什么是 Microsoft Sentinel playbook?
除了评估和解决安全配置方面的问题外,Contoso 还必须监视新的问题和威胁,然后做出适当的响应。
Microsoft Sentinel 作为 SIEM 和 SOAR 解决方案
Microsoft Sentinel 既是安全信息和事件管理 (SIEM) 解决方案,又是安全业务流程、自动化和响应 (SOAR) 解决方案,专为混合环境设计。
注意
SIEM 解决方案提供对其他系统生成的日志、事件和警报的存储和分析。 你可以配置这些解决方案以引发它们自己的警报。 SOAR 解决方案支持漏洞修复和安全进程的整体自动化。
Microsoft Sentinel 使用内置和自定义检测来提醒你潜在的安全威胁,例如试图从 Contoso 基础结构外部访问其资源,或者 Contoso 的数据似乎被发送到已知的恶意 IP 地址。 还可以基于这些警报创建事件。
Microsoft Sentinel playbook
可以在 Microsoft Sentinel 中创建安全 playbook 来响应警报。 “Security playbook”是基于 Azure 逻辑应用的过程集合,响应警报而运行。 可以手动运行这些安全 playbook 以响应事件调查结果,也可以将警报配置为自动运行 playbook。
借助自动响应事件的能力,你可自动处理一些安全操作,并提高安全运营中心 (SOC) 的工作效率。
例如,为了解决 Contoso 的问题,你可以开发一个包含已定义步骤的工作流,从而阻止可疑用户名从不安全的 IP 地址访问资源。 或者,你可以将 playbook 配置为执行一个操作,例如将高级安全警报通知 SecOps 团队。
Azure 逻辑应用
Azure 逻辑应用是一项云服务,它会自动执行业务流程的操作。 使用名为“逻辑应用设计器”的图形设计工具,将预生成的组件安排到所需的序列中。 还可以使用代码视图,并在 JSON 文件中编写自动化进程。
逻辑应用连接器
逻辑应用使用连接器连接数百个服务。 连接器是一种组件,为外部服务提供接口。
注意
Microsoft Sentinel 数据连接器和逻辑应用连接器不是一回事。 Microsoft Sentinel 数据连接器将 Microsoft Sentinel 与 Microsoft 安全产品和非 Microsoft 解决方案的安全生态系统连接起来。 逻辑应用连接器是一个组件,它为外部服务提供 API 连接,并允许跨其他应用、服务、系统、协议和平台集成事件、数据和操作。
什么是触发器和操作
Azure 逻辑应用使用触发器和操作,其定义如下:
触发器是在满足一组特定条件时发生的事件。 满足条件时,自动激活触发器。 例如,Microsoft Sentinel 中发生安全事件,将触发自动操作。
操作即在逻辑应用工作流中执行任务的操作。 当触发器激活、其他操作完成或满足某个条件时,操作会运行。
Microsoft Sentinel 逻辑应用连接器
Microsoft Sentinel playbook 使用 Microsoft Sentinel 逻辑应用连接器。 它提供可以启动 playbook 并执行已定义操作的触发器和操作。
目前,Microsoft Sentinel 逻辑应用连接器有两个触发器:
触发对 Microsoft Sentinel 警报的响应时
触发 Microsoft Sentinel 事件创建规则时
注意
由于 Microsoft Sentinel 逻辑应用连接器处于预览阶段,因此本模块中介绍的功能可能会在将来发生变化。
下表列出了 Microsoft Sentinel 连接器的所有当前操作。
| 名称 | 说明 |
|---|---|
| 向事件添加注释 | 向所选事件添加注释。 |
| 向事件添加标签 | 向所选事件添加标签。 |
| 警报 - 获取事件 | 返回与所选警报关联的事件。 |
| 更改事件描述 | 更改所选事件的描述。 |
| 更改事件严重性 | 更改所选事件的严重性。 |
| 更改事件状态 | 更改所选事件的状态。 |
| 更改事件标题 (V2) | 更改所选事件的标题。 |
| 实体 - 获取帐户 | 返回与警报关联的帐户列表。 |
| 实体 - 获取 FileHash | 返回与警报关联的文件哈希列表。 |
| 实体 - 获取主机 | 返回与警报关联的主机列表。 |
| 实体 - 获取 IP | 返回与警报关联的 IP 列表。 |
| 实体 - 获取 URL | 返回与警报关联的 URL 列表。 |
| 从事件中删除标签 | 删除所选事件的标签。 |
注意
具有 (V2) 或更大版本号的操作提供操作的新版本,可能与该操作的旧功能不同。
有些操作需要与来自其他连接器的操作集成。 例如,如果 Contoso 希望识别从定义的实体返回的警报中的所有可疑帐户,则必须将“实体 - 获取帐户”操作与“For Each”操作结合使用。 类似地,要在检测可疑主机的事件中获取所有单个主机,必须将“实体 - 获取主机”操作与“For Each”操作结合使用。