksal Uygulamanızın ana sayfasına yönlendirilirsiniz.

   Klasik Tüketim playbook'larından farklı olarak henüz işiniz bitmedi. Şimdi bir iş akışı oluşturmanız gerekir.

İş akışı oluşturma (playbook)

1. Mantıksal Uygulama sayfanızın gezinti menüsünden İş Akışları'nı seçin.

2. Üstteki düğme çubuğundan + Ekle'yi seçin (düğmenin etkin olması birkaç saniye sürebilir).

3. Yeni iş akışı paneli görüntülenir. İş akışınız için bir ad girin.

4. Durum türü altında Durum bilgisi olan'ı seçin.

   Not

   Microsoft Sentinel şu anda Durum Bilgisi Olmayan iş akışlarının playbook olarak kullanılmasını desteklememektedir.

5. Oluştur'u belirleyin. İş akışınız kaydedilir ve Mantıksal Uygulamanızdaki iş akışları listesinde görünür. Devam etmek için iş akışını seçin.

6. İş akışınızın sayfasını girersiniz. Burada, iş akışınız hakkındaki tüm bilgileri ve çalıştırılacağı tüm zamanların kaydını görebilirsiniz. Gezinti menüsünden Tasarım Aracı'ı seçin.

7. Tasarım Aracı ekranı açılır ve hemen bir tetikleyici eklemeniz ve iş akışını tasarlamaya devam etmek isteyip istemediğiniz sorulur.

   

Tetikleyiciyi seçin

1. Azure sekmesini seçin ve Arama satırına "Sentinel" yazın.

2. Aşağıdaki Tetikleyiciler sekmesinde, Microsoft Sentinel tarafından sunulan üç tetikleyiciyi görürsünüz:

   • Microsoft Sentinel uyarısı (önizleme)
   • Microsoft Sentinel varlığı (önizleme)
   • Microsoft Sentinel olayı (önizleme)

   Oluşturduğunuz playbook türüyle eşleşen tetikleyiciyi seçin.

   

   Microsoft Sentinel varlık (Önizleme) tetikleyicisini seçtiyseniz, bu playbook'un giriş olarak almasını istediğiniz varlık türünü seçin.

   

Not

Bir tetikleyiciyi veya sonraki herhangi bir eylemi seçtiğinizde, etkileşimde bulunduğun kaynak sağlayıcısında kimlik doğrulaması yapmanız istenir. Bu durumda sağlayıcı Microsoft Sentinel'dir. Kimlik doğrulaması için kullanabileceğiniz birkaç farklı yaklaşım vardır. Ayrıntılar ve yönergeler için bkz . Microsoft Sentinel'de playbook'ların kimliğini doğrulama.

Hangi tetikleyicinin kullanılacağı hakkında daha fazla bilgi için bkz . Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma

Eylem ekleme

Artık playbook'u çağırdığınızda ne olacağını tanımlayabilirsiniz. Yeni adım'ı seçerek eylemler, mantıksal koşullar, döngüler veya anahtar büyük/küçük harf koşulları ekleyebilirsiniz. Bu seçim tasarımcıda yeni bir çerçeve açar; burada etkileşim kurmak için bir sistem veya uygulama ya da ayarlayabileceğiniz bir koşul seçebilirsiniz. Çerçevenin üst kısmındaki arama çubuğuna sistem veya uygulamanın adını girin ve kullanılabilir sonuçlar arasından seçim yapın.

Bu adımların her birinde herhangi bir alana tıklanması iki menü içeren bir panel görüntüler: Dinamik içerik ve İfade. Dinamik içerik menüsünden, playbook'a geçirilen uyarının veya olayın özniteliklerine başvurular ekleyebilirsiniz. Buna, uyarı veya olayda yer alan tüm eşlenen varlıkların ve özel ayrıntıların değerleri ve öznitelikleri de dahildir. İfade menüsünden, adımlarınıza ek mantık eklemek için büyük bir işlev kitaplığı arasından seçim yapabilirsiniz.

Bu ekran görüntüsü, bu belgenin başındaki örnekte açıklanan playbook'u oluştururken ekleyeceğiniz eylemleri ve koşulları gösterir. Playbook'larınıza eylem ekleme hakkında daha fazla bilgi edinin.

Farklı amaçlarla playbook'lara ekleyebileceğiniz eylemler hakkında ayrıntılı bilgi için bkz. Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma.

Özellikle, olay olmayan bir bağlamda varlık tetikleyicisini temel alan playbook'lar hakkındaki bu önemli bilgilere dikkat edin.

Tehdit yanıtlarını otomatikleştirme

Playbook'unuzu oluşturdunuz ve tetikleyiciyi tanımladıysanız, koşulları ayarladınız ve gerçekleştireceği eylemleri ve üreteceği çıkışları belirlediniz. Şimdi altında çalıştırılacağı ölçütleri belirlemeniz ve bu ölçütler karşılandığında onu çalıştıracak otomasyon mekanizmasını ayarlamanız gerekir.

Olaylara ve uyarılara yanıt verme

Bir playbook kullanarak olayın tamamına veya tek bir uyarıya otomatik olarak yanıt vermek için, olay oluşturulduğunda veya güncelleştirildiğinde ya da uyarı oluşturulduğunda çalışacak bir otomasyon kuralı oluşturun. Bu otomasyon kuralı, kullanmak istediğiniz playbook'u çağıran bir adım içerir.

Otomasyon kuralı oluşturmak için:

1. Microsoft Sentinel gezinti menüsündeki Otomasyon sayfasından, üst menüden Oluştur'u ve ardından Otomasyon kuralı'nı seçin.

   

2. Yeni otomasyon kuralı oluştur paneli açılır. Kuralınız için bir ad girin.

   Seçenekleriniz, çalışma alanınızın birleşik güvenlik operasyonları platformuna eklenip eklenmediğine bağlı olarak farklılık gösterir. Örneğin:

   Eklenen çalışma alanları

   

   Eklenmemiş çalışma alanları

   

3. Tetikleyici: Otomasyon kuralını oluşturduğunuz duruma göre uygun tetikleyiciyi seçin: Olay oluşturulduğunda, Olay güncelleştirildiğinde veya Uyarı oluşturulduğunda.

4. Koşul -ları:

   1. Çalışma alanınız henüz birleşik güvenlik operasyonları platformuna eklenmiyorsa, olayların iki olası kaynağı olabilir:

      • Olaylar Microsoft Sentinel içinde oluşturulabilir
      • Olaylar Microsoft Defender XDR'den içeri aktarılabilir ve ile eşitlenebilir.

      Olay tetikleyicilerinden birini seçtiyseniz ve otomasyon kuralının yalnızca Microsoft Sentinel'de veya alternatif olarak Microsoft Defender XDR'de bulunan olaylar üzerinde geçerli olmasını istiyorsanız, Olay sağlayıcısı eşitse koşulunda kaynağı belirtin.

      Bu koşul yalnızca bir olay tetikleyicisi seçildiğinde ve çalışma alanınız birleşik güvenlik operasyonları platformuna eklenmediyse görüntülenir.

   2. Tüm tetikleyici türleri için, otomasyon kuralının yalnızca belirli analiz kuralları üzerinde etkili olmasını istiyorsanız, If Analytics kural adı içinde koşulunu değiştirerek hangilerini belirtin.

   3. Bu otomasyon kuralının çalışıp çalışmayacağını belirlemek istediğiniz diğer koşulları ekleyin. + Ekle'yi seçin ve açılan listeden koşulları veya koşul gruplarını seçin. Koşulların listesi uyarı ayrıntısı ve varlık tanımlayıcı alanlarıyla doldurulur.

5. Eylemler:

   1. Playbook çalıştırmak için bu otomasyon kuralını kullandığınızdan, açılan listeden Playbook'u çalıştır eylemini seçin. Ardından kullanılabilir playbook'ları gösteren ikinci bir açılan listeden seçim yapmanız istenir. Otomasyon kuralı yalnızca kuralda tanımlanan tetikleyiciyle (olay veya uyarı) aynı tetikleyiciyle başlayan playbook'ları çalıştırabilir, bu nedenle listede yalnızca bu playbook'lar görünür.

      Önemli

      El ile veya otomasyon kurallarından playbook'ları çalıştırmak için Microsoft Sentinel'e açık izinler verilmelidir. Bir playbook açılan listede "gri" görünüyorsa, Sentinel'in bu playbook'un kaynak grubuna izni olmadığı anlamına gelir. İzinleri atamak için Playbook izinlerini yönetme bağlantısına tıklayın.

      Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'ya tıklayın.

      

      • Microsoft Sentinel izinleri vermek istediğiniz herhangi bir kaynak grubunda sahip izinlerine sahip olmanız ve çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Logic App Katılımcısı rolüne sahip olmanız gerekir.

      • Çok kiracılı bir dağıtımda, çalıştırmak istediğiniz playbook farklı bir kiracıdaysa, Playbook'u playbook'un kiracısında çalıştırmak için Microsoft Sentinel'e izin vermelisiniz.

        1. Playbook'ların kiracısında Microsoft Sentinel gezinti menüsünden Ayarlar'ı seçin.
        2. Ayarlar dikey penceresinde Ayarlar sekmesini ve ardından Playbook izinleri genişleticisini seçin.
        3. Yukarıda bahsedilen İzinleri yönet panelini açmak için İzinleri yapılandır düğmesine tıklayın ve burada açıklandığı gibi devam edin.

      • MSSP senaryosunda, hizmet sağlayıcısı kiracısında oturumunuz açıkken oluşturulan otomasyon kuralından bir playbook'u müşteri kiracısında çalıştırmak istiyorsanız, Microsoft Sentinel'e playbook'u her iki kiracıda da çalıştırma izni vermelisiniz. Müşteri kiracısında, önceki madde işareti noktasındaki çok kiracılı dağıtım yönergelerini izleyin. Hizmet sağlayıcısı kiracısında, Azure Lighthouse ekleme şablonunuza Azure Güvenlik Analizler uygulamasını eklemeniz gerekir:

        1. Azure Portalı'ndan Microsoft Entra Id'ye gidin.
        2. Kurumsal Uygulamalar'a tıklayın.
        3. Uygulama Türü'nü seçin ve Microsoft Uygulamaları'nda filtreleyin.
        4. Arama kutusuna Azure Güvenlik Analizler yazın.
        5. Nesne Kimliği alanını kopyalayın. Bu ek yetkilendirmeyi mevcut Azure Lighthouse temsilcinize eklemeniz gerekir.

        Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü sabit bir GUID'ye sahiptir.f4c81013-99ee-4d62-a7ee-b3f1f648599a Örnek bir Azure Lighthouse yetkilendirmesi, parametre şablonunuzda aşağıdakine benzer olacaktır:

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        

   2. Bu kural için istediğiniz diğer eylemleri ekleyin. Herhangi bir eylemin sağındaki yukarı veya aşağı okları seçerek eylemlerin yürütülme sırasını değiştirebilirsiniz.

6. Otomasyon kuralınız için bir son kullanma tarihi ayarlayın.

7. Bu kuralın otomasyon kuralları dizisinde nerede çalıştırılacağını belirlemek için Sipariş'in altına bir sayı girin.

8. Uygula’yı seçin. Hepsi bu kadar!

Otomasyon kuralları oluşturmanın diğer yollarını keşfedin.

Uyarıları yanıtlama— eski yöntem

Playbook'ları uyarılara yanıt olarak otomatik olarak çalıştırmanın bir diğer yolu da bunları bir analiz kuralından çağırmaktır. Kural bir uyarı oluşturduğunda playbook çalışır.

Bu yöntem Mart 2026 itibarıyla kullanımdan kaldırılacaktır.

Haziran 2023'te artık analiz kurallarına bu şekilde playbook ekleyemezsiniz. Ancak analiz kurallarından çağrılan mevcut playbook'ları görmeye devam edebilirsiniz ve bu playbook'lar Mart 2026'ya kadar çalışmaya devam eder. Bundan önce bu playbook'ları çağırmak için otomasyon kuralları oluşturmanız kesinlikle tavsiye edilir.

İsteğe bağlı bir playbook çalıştırma

Uyarılara, olaylara (Önizlemede) veya varlıklara (önizlemede de) yanıt olarak bir playbook'u isteğe bağlı olarak el ile de çalıştırabilirsiniz. Bu, düzenleme ve yanıt süreçlerine daha fazla insan girişi ve denetim sahibi olmak istediğiniz durumlarda yararlı olabilir.

Playbook'u bir uyarıda el ile çalıştırma

Bu yordam birleşik güvenlik operasyonları platformunda desteklenmez.

Azure portalında, ortamınız için gereken şekilde aşağıdaki sekmelerden birini seçin:

YENİ Olay ayrıntıları sayfası

1. Olaylar sayfasında bir olay seçin.

   Azure portalında, olay ayrıntıları bölmesinin alt kısmındaki Tüm ayrıntıları görüntüle'yi seçerek olay ayrıntıları sayfasını açın.

2. Olay ayrıntıları sayfasındaki Olay zaman çizelgesi pencere öğesinde playbook'u çalıştırmak istediğiniz uyarıyı seçin. Uyarı satırının sonundaki üç noktayı seçin ve açılır menüden Playbook'u çalıştır'ı seçin.

   

3. Uyarı playbook'ları bölmesi açılır. Erişiminiz olan Microsoft Sentinel Uyarı Logic Apps tetikleyicisi ile yapılandırılmış tüm playbook'ların listesini görürsünüz.

4. Belirli bir playbook'un satırında Çalıştır'ı seçerek hemen çalıştırın.

Araştırma grafı

1. Olaylar sayfasında bir olay seçin.

   Azure portalında, olay ayrıntıları bölmesinin alt kısmındaki Tüm ayrıntıları görüntüle'yi seçerek olay ayrıntıları sayfasını açın.

2. Olay ayrıntıları sayfasında Uyarılar sekmesini seçin, playbook'u çalıştırmak istediğiniz uyarıyı seçin ve bu uyarı satırının sonundaki Playbook'ları görüntüle bağlantısını seçin.

3. Uyarı playbook'ları bölmesi açılır. Erişiminiz olan Microsoft Sentinel Uyarı Logic Apps tetikleyicisi ile yapılandırılmış tüm playbook'ların listesini görürsünüz.

4. Belirli bir playbook'un satırında Çalıştır'ı seçerek hemen çalıştırın.

Uyarı playbook'ları bölmesindeki Çalıştırmalar sekmesini seçerek playbook'ların çalıştırma geçmişini bir uyarıda görebilirsiniz. Yeni tamamlanan çalıştırmaların listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Logic Apps'te tam çalıştırma günlüğü açılır.

Bir olayda playbook'u el ile çalıştırma (Önizleme)

Bu yordam, Microsoft Sentinel'de mi yoksa birleşik güvenlik operasyonları platformunda mı çalıştığınıza bağlı olarak farklılık gösterir. Ortamınız için ilgili sekmeyi seçin:

Azure portalı

1. Olaylar sayfasında bir olay seçin.

2. Sağ tarafta görüntülenen olay ayrıntıları bölmesinden Eylemler > Playbook Çalıştırma (Önizleme) öğesini seçin.
   (Olay satırının sonundaki üç noktayı kılavuzda seçmek veya olaya sağ tıklamak,Eylem düğmesi.)

3. Olay panelinde playbook'u çalıştır sağ tarafta açılır. Erişiminiz olan Microsoft Sentinel Olay Logic Apps tetikleyicisi ile yapılandırılmış tüm playbook'ların listesini görürsünüz.

   Çalıştırmak istediğiniz playbook'u listede görmüyorsanız, bu, Microsoft Sentinel'in bu kaynak grubunda playbook'ları çalıştırma izni olmadığı anlamına gelir (yukarıdaki nota bakın).

   Bu izinleri vermek için Ayarlar> Ayarlar> Playbook izinleri İzinleri> yapılandır'ı seçin. Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'yı seçin.

4. Belirli bir playbook'un satırında Çalıştır'ı seçerek hemen çalıştırın.

   Çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Microsoft Sentinel playbook operatör rolüne sahip olmanız gerekir. Playbook'u eksik izinler nedeniyle çalıştıramıyorsanız, size ilgili izinleri vermesi için bir yöneticiye başvurmanızı öneririz. Daha fazla bilgi için bkz . Playbook'larla çalışmak için gereken izinler.

Microsoft Defender portalı

1. Olaylar sayfasında bir olay seçin.

2. Sağ tarafta görüntülenen olay ayrıntıları bölmesinde Playbook'u Çalıştır'ı seçin.

3. Olay panelinde playbook'u çalıştır seçeneği sağ tarafta açılır ve seçili olayla ilgili tüm playbook'lar açılır. Eylem sütununda, hemen çalıştırmak istediğiniz playbook için Playbook'u çalıştır'ı seçin.

Eylemler sütunu aşağıdaki durumlardan birini de gösterebilir:

Durum	Açıklama ve eylem gerekiyor
Eksik izinler	Çalıştırmak istediğiniz playbook'ları içeren herhangi bir kaynak grubunda Microsoft Sentinel playbook operatör rolüne sahip olmanız gerekir. İzinleri eksikse, size ilgili izinleri vermesi için bir yöneticiye başvurmanızı öneririz. Daha fazla bilgi için bkz . Playbook'larla çalışmak için gereken izinler.
İzin ver	Microsoft Sentinel'de, olaylar üzerinde playbook'ları çalıştırmak için gereken Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü eksik. Böyle durumlarda İzin ver'i seçerek İzinleri yönet bölmesini açın. İzinleri yönet bölmesi varsayılan olarak seçili playbook'un kaynak grubuna göre filtrelenir. Gerekli izinleri vermek için kaynak grubunu ve ardından Uygula'yı seçin. Microsoft Sentinel izinleri vermek istediğiniz kaynak grubunda Sahip veya Kullanıcı erişim yöneticisi olmanız gerekir. İzinler eksikse kaynak grubu gri renktedir ve bunu seçemezsiniz. Bu gibi durumlarda, ilgili izinleri size vermesi için bir yöneticiye başvurmanızı öneririz. Daha fazla bilgi için yukarıdaki nota bakın.

Olay panelinde playbook'u çalıştır'ı seçerek bir olaydaki playbook'ların çalıştırma geçmişini görüntüleyin. Yeni tamamlanan çalıştırmaların listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Logic Apps'te tam çalıştırma günlüğü açılır.

Bir varlıkta playbook'u el ile çalıştırma (Önizleme)

Bu yordam birleşik güvenlik operasyonları platformunda desteklenmez.

1. Kaynak bağlamınıza bağlı olarak aşağıdaki yollardan biriyle bir varlık seçin:

   Bir olayın ayrıntılar sayfasındaysanız (yeni sürüm):

   1. Genel Bakış sekmesindeki Varlıklar pencere öğesinde, listeden bir varlık bulun (seçmeyin).
   2. Varlığın sağındaki üç noktayı seçin.
   3. Açılır menüden Playbook'u çalıştır (Önizleme) öğesini seçin ve aşağıdaki 2. adımla devam edin.
      Varlığı seçtiyseniz ve olay ayrıntıları sayfasının Varlıklar sekmesine girdiyseniz, aşağıdaki sonraki satırla devam edin.
   4. Listeden bir varlık bulun (seçmeyin).
   5. Varlığın sağındaki üç noktayı seçin.
   6. Açılır menüden Playbook'u çalıştır (Önizleme) öğesini seçin.
      Varlığı seçtiyseniz ve varlık sayfasını girdiyseniz sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.

   Bir olayın ayrıntılar sayfasındaysanız (eski sürüm):

   1. Olayın Varlıklar sekmesini seçin.
   2. Listeden bir varlık bulun (seçmeyin).
   3. Listedeki satırının sonundaki Playbook'u çalıştır (Önizleme) bağlantısını seçin.
      Varlığı seçtiyseniz ve varlık sayfasını girdiyseniz sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.

   Araştırma grafiğindeyseniz:

   1. Grafikte bir varlık seçin.
   2. Varlık yan panelinde Playbook'u çalıştır (Önizleme) düğmesini seçin.
      Bazı varlık türleri için Varlık eylemleri düğmesini ve sonuçta elde edilen menüden Playbook'u çalıştır (Önizleme) seçeneğini belirlemeniz gerekebilir.

   Tehditleri proaktif olarak avlıyorsanız:

   1. Varlık davranışı ekranında, sayfadaki listelerden bir varlık seçin veya başka bir varlık arayın ve seçin.
   2. Varlık sayfasında sol taraftaki panelde Playbook'u çalıştır (Önizleme) düğmesini seçin.

2. Geldiğiniz bağlamdan bağımsız olarak, yukarıdaki yönergelerin tümü Varlık türündeki> playbook'u< çalıştır panelini açar. Seçili varlık türü için Microsoft Sentinel Entity Logic Apps tetikleyicisi ile yapılandırılmış erişiminiz olan tüm playbook'ların listesini görürsünüz.

3. Belirli bir playbook'un satırında Çalıştır'ı seçerek hemen çalıştırın.

Varlık türündeki> playbook'u çalıştır panelindeki Çalıştırmalar sekmesini seçerek belirli bir varlıkta <playbook'ların çalıştırma geçmişini görebilirsiniz. Yeni tamamlanan çalıştırmaların listede görünmesi birkaç saniye sürebilir. Belirli bir çalıştırma seçildiğinde Logic Apps'te tam çalıştırma günlüğü açılır.

Sonraki adımlar

Bu öğreticide, tehditlere yanıt vermek için Microsoft Sentinel'de playbook'ları ve otomasyon kurallarını kullanmayı öğrendiniz.

• Playbook'ların Microsoft Sentinel'de kimliğini doğrulama hakkında daha fazla bilgi edinin
• Microsoft Sentinel playbook'larında tetikleyicileri ve eylemleri kullanma hakkında daha fazla bilgi edinin
• Microsoft Sentinel kullanarak tehditleri proaktif olarak nasıl avlayacağınızı öğrenin.