進行 Microsoft Sentinel 劇本的自動化和執行
劇本是可從 Microsoft Sentinel 執行以回應整個事件、個別警示或特定實體的程序集合。 劇本可協助自動化及協調您的回應,並可藉由附加至自動化規則,設定為在產生特定警示或建立或更新事件時自動執行。 您也可以針對特定事件、警示或實體隨需手動執行。
本文說明如何將劇本連結至分析規則或自動化規則,或以手動方式對特定事件、警示或實體執行劇本。
注意
Microsoft Sentinel 中的劇本是以 Azure Logic Apps 中內建的工作流程為基礎,這表示您可以取得 Logic Apps 的所有功能、可自訂性和內建範本。 可能會有額外費用。 請造訪 Azure Logic Apps 價格分頁以取得詳細資料。
重要
Microsoft Sentinel 可做為 Microsoft Defender 入口網站中統一安全性作業平台的一部分。 現在支援 Defender 入口網站中的 Microsoft Sentinel 供實際執行環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
開始之前,請確定您有劇本可供使用所定義的觸發程序、條件和動作來加以自動化或執行。 如需詳細資訊,請參閱建立和管理 Microsoft Sentinel 劇本 (部分機器翻譯)。
要執行劇本所需的 Azure 角色
若要執行劇本,您需要下列 Azure 角色:
| 角色 | 描述 |
|---|---|
| 負責人 | 可讓您授與資源群組中劇本的存取權。 |
| Microsoft Sentinel 參與者 | 將劇本連結至分析規則或自動化規則。 |
| Microsoft Sentinel 回應程式 | 存取事件,以便手動執行劇本。 若要實際執行劇本,您還需要下列角色: - Microsoft Sentinel 劇本操作員,用以手動執行劇本。 - Microsoft Sentinel 自動化參與者角色,用以讓自動化規則執行劇本。 |
如需詳細資訊,請參閱劇本必要條件 (部分機器翻譯)。
要對事件執行劇本所需的額外權限
Microsoft Sentinel 會使用服務帳戶對事件執行劇本,以增加安全性,並啟用自動化規則 API 以支援 CI/CD 使用案例。 此服務帳戶會用於事件觸發的劇本,或在您對特定事件手動執行劇本時使用。
除了您自己的角色和權限外,此 Microsoft Sentinel 服務帳戶還必須以 Microsoft Sentinel 自動化參與者角色的形式,擁有劇本所在資源群組的一組自有權限。 Microsoft Sentinel 具有此角色之後,便能以手動方式或透過自動化規則在相關的資源群組中執行任何劇本。
若要向 Microsoft Sentinel 授與所需的權限,您必須擁有擁有者或使用者存取系統管理員角色。 若要執行劇本,您還需要有要執行的劇本所在資源群組的邏輯應用程式參與者角色。
在多租用戶部署中設定事件的劇本權限
在多租用戶部署中,如果您想要執行的劇本位於不同的租用戶中,則必須向 Microsoft Sentinel 服務帳戶授與在劇本的租用戶中執行劇本的權限。
從劇本租用戶的 Microsoft Sentinel 導覽功能表中,選取 [設定]。
在 [設定] 頁面中,選取 [設定] 索引標籤,然後選取 [劇本權限] 展開工具。
選取 [設定權限] 按鈕,以開啟 [管理權限] 面板。
標記您要執行的劇本所在資源群組的核取方塊,然後選取 [套用]。 例如:
您自己必須擁有您想要向 Microsoft Sentinel 授與權限之任何資源群組的擁有者權限,而且您必須擁有您要執行的劇本所在任何資源群組的 Microsoft Sentinel 劇本操作員角色。
在 MSSP 案例中,如果您想要透過登入服務提供者租用戶時所建立的自動化規則,在客戶租用戶中執行劇本 (部分機器翻譯),則必須向 Microsoft Sentinel 授與在以下兩個租用戶中執行劇本的權限:
在客戶租用戶中,請遵循多租用戶部署的標準指示。
在服務提供者租用戶中,請在 Azure Lighthouse 上線範本中新增 Azure 安全性深入解析應用程式,如下所示:
- 從 Azure 入口網站移至 Microsoft Entra ID,然後選取 [企業應用程式]。
- 選取 [應用程式類型],然後篩選 [Microsoft 應用程式]。
- 在搜尋方塊中,輸入 Azure 安全性深入解析。
- 複製 [物件識別碼] 欄位。 您必須將此額外的授權新增至現有的 Azure Lighthouse 委派。
Microsoft Sentinel 自動化參與者角色具有固定 GUID f4c81013-99ee-4d62-a7ee-b3f1f648599a。 樣本 Azure Lighthouse 授權在參數範本中看起來會像這樣:
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
將事件和警示的回應自動化
若要使用劇本來自動回應整個事件或個別警示,請建立會在有事件建立或更新時或有警示產生時執行的自動化規則。 此自動化規則包含會呼叫所要使用劇本的步驟。
若要建立自動化規則:
從 Microsoft Sentinel 導覽功能表中的 [自動化] 頁面、選取頂端功能表中的 [建立],然後 選取 [自動化規則]。 例如:
[建立新的自動化規則] 面板隨即開啟。 輸入您的規則名稱。 您的選項會因工作區是否已上線至統一安全性作業平台而有所不同。 例如:
觸發程序:根據您要建立自動化規則的情況選取適當的觸發程序 — 事件建立時、事件更新時或警示建立時。
條件:
如果您的工作區尚未上線至整合安全性作業平台,事件會有兩個可能的來源:
- 您可以在 Microsoft Sentinel 內建立事件
- 事件可以從 Microsoft Defender 全面偵測回應匯入並與其進行同步處理。
如果您選取了其中一個事件觸發程序,而且您希望自動化規則只對來自 Microsoft Sentinel 的事件生效,或者,只對來自 Microsoft Defender 全面偵測回應的事件生效,請在如果事件提供者等於條件中指定來源。
只有在選取了事件觸發程序,且您的工作區未上線至整合安全性作業平台時,系統才會顯示此條件。
針對所有觸發程序類型,如果您希望自動化規則只對特定分析規則生效,請修改若分析規則名稱包含條件來指定特定規則。
新增您想要判斷此自動化規則是否執行的任何其他條件。 選取 [+ 新增],然後從下拉式清單中選取條件或條件群組 (部分機器翻譯)。 條件清單會填入警示詳細資料和實體識別碼欄位。
動作:
由於您使用此自動化規則來執行劇本,請從下拉式清單中選取 [執行劇本] 動作。 接著,系統會提示您從顯示可用劇本的第二個下拉式清單中進行選取。 自動化規則只能執行以與規則中所定義觸發程序相同的觸發程序 (事件或警示) 開始的劇本,因此清單中只會出現這些劇本。
如果某個劇本在下拉式清單中呈現「灰色」,則表示 Microsoft Sentinel 沒有該劇本資源群組的權限。 選取 [管理劇本權限] 連結以指派權限。
在開啟的 [管理權限] 面板中,標示包含您要執行劇本的資源群組核取方塊,然後選取 [套用]。 例如:
您自己必須擁有您想要向 Microsoft Sentinel 授與權限之任何資源群組的擁有者權限,而且您必須擁有您要執行的劇本所在任何資源群組的 Microsoft Sentinel 劇本操作員角色。
如需詳細資訊,請參閱要對事件執行劇本所需的額外權限。
新增您想要用於此規則的任何其他動作。 您可以選取任何動作右邊的向上或向下箭號來變更動作的執行順序。
如果您想要擁有到期日,請設定自動化規則的到期日。
在 [順序] 底下輸入數字,以決定此規則在所有自動化規則序列中的執行位置。
選取 [套用] 以完成您的自動化。
如需詳細資訊,請參閱建立和管理 Microsoft Sentinel 劇本 (部分機器翻譯)。
回應警示—舊版方法
另一種自動執行劇本以回應警示的方式是從分析規則中呼叫劇本。 當規則產生警示時,劇本就會執行。
此方法將於 2026 年 3 月淘汰。
從 2023 年 6 月開始,您便已無法再以這種方式將劇本新增至分析規則。 不過,您仍然可以看到從分析規則呼叫的現有劇本,且這些劇本仍會執行到 2026 年 3 月為止。 強烈建議您在此時間到來之前,改為建立自動化規則來呼叫這些劇本。
視需要手動執行劇本
不論是為了回應警示、事件還是實體,您也可以視需要手動執行劇本。 這在您想要讓更多人為輸入並控制協調流程和回應流程的情況下非常有用。
針對警示手動執行劇本
整合安全性作業平台不支援此程序。
在 Azure 入口網站中,視您的環境需要選取下列其中一個索引標籤:
- [事件詳細資料] 頁面
- 調查圖表
在 [事件] 頁面中選取事件,然後選取 [檢視完整詳細資料] 以開啟 [事件詳細資料] 頁面。
在 [事件詳細資料] 頁面的 [事件時間軸] Widget 中,選取要對其執行劇本的警示。 選取警示行尾端的三個點,然後從快顯功能表中選取 [執行劇本]。
[警示劇本] 窗格隨即開啟。 您會看到已設定您可存取的 Microsoft Sentinel 警示 Logic Apps 觸發程序的所有劇本清單。
選取特定劇本行上的 [執行],以立即執行。
您可以選取 [警示劇本] 窗格上的 [執行] 索引標籤,以查看警示上劇本的執行歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定執行便會在 Logic Apps 中開啟完整的執行記錄。
在事件上手動執行劇本
此程序會隨您是在 Microsoft Sentinel 中工作還是在整合安全性作業平台中工作而有所不同。 請選取與您的環境相關的索引標籤:
在 [事件] 頁面中,選取事件。
從側邊出現的 [事件詳細資料] 窗格中,選取 [動作] > [執行劇本]。
選取方格上事件行尾端的三個點或以滑鼠右鍵按一下事件會顯示與 [動作] 按鈕相同的清單。
[對事件執行劇本] 面板會在側邊開啟。 您會看到已設定您可存取的 Microsoft Sentinel 事件 Logic Apps 觸發程序的所有劇本清單。
如果您沒有看到想要在清單中執行的劇本,這表示 Microsoft Sentinel 沒有在該資源群組中執行劇本的權限。
若要授與這些權限,請選取 [設定]>[設定]>[劇本權限]>[設定權限]。 在開啟的 [管理權限] 面板中,標示包含您要執行劇本的資源群組核取方塊,然後選取 [套用]。
如需資訊,請參閱要對事件執行劇本所需的額外權限。
選取特定劇本行上的 [執行],以立即執行。
您必須擁有您要執行的劇本所在任何資源群組的 Microsoft Sentinel 劇本操作員角色。 如果您因為缺少權限而無法執行劇本,建議您連絡系統管理員,讓其授與您相關權限。 如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件 (部分機器翻譯)。
在 [對事件執行劇本] 面板上選取 [執行] 索引標籤,以檢視對某事件執行劇本的歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定執行便會在 Logic Apps 中開啟完整的執行記錄。
以手動方式對實體執行劇本
整合安全性作業平台不支援此程序。
請根據您的原始內容,以下列其中一種方式選取實體:
如果您位於事件的詳細資料頁面 (新版):
在 [概觀] 索引標籤的 [實體] Widget 中,找出您的實體,然後執行下列其中一個動作:
不選取實體。 改為選取實體右邊的三個點,然後選取 [執行劇本]。 找出您要執行的劇本,然後選取該劇本資料列中的 [執行]。
選取實體以開啟 [事件詳細資料] 頁面的 [實體] 索引標籤。 在清單上找到您的實體,然後選取右邊的三個點。 找出您要執行的劇本,然後選取該劇本資料列中的 [執行]。
選取實體並向下切入至實體詳細資料頁面。 然後,選取左側面板中的 [執行劇本] 按鈕。 找出您要執行的劇本,然後選取該劇本資料列中的 [執行]。
不論您來自的內容為何,此程序中的最後一個步驟都來自 [對 <實體類型> 執行劇本] 面板。 此面板會顯示您可存取並已針對所選實體類型設定了 Microsoft Sentinel 實體 Logic Apps 觸發程序之所有劇本的清單。
在 [對 <實體類型> 執行劇本] 窗格上,選取 [執行] 索引標籤以查看指定實體的劇本執行歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定執行便會在 Logic Apps 中開啟完整的執行記錄。
相關內容
如需詳細資訊,請參閱
- 建立和管理 Microsoft Sentinel 劇本 (部分機器翻譯)
- 使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化 (部分機器翻譯)
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: