分享方式:


建議的劇本使用案例、範例和範例

本文列出Microsoft Sentinel 劇本的範例使用案例,以及範例劇本和建議劇本範本。

我們建議從下列 SOC 案例的Microsoft Sentinel 劇本開始,為此我們提供現成的 劇本範本

擴充:收集和附加數據至事件,以做出更明智的決策

如果您的Microsoft Sentinel 事件是從產生IP位址實體的警示和分析規則建立,請設定事件以觸發自動化規則以執行劇本並收集詳細資訊。

使用下列步驟設定劇本:

  1. 建立事件時啟動劇本。 事件中代表的實體會儲存在事件觸發程式的動態欄位中。

  2. 針對每個IP位址,設定劇本來查詢外部威脅情報提供者,例如 病毒總計,以擷取更多數據。

  3. 將傳回的數據和深入解析新增為事件的批注,以擴充您的調查。

Microsoft Sentinel 事件的雙向同步處理與其他票證系統

若要將Microsoft Sentinel 事件數據與票證系統同步,例如 ServiceNow:

  1. 建立所有事件建立的自動化規則。

  2. 附加在建立新事件時觸發的劇本。

  3. 設定劇本,以使用 ServiceNow 連接器在 ServiceNow 中建立新的票證。

    藉由將劇本設定為在 ServiceNow 票證中包含事件名稱、重要欄位,以及 ServiceNow 票證中Microsoft Sentinel 事件的 URL,確定您的小組可以輕鬆地從 ServiceNow 票證中跳回您的Microsoft Sentinel 事件。

協調流程:從SOC聊天平臺控制事件佇列

如果您的Microsoft Sentinel 事件是從產生使用者名稱和IP位址實體的警示和分析規則建立的,請設定事件以觸發自動化規則以執行劇本,並透過標準通訊通道連絡您的小組。

使用下列步驟設定劇本:

  1. 建立事件時啟動劇本。 事件中代表的實體會儲存在事件觸發程式的動態欄位中。

  2. 設定劇本以將訊息傳送至安全性作業通訊通道,例如在 Microsoft TeamsSlack 中,以確保您的安全性分析師知道該事件。

  3. 設定劇本,以透過電子郵件將警示中的所有資訊傳送給資深網路管理員和安全性系統管理員。電子郵件訊息包含 [封鎖 ] 和 [忽略 使用者] 選項按鈕。

  4. 將劇本設定為等到收到來自系統管理員的回應,然後繼續執行。

  5. 如果系統管理員選取 [封鎖],請將劇本設定為將命令傳送至防火牆以封鎖警示中的IP位址,而另一個則設定為Microsoft Entra ID 來停用使用者。

使用最少的人相依性立即回應威脅

本節提供兩個範例,以回應遭入侵用戶的威脅和遭入侵的計算機。

若使用者遭到入侵,例如Microsoft Entra ID Protection探索:

  1. 建立新的Microsoft Sentinel 事件時,請啟動您的劇本。

  2. 針對可疑為遭入侵之事件的每個用戶實體,請將劇本設定為:

    1. 傳送 Teams 訊息給使用者,要求確認使用者採取可疑動作。

    2. 請洽詢 Microsoft Entra ID Protection,以確認 使用者的狀態為遭入侵。 Microsoft Entra ID Protection 會將用戶標示為 風險,並套用任何已設定的強制原則,例如,要求使用者在下次登入時使用 MFA。

    注意

    此特定Microsoft Entra 動作不會對使用者起始任何強制活動,也不會起始任何強制執行原則的設定。 它只會告訴Microsoft Entra ID Protection 適當地套用任何已定義的原則。 任何強制執行完全取決於Microsoft Entra ID Protection 中定義的適當原則。

如果計算機遭到入侵,例如 適用於端點的 Microsoft Defender探索:

  1. 建立新的Microsoft Sentinel 事件,請啟動您的劇本。

  2. 使用 實體 - 取得主機 動作來設定劇本,以剖析事件實體中包含的可疑機器。

  3. 設定劇本以發出命令來 適用於端點的 Microsoft Defender 隔離警示中的機器

在調查期間或搜捕期間手動回應,而不離開內容

使用實體觸發程式,立即對您在調查期間探索到的個別威脅執行者採取動作,一次一次地從您的調查開始。 此選項也可在威脅搜捕內容中取得,與任何特定事件無關。

選取內容中的實體,並在該處執行動作,節省時間並降低複雜度。

具有實體觸發程式的劇本支援下列動作:

  • 封鎖遭入侵的使用者。
  • 封鎖來自防火牆中惡意IP位址的流量。
  • 隔離網路上遭入侵的主機。
  • 將IP位址新增至安全/不安全的位址監看清單,或新增至外部組態管理資料庫 (CMDB)。
  • 從外部威脅情報來源取得檔案哈希報告,並將其新增至事件作為批注。

本節列出建議的劇本,以及內容中樞Microsoft Sentinel GitHub 存放庫中的類似劇本。

通知劇本範本

建立警示或事件並將通知傳送至設定的目的地時,就會觸發通知劇本

劇本 中的資料夾
GitHub 存放庫
內容中樞中的解決方案/
Azure Marketplace
在 Microsoft Teams 頻道中張貼訊息 Post-Message-Teams Sentinel SOAR 基本概念解決方案
傳送 Outlook 電子郵件通知 Send-basic-email Sentinel SOAR 基本概念解決方案
在 Slack 通道中張貼訊息 Post-Message-Slack Sentinel SOAR 基本概念解決方案
在事件建立時傳送Microsoft Teams 調適型卡片 Send-Teams-adaptive-card-on-incident-creation Sentinel SOAR 基本概念解決方案

封鎖劇本範本

建立警示或事件時會觸發封鎖劇本 、收集帳戶、IP 位址和主機等實體資訊,並封鎖它們,使其免於進一步的動作:

劇本 中的資料夾
GitHub 存放庫
內容中樞中的解決方案/
Azure Marketplace
封鎖 Azure 防火牆中的IP位址 AzureFirewall-BlockIP-addNewRule Sentinel Azure 防火牆 解決方案
封鎖 Microsoft Entra 使用者 Block-AADUser Microsoft Entra 解決方案
重設Microsoft Entra 用戶密碼 Reset-AADUserPassword Microsoft Entra 解決方案
使用隔離或取消隔離裝置
適用於端點的 Microsoft Defender
Isolate-MDEMachine
Unisolate-MDEMachine
適用於端點的 Microsoft Defender解決方案

建立、更新或關閉劇本範本

建立、更新或關閉劇本 可以在 Microsoft sentinel、Microsoft 365 安全性服務或其他票證系統中建立、更新或關閉事件:

劇本 中的資料夾
GitHub 存放庫
內容中樞中的解決方案/
Azure Marketplace
使用 Microsoft Forms 建立事件 CreateIncident-MicrosoftForms Sentinel SOAR Essentials 解決方案
將警示與事件建立關聯 relateAlertsToIncident-basedOnIP Sentinel SOAR Essentials 解決方案
建立服務立即事件 Create-SNOW-record ServiceNow 解決方案

常用的劇本組態

本節提供常用劇本設定的範例螢幕快照,包括更新事件、使用事件詳細數據、將批註新增至事件,或停用使用者。

更新事件

本節提供範例螢幕快照,說明如何使用劇本,根據新的事件或警示來更新事件。

根據新的事件更新事件 (事件觸發程式):

事件觸發程式簡單更新流程範例的螢幕快照。

根據新的警示 更新事件(警示觸發程式):

警示觸發程式簡單更新事件流程範例的螢幕快照。

在您的流程中使用事件詳細數據

本節提供範例螢幕快照,說明如何使用劇本在流程中其他地方使用事件詳細數據:

使用由新事件觸發的劇本,依郵件傳送事件詳細數據:

事件觸發程序簡單取得流程範例的螢幕快照。

使用由新警示觸發的劇本,依郵件傳送事件詳細數據:

警示觸發程序簡單取得事件流程範例的螢幕快照。

將批註新增至事件

本節提供如何使用劇本將批注新增至事件的範例螢幕快照:

使用新事件所觸發的劇本,將批註新增至事件

事件觸發程式簡單新增批注範例的螢幕快照。

使用由新警示觸發的劇本,將批註新增至事件:

警示觸發程式簡單新增批注範例的螢幕快照。

停用使用者

下列螢幕快照顯示如何根據 Microsoft sentinel 實體觸發程式,使用劇本來停用使用者帳戶的範例:

此螢幕快照顯示實體觸發程式劇本中要採取的動作,以停用使用者。