练习 - 创建 Microsoft Sentinel playbook
作为 Contoso 的安全运营分析师,你最近注意到,当有人删除虚拟机时,会生成大量警报。 你希望在将来分析此类事件,并减少为误报事件生成的警报。
练习:使用 Microsoft Sentinel playbook 响应威胁
你决定实现 Microsoft Sentinel playbook 来自动响应事件。
在本练习中,你将通过执行以下任务来探索 Microsoft Sentinel playbook:
配置 Microsoft Sentinel Playbook 权限。
创建 playbook 来自动执行操作以响应事件。
通过调用事件来测试 playbook。
注意
若要完成本练习,你需要先完成“练习设置”单元。 如果尚未这样做,请立即完成此操作,然后继续执行练习步骤。
任务 1:配置 Microsoft Sentinel Playbook 权限
在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。
在“Microsoft Sentinel”页的菜单栏上,在“配置”部分中,选择“设置”。
在“设置”页中,选择“设置”选项卡,然后向下滚动并展开“Playbook 权限”
在“Playbook 权限”中,选择“配置权限”按钮。
在“管理权限”页的“浏览”选项卡下,选择 Microsoft Sentinel 工作区所属的资源组。 选择“应用”。
你应看到“已完成添加权限”消息。
任务 2:使用 Microsoft Sentinel playbook
在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。
在“Microsoft Sentinel”页的菜单栏上,在“配置”部分中,选择“自动化”。
在顶部菜单中,选择“创建”和“带有事件触发器的 Playbook”。
在“创建 Playbook”页的“基本信息”选项卡上,指定以下设置:
设置 值 订阅 选择 Azure 订阅。 资源组 选择 Microsoft Sentinel 服务的资源组。 Playbook 名称 ClosingIncident(可以选择任意名称) 区域 选择与 Microsoft Sentinel 位置相同的位置。 Log Analytics 工作区 不启用诊断日志 选择“下一步: 连接 >”,然后选择“下一步: 查看并创建 >”
选择“创建并继续转到设计器”
注意
等待部署完成。 部署应可在 1 分钟内完成。 如果它继续运行,则可能需要刷新页面。
在“逻辑应用设计器”窗格中,应会显示“Microsoft Sentinel 事件(预览)”。
在“Microsoft Sentinel 事件(预览)”页上,选择“更改连接”链接。
在“连接”页上,选择“新增”。
在 Microsoft Sentinel 页上,选择“登录”。
在“登录到你的帐户”页上,提供 Azure 订阅的凭据。
返回到“Microsoft Sentinel 事件(预览)”页,应会看到你已连接到自己的帐户。 选择“+新建步骤”。
在“选择操作”窗口中的搜索字段中,键入 Microsoft Sentinel。
选择“Microsoft Sentinel”图标。
在“操作”选项卡上,找到并选择“获取事件(预览)”。
在“获取事件(预览)”窗口中,选择“事件 ARM ID”字段。 此时会打开“添加动态内容”窗口。
提示
当你选择字段时,将打开一个新窗口,帮助你用动态内容填充这些字段。
在“动态内容”选项卡上的搜索框中,可以开始输入“事件 ARM”,然后从列表中选择条目,如下面的屏幕截图所示。
选择“+新建步骤”。
在“选择操作”窗口中的搜索字段中,键入 Microsoft Sentinel。
提示
在“为你推荐”选项卡中,“最近的选择”应显示 Microsoft Sentinel 图标。
选择“Microsoft Sentinel”图标。
从“操作”选项卡中,找到并选择“更新事件(预览)”。
在“更新事件(预览)”窗口中,提供以下输入:
设置 值 指定事件 ARM ID 事件 ARM ID 指定所有者对象 ID/UPN 事件所有者对象 ID 指定分配/取消分配所有者 从下拉菜单中,选择“取消分配” 严重性 可以保留默认的“事件严重性” 指定状态 从下拉菜单中,选择“已关闭”。 指定分类原因 从下拉菜单中选择一个条目(如“未确定”),或选择“输入自定义值”,然后选择“IncidentClassification 动态内容”。 关闭原因文本 编写说明性文本。 选择“事件 ARM ID”字段。 此时会打开“添加动态内容”窗口,在搜索框中,可以开始输入“事件 ARM”。 选择“事件 ARM ID”,然后选择“所有者对象 ID/UPN”字段。
此时会打开“添加动态内容”窗口,在搜索框中,可以开始输入“事件所有者”。 选择“事件所有者对象 ID”,然后使用表条目填写其余字段。
完成后,从逻辑应用设计器菜单栏中选择“保存”,然后关闭逻辑应用设计器。
任务 3:调用事件并查看关联操作
在 Azure 门户的“搜索资源、服务和文档”文本框中,键入“虚拟机”,然后选择“Enter”。
在“虚拟机”页上,找到并选择“simple-vm”虚拟机,然后在标题栏上选择“删除”。
在“删除 simple-vm”页上,对于“OS 磁盘”和“网络接口”,均选择“使用 VM 删除”。
选中该框以确认“我已阅读并了解此虚拟机以及任何所选资源都将被删除”,然后选择“删除”以删除虚拟机。
注意
此任务将基于先前在“练习设置”单元中创建的分析规则创建事件。 事件创建可能需要 15 分钟。 等待该操作完成,然后继续下一步。
任务 4:将 playbook 分配给现有事件
在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。
在“Microsoft Sentinel | 概述”页面的菜单栏上,在“威胁管理”部分选择“事件”。
注意
如上一说明中所述,创建事件可能最多需要 15 分钟。 刷新页面,直到事件出现在“事件”页面中。
在“Microsoft Sentinel | 事件”页上,选择基于删除虚拟机而创建的事件。
在详细信息窗格中,选择“操作”,然后选择“运行 playbook (预览)”。
在“运行事件 playbook”页上的“Playbook”选项卡中,你应看到 ClosingIncident playbook,选择“运行”。
验证是否收到消息“已成功触发 Playbook”。
关闭“运行事件 playbook”页,以返回到“Microsoft Sentinel | 事件”页。
在“Microsoft Sentinel”页面的标题栏上,选择“刷新”。 你将注意到事件从窗格中消失。 在“状态”菜单上,选择“已关闭”,然后选择“确定”。
注意
警报可能需要 5 分钟才能显示为“已关闭”
验证事件是否再次显示,并注意“状态”列,检查它是否为“已关闭”。
清理资源
在 Azure 门户中,搜索“资源组”。
选择“azure-sentinel-rg”。
在标题栏上,选择“删除资源组”。
在“键入资源组名称:”字段中,输入资源组“azure-sentinel-rg”的名称,然后选择“删除”。