实时触发 playbook
可以在 Contoso 配置 Microsoft Sentinel playbook 以响应安全威胁。
浏览“Playbook”页面
可以在“Playbook”页面上自动响应威胁。 在此页面上,你可以观察所有从 Azure 逻辑应用创建的 playbook。 “触发器种类”列表示了逻辑应用中使用的连接器类型。
可以使用标题栏(如下图所示)创建新的 playbook,或者启用或禁用现有 playbook。
标题栏提供以下选项:
使用“添加 Playbook”选项创建新的 playbook。
使用“刷新”选项刷新显示,例如在创建新的 playbook 之后刷新。
使用下拉时间字段筛选 playbook 运行的状态。
“启用”、“禁用”和“删除”选项仅在选择一个或多个逻辑应用时可用。
使用“逻辑应用文档”选项查看指向 Microsoft 官方文档的链接,以获取有关逻辑应用的更多信息。
Contoso 希望使用自动操作来防止可疑用户访问其网络。 作为其安全管理员,你可以创建一个 playbook 来实现此操作。 若要创建新的 playbook,请选择“添加 Playbook”。 会将你转到一个页面,你应在其中提供以下设置的输入来创建新的逻辑应用:
订阅。 选择包含 Microsoft Sentinel 的订阅。
资源组。 可以使用现有资源组,也可以创建新组。
逻辑应用名称。 为逻辑应用提供说明性名称。
位置。 选择与 Log Analytics 工作区所在位置相同的位置。
Log Analytics。 如果你启用 Log Analytics,则可以获取有关 playbook 运行时事件的信息。
提供这些输入后,选择“查看 + 创建”选项,然后选择“创建”。
逻辑应用设计器
Microsoft Sentinel 会创建逻辑应用,然后会将你转到“逻辑应用设计器”页面。
逻辑应用设计器提供了一个设计画布,可用于向工作流添加触发器和操作。 例如,可以配置为在创建新的安全事件时从 Microsoft Sentinel 连接器生成触发器。 “逻辑应用设计器”页面提供了许多预定义模板,你可以使用它们。 但是,要创建 playbook,应从“空白逻辑应用”模板开始,从头开始设计逻辑应用。
由 Microsoft Sentinel 触发器启动 playbook 中自动完成的活动。 你可以在设计画布的搜索框中搜索 Microsoft Sentinel 触发器,然后选择以下两个可用触发器之一:
触发对 Microsoft Sentinel 警报的响应时
触发 Microsoft Sentinel 事件创建规则时
首次打开 Microsoft Sentinel 连接器时,系统会提示你使用 Microsoft Entra ID 中的用户帐户或使用服务主体登录到租户。 此操作会建立与 Microsoft Entra ID 的 API 连接。 API 连接可存储访问 API 以进行连接所需的变量和令牌,例如 Microsoft Entra ID、Office 365 等。
每个 playbook 始于触发器,后跟定义了安全事件自动响应的操作。 可将来自 Microsoft Sentinel 连接器的操作与来自其他逻辑应用连接器的其他操作结合使用。
例如,可以在触发事件时从 Microsoft Sentinel 连接器添加触发器,再执行识别 Microsoft Sentinel 警报中实体的操作,然后执行向 Office 365 电子邮件帐户发送电子邮件的操作。 Microsoft Sentinel 将每个操作创建为一个“新步骤”,并定义要在逻辑应用中添加的活动。
以下屏幕截图显示了由 Microsoft Sentinel 连接器触发的事件,它检测到可疑帐户并向管理员发送了电子邮件。
工作流设计中的每个步骤都有不同的必填字段。 例如,“实体 - 获取帐户”操作要求你提供 Microsoft Sentinel 警报中的实体的列表。 使用 Azure 逻辑应用的一个优点是,你可以从“动态内容”列表中提供此输入,该列表由上一步的输出填充。 例如,Microsoft Sentinel 连接器触发器“触发对 Microsoft Sentinel 警报的响应时”提供动态属性(例如“实体,警报显示名称”),你可以使用这些属性填充输入。
还可以添加让逻辑应用进行决策的“控制操作”组。 “控制操作”组可以包括逻辑条件、switch case 条件或循环。
条件操作是 if 语句,可让应用根据正在处理的数据执行不同的操作。 它包含一个布尔表达式和两项操作。 在运行时,执行引擎会根据表达式是 true 还是 false 来计算表达式并选择操作。
例如,Contoso 接收到大量警报,其中许多警报具有重复模式,无法处理或调查它们。 使用实时自动化,Contoso SecOps 团队可以对重复警报类型的常规响应进行完全自动化,从而显著减少其工作量。
以下屏幕截图显示了类似的情况,其中,playbook 可以根据用户的输入更改警报的状态。 控制操作会截获用户输入,如果表达式的计算结果为 true 语句,则 playbook 会更改警报的状态。 如果控制操作将表达式计算为 false,则 playbook 可以运行其他活动,例如发送电子邮件,如以下屏幕截图所示。
在逻辑应用设计器中提供所有步骤后,保存逻辑应用以在 Microsoft Sentinel 中创建 playbook。
Microsoft Sentinel 中的逻辑应用页面
你创建的 playbook 会显示在“Playbook”页面上,你可以进一步编辑它们。 从“Playbook”页面,你可以选择现有 playbook,这将在 Microsoft Sentinel 中打开该 playbook 的逻辑应用页面。
可以从逻辑应用标题栏运行 playbook 上的多个操作:
运行触发器。 用于运行逻辑应用以测试 playbook。
刷新。 用于刷新逻辑应用的状态以检索活动的状态。
编辑。 用于在“逻辑应用设计器”页中进一步编辑 playbook。
删除。 用于在不需要逻辑应用时删除它。
禁用。 用于临时禁用逻辑应用,这样即使已激活触发器也可阻止执行操作。
更新架构。 用于在逻辑中发生重大更改后更新逻辑应用的架构。
克隆。 用于制作现有逻辑应用的副本,然后将其用作进一步修改的基础。
导出。 用于将逻辑应用导出到 Microsoft Power Automate 和 Microsoft Power Apps。
“Essentials”部分显示有关逻辑应用的描述性信息。 例如,逻辑应用定义显示逻辑应用提供的触发器和操作的数量。
你可以使用“摘要”部分来查看有关逻辑应用的摘要信息。 在此部分中,你可以选择逻辑应用链接以在逻辑应用设计器中打开它,或查看触发器历史记录。
“运行历史记录”部分显示逻辑应用以前的运行,并显示这些运行是成功还是失败。
在 Microsoft Sentinel 中自动响应事件
最后一步,你需要将此 playbook 附加到分析规则,以自动响应事件。 可以使用分析规则中的“自动响应”部分,选择在生成警报时要自动运行的 playbook。 有关如何创建分析规则的更多信息,请参阅“使用 Microsoft Sentinel 分析进行威胁检测”模块。