你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务
本文介绍如何使用 playbook 创建(并选择性地执行)事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流。
事件任务不仅可以通过 playbook 和自动化规则自动创建,还可以在事件中临时手动创建。
不同角色的用例
本文介绍适用于 SOC 管理员、高级分析师和自动化工程师的以下场景:
以下配套文章介绍了针对此受众的其他场景:
以下链接中的另一篇文章介绍了适用于 SOC 分析师的更多场景:
先决条件
Microsoft Sentinel 响应者角色是查看和编辑事件所必需的,这是添加、查看和编辑任务必要条件。
创建和编辑 playbook 需要逻辑应用参与者角色。
使用 playbook 向事件添加任务
使用 playbook 中的“添加任务”操作(在 Microsoft Sentinel 连接器中)将任务自动添加到触发 playbook 的事件。
按照这些说明创建基于事件触发器的 playbook。 (可以使用标准型工作流或消耗型工作流。)
可通过两种方式使用 playbook 来生成任务:
使用 playbook 添加并执行任务
在此例中,我们将添加一个 playbook 操作,用于将任务添加到事件以重置被入侵用户的密码;然后将添加另一个 playbook 操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号以实际重置密码。 然后,我们将添加最终的 playbook 操作,以将事件中的任务标记为已完成。
若要添加和配置这些操作,请执行以下步骤:
在 Microsoft Sentinel 连接器中,添加“将任务添加到事件”操作。
对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。 输入“重置用户密码”作为“标题”。 添加说明(如果需要)。添加“实体 - 获取帐户(预览版)”操作。
将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。从控件操作库添加 For each 循环。
将“实体 - 获取帐户”输出中的“帐户”动态内容项添加到“从前面的步骤中选择输出”字段。在“For each”循环中,选择“添加操作”。
搜索并选择 Microsoft Entra ID 保护连接器,然后选择“确认风险用户被入侵(预览版)”操作。
将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。注意
此字段(帐户 Microsoft Entra 用户 ID)是标识 AADIP 用户的方法之一。 它不一定是每种场景中的最佳方法,此处只是举例。 如需帮助,请参阅处理被入侵用户的其他 playbook 或 Microsoft Entra ID 标识保护文档。
此操作在 Microsoft Entra ID 保护中设置将重置用户密码的动态进程。
从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作。
将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。
使用 playbook 按条件添加任务
在此示例中,我们将添加一个 playbook 操作,用于研究事件中显示的 IP 地址。 如果此研究的结果是 IP 地址是恶意的,则 playbook 将为分析师创建一个任务,以禁用使用该 IP 地址的用户。 如果 IP 地址不是已知的恶意地址,playbook 将创建一个不同的任务,供分析师联系该用户以验证相关活动。
从 Microsoft Sentinel 连接器中,添加“实体 - 获取 IP”操作。
将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。从控件操作库添加 For each 循环。
将“实体 - 获取 IP”输出中的“IP”动态内容项添加到“从前面的步骤中选择输出”字段。在“For each”循环中,选择“添加操作”。
搜索并选择 Virus Total 连接器,然后选择“获取 IP 报告(预览版)”操作。
将“实体 - 获取 IP”输出中的“IP 地址”动态内容项添加到“IP 地址”字段。在“For each”循环中,选择“添加操作”。
从控件操作库添加条件。
添加“获取 IP 报告”输出中的“上次分析统计数据(恶意)”动态内容项(可能必须选择“查看更多”才能找到它),选择“大于”运算符,并输入0
作为值。 此条件会询问“Virus Total IP 报告是否有任何结果?”在“True”选项中,选择“添加操作”。
在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作。
对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
输入“将用户标记为被入侵”作为“标题”。 添加说明(如果需要)。在“False”选项中,选择“添加操作”。
在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作。
对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
输入“联系用户以确认活动”作为“标题”。 添加说明(如果需要)。