练习 - 创建 Microsoft Sentinel playbook

已完成

作为 Contoso 的安全运营分析师,你最近注意到,当有人删除虚拟机时,会生成大量警报。 你希望在将来分析此类事件,并减少为误报事件生成的警报。

练习:使用 Microsoft Sentinel playbook 响应威胁

你决定实现 Microsoft Sentinel playbook 来自动响应事件。

在本练习中,你将通过执行以下任务来探索 Microsoft Sentinel playbook:

  • 配置 Microsoft Sentinel Playbook 权限。

  • 创建 playbook 来自动执行操作以响应事件。

  • 通过调用事件来测试 playbook。

注意

若要完成本练习,你需要先完成“练习设置”单元。 如果尚未这样做,请立即完成此操作,然后继续执行练习步骤。

任务 1:配置 Microsoft Sentinel Playbook 权限

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。

  2. 在“Microsoft Sentinel”页的菜单栏上,在“配置”部分中,选择“设置”。

  3. 在“设置”页中,选择“设置”选项卡,然后向下滚动并展开“Playbook 权限”

  4. 在“Playbook 权限”中,选择“配置权限”按钮。

    Screenshot of the Microsoft Sentinel Playbook permissions.

  5. 在“管理权限”页的“浏览”选项卡下,选择 Microsoft Sentinel 工作区所属的资源组。 选择“应用”。

    Screenshot of the Microsoft Sentinel Playbook Manage permissions page.

  6. 你应看到“已完成添加权限”消息。

任务 2:使用 Microsoft Sentinel playbook

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。

  2. 在“Microsoft Sentinel”页的菜单栏上,在“配置”部分中,选择“自动化”。

  3. 在顶部菜单中,选择“创建”和“带有事件触发器的 Playbook”。

  4. 在“创建 Playbook”页的“基本信息”选项卡上,指定以下设置:

    设置
    订阅 选择 Azure 订阅。
    资源组 选择 Microsoft Sentinel 服务的资源组。
    Playbook 名称 ClosingIncident(可以选择任意名称)
    区域 选择与 Microsoft Sentinel 位置相同的位置。
    Log Analytics 工作区 不启用诊断日志
  5. 选择“下一步: 连接 >”,然后选择“下一步: 查看并创建 >”

  6. 选择“创建并继续转到设计器”

    注意

    等待部署完成。 部署应可在 1 分钟内完成。 如果它继续运行,则可能需要刷新页面。

  7. 在“逻辑应用设计器”窗格中,应会显示“Microsoft Sentinel 事件(预览)”。

    Screenshot of the Microsoft Sentinel trigger.

  8. 在“Microsoft Sentinel 事件(预览)”页上,选择“更改连接”链接。

  9. 在“连接”页上,选择“新增”。

  10. 在 Microsoft Sentinel 页上,选择“登录”。

    Screenshot of the authorizing API connection.

  11. 在“登录到你的帐户”页上,提供 Azure 订阅的凭据。

  12. 返回到“Microsoft Sentinel 事件(预览)”页,应会看到你已连接到自己的帐户。 选择“+新建步骤”。

  13. 在“选择操作”窗口中的搜索字段中,键入 Microsoft Sentinel。

  14. 选择“Microsoft Sentinel”图标。

  15. 在“操作”选项卡上,找到并选择“获取事件(预览)”。

  16. 在“获取事件(预览)”窗口中,选择“事件 ARM ID”字段。 此时会打开“添加动态内容”窗口。

    提示

    当你选择字段时,将打开一个新窗口,帮助你用动态内容填充这些字段。

  17. 在“动态内容”选项卡上的搜索框中,可以开始输入“事件 ARM”,然后从列表中选择条目,如下面的屏幕截图所示。

    Screenshot of Get Incident.

  18. 选择“+新建步骤”。

  19. 在“选择操作”窗口中的搜索字段中,键入 Microsoft Sentinel。

    提示

    在“为你推荐”选项卡中,“最近的选择”应显示 Microsoft Sentinel 图标。

  20. 选择“Microsoft Sentinel”图标。

  21. 从“操作”选项卡中,找到并选择“更新事件(预览)”。

  22. 在“更新事件(预览)”窗口中,提供以下输入:

    设置
    指定事件 ARM ID 事件 ARM ID
    指定所有者对象 ID/UPN 事件所有者对象 ID
    指定分配/取消分配所有者 从下拉菜单中,选择“取消分配”
    严重性 可以保留默认的“事件严重性”
    指定状态 从下拉菜单中,选择“已关闭”。
    指定分类原因 从下拉菜单中选择一个条目(如“未确定”),或选择“输入自定义值”,然后选择“IncidentClassification 动态内容”。
    关闭原因文本 编写说明性文本。

    Screenshot of the Get Incident status.

  23. 选择“事件 ARM ID”字段。 此时会打开“添加动态内容”窗口,在搜索框中,可以开始输入“事件 ARM”。 选择“事件 ARM ID”,然后选择“所有者对象 ID/UPN”字段。

  24. 此时会打开“添加动态内容”窗口,在搜索框中,可以开始输入“事件所有者”。 选择“事件所有者对象 ID”,然后使用表条目填写其余字段。

  25. 完成后,从逻辑应用设计器菜单栏中选择“保存”,然后关闭逻辑应用设计器。

任务 3:调用事件并查看关联操作

  1. 在 Azure 门户的“搜索资源、服务和文档”文本框中,键入“虚拟机”,然后选择“Enter”。

  2. 在“虚拟机”页上,找到并选择“simple-vm”虚拟机,然后在标题栏上选择“删除”。

  3. 在“删除 simple-vm”页上,对于“OS 磁盘”和“网络接口”,均选择“使用 VM 删除”。

  4. 选中该框以确认“我已阅读并了解此虚拟机以及任何所选资源都将被删除”,然后选择“删除”以删除虚拟机。

    Screenshot of the Delete simple-vm page.

    注意

    此任务将基于先前在“练习设置”单元中创建的分析规则创建事件。 事件创建可能需要 15 分钟。 等待该操作完成,然后继续下一步。

任务 4:将 playbook 分配给现有事件

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。

  2. 在“Microsoft Sentinel | 概述”页面的菜单栏上,在“威胁管理”部分选择“事件”。

    注意

    如上一说明中所述,创建事件可能最多需要 15 分钟。 刷新页面,直到事件出现在“事件”页面中。

  3. 在“Microsoft Sentinel | 事件”页上,选择基于删除虚拟机而创建的事件。

  4. 在详细信息窗格中,选择“操作”,然后选择“运行 playbook (预览)”。

    Screenshot of the Incident detail pane actions to run playbook.

  5. 在“运行事件 playbook”页上的“Playbook”选项卡中,你应看到 ClosingIncident playbook,选择“运行”。

  6. 验证是否收到消息“已成功触发 Playbook”。

  7. 关闭“运行事件 playbook”页,以返回到“Microsoft Sentinel | 事件”页。

  8. 在“Microsoft Sentinel”页面的标题栏上,选择“刷新”。 你将注意到事件从窗格中消失。 在“状态”菜单上,选择“已关闭”,然后选择“确定”。

    注意

    警报可能需要 5 分钟才能显示为“已关闭”

    Screenshot of the header bar.

  9. 验证事件是否再次显示,并注意“状态”列,检查它是否为“已关闭”。

清理资源

  1. 在 Azure 门户中,搜索“资源组”。

  2. 选择“azure-sentinel-rg”。

  3. 在标题栏上,选择“删除资源组”。

  4. 在“键入资源组名称:”字段中,输入资源组“azure-sentinel-rg”的名称,然后选择“删除”。