你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文介绍如何使用 playbook 创建(并选择性地执行)事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流。

事件任务不仅可以通过 playbook 和自动化规则自动创建,还可以在事件中临时手动创建。

不同角色的用例

本文介绍适用于 SOC 管理员、高级分析师和自动化工程师的以下场景:

以下配套文章介绍了针对此受众的其他场景:

以下链接中的另一篇文章介绍了适用于 SOC 分析师的更多场景:

先决条件

Microsoft Sentinel 响应者角色是查看和编辑事件所必需的,这是添加、查看和编辑任务必要条件。

创建和编辑 playbook 需要逻辑应用参与者角色。

使用 playbook 向事件添加任务

使用 playbook 中的“添加任务”操作(在 Microsoft Sentinel 连接器中)将任务自动添加到触发 playbook 的事件。

按照这些说明创建基于事件触发器的 playbook。 (可以使用标准型工作流或消耗型工作流。)

可通过两种方式使用 playbook 来生成任务:

使用 playbook 添加并执行任务

在此例中,我们将添加一个 playbook 操作,用于将任务添加到事件以重置被入侵用户的密码;然后将添加另一个 playbook 操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号以实际重置密码。 然后,我们将添加最终的 playbook 操作,以将事件中的任务标记为已完成。

若要添加和配置这些操作,请执行以下步骤:

  1. 在 Microsoft Sentinel 连接器中,添加“将任务添加到事件”操作
    对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。 输入“重置用户密码”作为“标题”。 添加说明(如果需要)。

    屏幕截图显示了用于添加任务以重置用户密码的 playbook 操作。

  2. 添加“实体 - 获取帐户(预览版)”操作。
    将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。

    屏幕截图显示了用于获取事件中的帐户实体的 playbook 操作。

  3. 从控件操作库添加 For each 循环。
    将“实体 - 获取帐户”输出中的“帐户”动态内容项添加到“从前面的步骤中选择输出”字段。

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个帐户执行操作。

  4. 在“For each”循环中,选择“添加操作”。
    搜索并选择 Microsoft Entra ID 保护连接器,然后选择“确认风险用户被入侵(预览版)”操作。
    将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。

    注意

    此字段(帐户 Microsoft Entra 用户 ID)是标识 AADIP 用户的方法之一。 它不一定是每种场景中的最佳方法,此处只是举例。 如需帮助,请参阅处理被入侵用户的其他 playbook 或 Microsoft Entra ID 标识保护文档

    此操作在 Microsoft Entra ID 保护中设置将重置用户密码的动态进程。

    显示将实体发送到 AADIP 以确认被入侵的屏幕截图。

  5. 从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作
    将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。

    屏幕截图显示了如何添加 playbook 操作以将事件任务标记为完成。

使用 playbook 按条件添加任务

在此示例中,我们将添加一个 playbook 操作,用于研究事件中显示的 IP 地址。 如果此研究的结果是 IP 地址是恶意的,则 playbook 将为分析师创建一个任务,以禁用使用该 IP 地址的用户。 如果 IP 地址不是已知的恶意地址,playbook 将创建一个不同的任务,供分析师联系该用户以验证相关活动。

  1. 从 Microsoft Sentinel 连接器中,添加“实体 - 获取 IP”操作。
    将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。

    屏幕截图显示了用于获取事件中的 IP 地址的 playbook 操作。

  2. 从控件操作库添加 For each 循环。
    将“实体 - 获取 IP”输出中的“IP”动态内容项添加到“从前面的步骤中选择输出”字段。

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个 IP 地址执行操作。

  3. 在“For each”循环中,选择“添加操作”。
    搜索并选择 Virus Total 连接器,然后选择“获取 IP 报告(预览版)”操作。
    将“实体 - 获取 IP”输出中的“IP 地址”动态内容项添加到“IP 地址”字段。

    显示向 Virus Total 发送请求以获取 IP 地址报告的屏幕截图。

  4. 在“For each”循环中,选择“添加操作”。
    从控件操作库添加条件。
    添加“获取 IP 报告”输出中的“上次分析统计数据(恶意)”动态内容项(可能必须选择“查看更多”才能找到它),选择“大于”运算符,并输入 0 作为值。 此条件会询问“Virus Total IP 报告是否有任何结果?”

    屏幕截图显示如何在 playbook 中设置 true-false 条件。

  5. 在“True”选项中,选择“添加操作”。
    在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作
    对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
    输入“将用户标记为被入侵”作为“标题”。 添加说明(如果需要)。

    屏幕截图显示了用于添加任务以将用户标记为被入侵的 playbook 操作。

  6. 在“False”选项中,选择“添加操作”。
    在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作
    对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
    输入“联系用户以确认活动”作为“标题”。 添加说明(如果需要)。

    屏幕截图显示用于添加任务以让用户确认活动的 playbook 操作。

后续步骤