你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Sentinel 中进行调查或威胁搜寻时响应威胁行动者
本文介绍如何在事件调查或威胁搜寻过程中,在不从调查或搜寻中进行转移或上下文切换的情况下,当场对威胁行动者采取响应措施。 请使用基于新实体触发器的 playbook 来完成此操作。
实体触发器目前支持以下实体类型:
重要
实体触发器目前为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
使用实体触发器运行 playbook
当你调查事件并确定给定实体(用户帐户、主机、IP 地址、文件等)代表威胁时,可以通过运行点播 playbook 针对该威胁采取即时修正措施。 如果在主动搜寻事件上下文之外的威胁时遇到可疑实体,你也可以这样做。
选择你遇到它的任何上下文中的实体,并选择适当的方式来运行 playbook,如下所示:
在“新事件详细信息”页(目前提供预览版)中事件的“概述”选项卡上的“实体”小组件中,或在其“实体”选项卡中,从列表中选择一个实体,选择实体旁的三个点,然后从弹出菜单中选择“运行 playbook (预览版)”。
在事件的“实体”选项卡中,从列表选择实体,然后选择其在列表中的行末尾的“运行 playbook (预览版)”链接。
在“调查图”中,选择一个实体,然后选择实体侧面板中的“运行 playbook (预览版)”按钮。
从“实体行为”页面中选择一个实体。 从生成的实体页面选择左侧面板中的“运行 playbook (预览版)”按钮。
所有这些操作将打开“对<实体类型>运行 playbook”面板。
在任一面板中,你将看到两个选项卡:“Playbook”和“运行”。
在“Playbook”选项卡中,你会看到一个列表,其中包含你有权访问的、为该实体类型(在本例中为用户帐户)使用“Microsoft Sentinel 实体”触发器的所有 playbook。 选择要立即运行的 playbook 的“运行”按钮。
注意
如果在列表中看不到要运行的 playbook,则意味着 Microsoft Sentinel 无权运行该资源组中的 playbook(了解详情)。 若要授予这些权限,请从主菜单中选择“设置”,选择“设置”选项卡,展开“Playbook 权限”扩展器,然后选择“配置权限”。 在打开的“管理权限”面板中,勾选包含要运行的 playbook 的资源组的复选框,然后选择“应用”。
你可以在“运行”选项卡中审核实体触发器 playbook 的活动。你会看到一个列表,其中包含任何 playbook 在所选实体上运行的所有时间。 任何刚完成的运行都可能需要几秒钟才能出现在此列表中。 选择特定的运行会在 Azure 逻辑应用中打开完整运行日志。
后续步骤
本文介绍了如何在调查事件或搜寻威胁的过程中手动运行 playbook 以修正来自实体的威胁。