建立和管理 Microsoft Sentinel 劇本

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

劇本是可從 Microsoft Sentinel 執行以回應整個事件、個別警示或特定實體的程序集合。 劇本可協助自動化及協調您的回應，並可附加至自動化規則，以在產生特定警示或建立或更新事件時自動執行。 劇本也可以在特定事件、警示或實體上手動視需要執行。

本文說明如何建立和管理 Microsoft Sentinel 劇本。 您稍後可以將這些劇本附加至分析規則或自動化規則，或手動在特定事件、警示或實體上執行。

注意

Microsoft Sentinel 中的劇本是以 Azure Logic Apps 中內建的工作流程為基礎，這表示您可以取得 Logic Apps 的所有功能、可自訂性和內建範本。 可能會收取額外費用。 如需詳細資訊， 請流覽 Azure Logic Apps 定價頁面。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

若要建立和管理劇本，您需要使用下列其中一個 Azure 角色存取 Microsoft Sentinel：

• 邏輯應用程式參與者，可編輯和管理邏輯應用程式
• 邏輯應用程式操作員，可讀取、啟用和停用邏輯應用程式

如需詳細資訊，請參閱 Microsoft Sentinel 劇本必要條件。

建議您先閱讀 適用於 Microsoft Sentinel 的 Azure Logic Apps 劇本，再建立劇本。

建立劇本

請遵循下列步驟，在 Microsoft Sentinel 中建立新的劇本：

1. 針對 Azure 入口網站中的 Microsoft Sentinel，選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[設定]>[自動化]。

   Azure 入口網站

   

   Defender 入口網站

   

2. 從頂端功能表中，選取 [建立]，然後選取下列其中一個選項：

   1. 如果您要建立標準劇本，請選取 [空白劇本]，然後遵循標準邏輯應用程式類型的步驟。

   2. 如果您要建立取用劇本，請根據您要使用的觸發程式選取下列其中一個選項，然後遵循下列 Logic Apps 取用索引卷標的步驟：

      • 事件觸發程式的劇本
      • 具有警示觸發程式的劇本
      • 具有實體觸發程序的劇本

   如需詳細資訊，請參閱 Microsoft Sentinel 劇本中支援的邏輯應用程式類型和支援的觸發程式和動作。

準備劇本的邏輯應用程式

選取下列其中一個索引標籤，以取得如何為劇本建立邏輯應用程式的詳細數據，視您使用 使用量 或 標準 工作流程而定。 如需詳細資訊，請參閱 支援的邏輯應用程式類型。

耗用

[ 建立劇本 精靈] 會出現在選取您想要使用的觸發程序之後，包括事件、警示或實體觸發程式。 例如：

請執行下列動作來建立劇本：

1. 在 [基本] 索引標籤中：

   1. 從其各自的下拉式清單中，選取您選擇的 [訂用帳戶]、[資源群組] 和 [區域]。 選取的區域是您邏輯應用程式資訊的儲存位置。

   2. 在 [劇本名稱] 下輸入劇本的名稱。

   3. 如果您想要監視此劇本的活動以用於診斷目的，請選取 [在Log Analytics 中啟用診斷記錄] 複選框，然後從下拉式清單中選取您的Log Analytics 工作區。

   4. 如果您的劇本需要存取內部或連線至 Azure 虛擬網路的受保護資源，則您可能需要使用整合服務環境 (ISE)。 如果是，請選取 [ 與整合服務環境 建立關聯] 複選框，然後從下拉式清單中選取相關的 ISE。

   5. 選取 [下一步]：連線。>

2. 在 [連線 ions] 索引標籤中，建議您保留預設值，設定 Logic Apps 以使用受控識別連線到 Microsoft Sentinel。 如需詳細資訊，請參閱 向 Microsoft Sentinel 驗證劇本。

   選取 [下一步：檢閱並建立 > ] 以繼續。

3. 在 [ 檢閱和建立] 索引標籤中，檢閱您所做的設定選擇，然後選取 [ 建立並繼續設計工具]。

   您的劇本需要幾分鐘的時間才能建立和部署，之後您會看到「部署已完成」訊息，並帶您前往新劇本的 邏輯應用程式設計工具。 您在開頭選擇的觸發程式會自動新增為第一個步驟，您可以繼續從該處設計工作流程。

   

4. 如果您選擇 Microsoft Sentinel 實體 觸發程式，請選取您希望此劇本接收作為輸入的實體類型。

   

標準

由於以標準工作流程為基礎的劇本不支援劇本範本，因此您必須先建立邏輯應用程式，然後建立劇本，最後選擇劇本的觸發程式。

選取 [ 空白劇本 ] 選項之後，會開啟新的瀏覽器索引標籤，並顯示 [ 建立邏輯應用程式 精靈]。 例如：

建立邏輯應用程式

1. 在 [基本] 索引標籤中，輸入下列詳細資料：

   1. 從其各自的下拉式清單中選取您選擇的訂用帳戶和資源群組。
   2. 輸入邏輯應用程式的名稱。 針對 [ 發佈]，選取 [ 工作流程]。 選取您想要部署邏輯應用程式的 [區域]。
   3. 針對 [ 方案類型]，選取 [ 標準]。
   4. 選取 [下一步：裝載]>。

2. 在 [ 裝載] 索引標籤中：

   1. 針對 儲存體 類型，選取 [Azure 儲存體]，然後選取或建立 儲存體 帳戶。
   2. 選取 Windows 方案。

3. 在 [ 監視] 索引標籤中：

   1. 如果您想要在此應用程式的 Azure 監視器中啟用效能監視，請將切換開關保留為 [是]。 否則，請將它切換為 [否]。

      注意

      Microsoft Sentinel 不需要此監視，而且會花費您額外的成本。

   2. 您可以選擇性地選取 [下一步：標籤 > ]，以將標籤套用至此邏輯應用程式，以進行資源分類和計費。 否則，請選取 [ 檢閱 + 建立]。

4. 在 [ 檢閱 + 建立] 索引標籤中，檢閱您所做的設定選擇，然後選取 [ 建立]。

   您的劇本需要幾分鐘的時間才能建立和部署，在此期間您會看到一些部署訊息。 在程序結束時，您會進入最終部署畫面，您會看到訊息：「您的部署已完成」。

5. 選取 [前往資源] 。 系統會帶您前往新邏輯應用程式的主頁面。

   不同於傳統取用劇本，您尚未完成。 現在您必須建立工作流程。

為您的劇本建立工作流程

1. 從邏輯應用程式的詳細數據頁面中，選取 [工作流程 > + 新增]。 可能需要一些時間，[ + 新增 ] 按鈕才會變成作用中。

2. 在出現的 [ 新增工作流程 ] 窗格中：

   1. 為您的工作流程輸入有意義的名稱。
   2. 在 [狀態類型] 底下，選取 [具狀態]。 Microsoft Sentinel 不支援使用無狀態工作流程作為劇本。
   3. 選取 建立。

   您的工作流程會儲存並出現在邏輯應用程式中的工作流程清單中。

3. 選取新的工作流程以繼續並存取您的工作流程詳細數據頁面。 您可以在這裡看到工作流程的所有資訊，包括其執行時的所有記錄。

4. 從工作流程詳細數據頁面，選取 [ 設計工具]。

5. [ 設計工具] 頁面隨即開啟，系統會提示您新增觸發程式並繼續設計工作流程。 例如：

   

新增觸發程式

1. 在 [ 設計工具] 頁面中，選取 [Azure ] 索引標籤，然後在 [搜尋] 方塊中輸入 Sentinel 。 [ 觸發程式] 索引標籤會顯示 Microsoft Sentinel 支援的觸發程式，包括：

   • Microsoft Sentinel 警示
   • Microsoft Sentinel 實體
   • Microsoft Sentinel 事件

   例如：

   

2. 如果您選擇 Microsoft Sentinel 實體 觸發程式，請選取您希望此劇本接收作為輸入的實體類型。 例如：

   

如需詳細資訊，請參閱 Microsoft Sentinel 劇本中支援的觸發程式和動作。

將動作新增至劇本

既然您已擁有邏輯應用程式，請定義呼叫劇本時會發生什麼事。 選取 [新增步驟] 來新增動作、邏輯條件、迴圈或切換案例條件。 此選取項目會在設計工具中開啟新的框架，您可以在其中選擇要互動的系統或應用程式或要設定的條件。 在框架頂端的搜尋列中輸入系統或應用程式的名稱，然後選擇可用的結果。

在上述每一個步驟中，單擊任何欄位會顯示具有下列功能表的面板：

• 動態內容：新增已傳遞至劇本之警示或事件屬性的參考，包括警示或事件中包含的所有 對應實體 的值和屬性，以及 自定義詳細數據 。 如需使用動態內容的範例，請參閱：

  • 使用沒有事件標識碼的實體劇本
  • 使用自訂詳細數據

• 表達式：從大型函式連結庫中選擇，以將更多邏輯新增至您的步驟。

如需詳細資訊，請參閱 Microsoft Sentinel 劇本中支援的觸發程式和動作。

驗證提示

當您選擇觸發程式或任何後續動作時，系統會提示您向您要與其互動的任何資源提供者進行驗證。 在此情況下，提供者是 Microsoft Sentinel，而且有幾個驗證選項。 如需詳細資訊，請參閱

• 向 Microsoft Sentinel 驗證劇本
• Microsoft Sentinel 劇本中支持的觸發程式和動作

動態內容：使用沒有事件標識碼的實體劇本

使用實體觸發程式建立的劇本通常會使用 [事件 ARM 標識符 ] 字段，例如，在對實體採取動作之後更新事件。

如果在未連線到事件的內容中觸發這類劇本，例如當威脅搜捕時，就不會有標識元可以填入此字段的事件。 在此情況下，欄位會填入 Null 值。

因此，劇本可能無法執行到完成。 若要防止此失敗，建議您建立條件，先檢查事件標識符欄位中的值，再對其採取任何動作，並在字段具有 Null 值時指定不同的動作集，也就是如果劇本未從事件執行。

執行下列步驟：

1. 在第一個參照 事件 ARM 標識符 欄位的動作之前，新增 [ 條件 ] 步驟。

2. 在側邊，選取 [ 選擇值 ] 字段以輸入 [新增動態內容 ] 對話方塊。

3. 選取 [事件 ARM 標識符][選擇性]，且 不等於 運算符。

4. 選取 [ 再次選擇值 ] 以輸入 [ 新增動態內容 ] 對話框。

5. 選取 [表達式] 索引標籤和 Null 函式。

例如：

動態內容：使用自定義詳細數據

事件觸發程式中提供的警示自定義詳細數據動態欄位是 JSON 物件的陣列，每個物件都代表警示的自定義詳細數據。 自定義詳細數據 是索引鍵/值組，可讓您從警示中的事件呈現資訊，以便在事件中呈現、追蹤和分析它們。

由於警示中的這個欄位是可自定義的，因此其架構取決於所呈現的事件類型。 從這個事件的實例提供數據，以產生架構，以判斷自定義詳細數據欄位的剖析方式。

例如：

在這些機碼/值群組中：

• 左欄中的索引鍵代表您建立的自定義欄位。
• 右欄中的值代表填入自定義欄位之事件數據中的欄位。

提供下列 JSON 程式代碼來產生架構。 程式代碼會將索引鍵名稱顯示為陣列，並將值顯示為陣列中的專案。 值會顯示為實際值，而不是包含值的數據行。

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

若要針對事件觸發程式使用自訂欄位：

1. 使用 剖析 JSON 內建動作新增步驟。 如果需要，請在 [搜尋] 字段中輸入 'parse json'，以尋找它。

2. 在事件觸發程式底下的 [動態內容] 列表中尋找並選取 [警示自定義詳細數據]。 例如：

   

   這會建立 For each 循環，因為事件包含警示陣列。

3. 選取 [ 使用範例承載來產生架構 連結]。 例如：

   

4. 提供範例承載。 例如，您可以在Log Analytics 中尋找此警示的另一個實例，並複製延伸屬性底下找到的自定義詳細數據物件，以尋找範例承載。 在 Azure 入口網站 的 [記錄] 頁面或 Defender 入口網站中的 [進階搜捕] 頁面中存取 Log Analytics 數據。 在下列螢幕快照中，我們使用上述的 JSON 程式代碼。

   

自定義欄位已準備好做為 Array 類型的動態欄位。 例如，下列螢幕快照顯示陣列及其專案，無論是在架構中，還是出現在動態內容底下的清單中，本節所述：

管理您的劇本

選取 [ 自動化 > 作用中劇本] 索引 卷標，以檢視您有權存取的所有劇本，並依訂用帳戶檢視篩選。

上線至統一安全性作業平臺之後，根據預設，[ 作用中劇本] 索引 標籤會顯示預先定義的篩選，其中包含已上線工作區的訂用帳戶。 在 Azure 入口網站 中，從全域 Azure 頁面標題中的 [目錄 + 訂用帳戶] 選單編輯您顯示的訂用帳戶。

雖然 [作用中 劇本] 索引 卷標會顯示任何所選訂用帳戶中可用的所有使用中劇本，但根據預設，劇本只能在所屬的訂用帳戶內使用，除非您特別將 Microsoft Sentinel 許可權授與劇本的資源群組。

[使用中的 劇本] 索引 標籤會顯示您的劇本，其中包含下列詳細數據：

資料行名稱	描述
狀態	指出劇本是否已啟用或停用。
計劃	指出劇本 使用 Standard 或 Consumption Azure Logic Apps 資源類型。 標準類型的劇本會使用LogicApp/Workflow命名慣例，以反映標準劇本如何代表與單一邏輯應用程式中其他工作流程並存的工作流程。 如需詳細資訊，請參閱 適用於 Microsoft Sentinel 的 Azure Logic Apps 劇本。
觸發程式種類	指出啟動此劇本的 Azure Logic Apps 觸發程式： - Microsoft Sentinel 事件/警示/實體：劇本是以其中一個 Sentinel 觸發程序啟動，包括事件、警示或實體 - 使用 Microsoft Sentinel 動作：劇本是以非 Microsoft Sentinel 觸發程序啟動，但使用 Microsoft Sentinel 動作 - 其他：劇本不包含任何 Microsoft Sentinel 元件 - 未初始化：劇本已建立，但不包含任何元件，兩者都不會觸發任何動作。

選取劇本以開啟其 Azure Logic Apps 頁面，其中顯示劇本的詳細數據。 在 [Azure Logic Apps] 頁面上：

• 檢視劇本執行的所有時間記錄
• 檢視執行結果，包括成功和失敗和其他詳細數據
• 如果您有相關許可權，請在 Azure Logic Apps 中開啟工作流程設計工具，直接編輯劇本

相關內容

建立劇本之後，請將它附加至環境中事件所觸發的規則，或手動在特定事件、警示或實體上執行劇本。

如需詳細資訊，請參閱

• 自動化並執行 Microsoft Sentinel 劇本
• 向 Microsoft Sentinel 驗證劇本
• 使用 Microsoft Sentinel 劇本來停止可能遭入侵的使用者