分享方式:

使用劇本在 Microsoft Sentinel 中建立和執行事件工作

  • 文章
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何使用劇本來建立及選擇性地執行事件工作,以管理 Microsoft Sentinel 中的複雜分析師工作流程程式。

使用劇本中的新增工作動作,在 Microsoft Sentinel 連接器中,自動將工作新增至觸發劇本的事件。 支援標準和取用工作流程。

提示

事件工作不僅可以由劇本自動建立,也可以由自動化規則,以及從事件內手動、臨機操作的方式建立。

如需詳細資訊,請參閱 使用工作來管理 Microsoft Sentinel 中的事件。

必要條件

  • 需要 Microsoft Sentinel 回應程式角色才能檢視和編輯事件,這是新增、檢視和編輯工作的必要角色。

  • 建立和編輯劇本需要Logic Apps 參與者角色。

如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件

使用劇本來新增工作並加以執行

本節提供新增腳本動作的範例程式,其會執行下列動作:

  • 將工作新增至事件,重設遭入侵的用戶密碼
  • 新增另一個劇本動作,以將訊號傳送至 Microsoft Entra ID Protection (AADIP) 以實際重設密碼
  • 新增最後的劇本動作,以標記事件完成中的工作。

若要新增和設定這些動作,請執行下列步驟:

  1. 從 Microsoft Sentinel 連接器,將 [新增工作] 新增至事件動作,然後:

    1. 針對 [事件 ARM 識別符] 字段,選取 [事件 ARM 標識符] 動態內容專案。

    2. 輸入 [ 重設使用者密碼 ] 作為 [ 標題]。

    3. 新增選擇性描述。

    例如:

    此螢幕快照顯示新增工作以重設用戶密碼的劇本動作。

  2. 新增實體 - 取得帳戶 (預覽) 動作。 將 實體 動態內容專案(從 Microsoft Sentinel 事件架構)新增至 [實體清單 ] 字段。 例如:

    此螢幕快照顯示劇本動作,以取得事件中的帳戶實體。

  3. 控件動作連結庫新增 For each 迴圈。 將 [帳戶] 動態內容專案從 [實體 - 取得帳戶] 輸出新增至 [選取先前步驟的輸出] 字段。 例如:

    此螢幕快照顯示如何將 for-each 循環動作新增至劇本,以便在每個探索到的帳戶上執行動作。

  4. 在 [ 針對每個 迴圈] 內,選取 [ 新增動作]。 接下來:

    1. 搜尋並選取 Microsoft Entra ID Protection 連接器
    2. 選取 [ 確認有風險的使用者] 作為遭入侵的 [預覽] 動作。
    3. [帳戶 Microsoft Entra 使用者識別符 ] 動態內容專案新增至 [userIds 專案 - 1] 字段。

    此動作會在 Microsoft Entra ID Protection 內的動作程式中設定,以重設使用者的密碼。

    顯示將實體傳送至 AADIP 以確認入侵的螢幕快照。

    注意

    [ 帳戶 Microsoft Entra 使用者識別符 ] 字段是用來識別 AADIP 中使用者的方法之一。 它可能不一定是每個案例中最好的方式,但這裡只是一個範例。

    如需協助,請參閱處理遭入侵使用者的其他劇本,或 Microsoft Entra ID Protection 檔

  5. 從 Microsoft Sentinel 連接器新增 [將工作標示為已完成] 動作,並將 [事件工作標識符] 動態內容專案新增[工作 ARM 標識符] 字段。 例如:

    顯示如何新增劇本動作以標示事件工作完成的螢幕快照。

使用劇本有條件地新增工作

本節提供新增劇本動作的範例程式,以研究事件中顯示的IP位址。

  • 如果這項研究的結果是IP位址是惡意的,劇本會為分析師建立工作,以停用使用該IP位址的使用者。
  • 如果 IP 位址不是已知的惡意位址,劇本會建立不同的工作,供分析師連絡使用者以確認活動。

若要新增和設定這些動作,請執行下列步驟:

  1. 從 Microsoft Sentinel 連接器,新增 [實體 - 取得 IP] 動作。 將 實體 動態內容專案(從 Microsoft Sentinel 事件架構)新增至 [實體清單 ] 字段。 例如:

    此螢幕快照顯示劇本動作,以取得事件中的IP位址實體。

  2. 控件動作連結庫新增 For each 迴圈。 將 [實體 - 取得 IP] 輸出中的 IP 動態內容專案新增至 [從先前的步驟選取輸出] 字段。 例如:

    此螢幕快照顯示如何將 for-each 循環動作新增至劇本,以便在每個探索到的 IP 位址上執行動作。

  3. 在 [ 針對每個迴圈] 內,選取 [ 新增動作],然後:

    1. 搜尋並選取 [ 病毒總計 ] 連接器。
    2. 選取 [ 取得IP 報告 (預覽)] 動作。
    3. IP位址 動態內容專案從 [實體 - 取得IP 輸出] 新增至 [IP 位址 ] 字段。

    例如:

    此螢幕快照顯示傳送要求給IP位址報告的病毒總計。

  4. 在 [ 針對每個迴圈] 內,選取 [ 新增動作],然後:

    1. 控件動作連結庫新增條件
    2. 從取得IP報告輸出新增[上次分析統計數據惡意動態內容] 專案。 您可能必須選取 [ 查看更多 ] 才能找到它。
    3. 選取 大於 運算符,然後輸入 0 作為值。

    此條件會詢問「病毒總計IP報告是否有任何結果?」例如:

    螢幕快照顯示如何在劇本中設定 true-false 條件。

  5. 在 [ True] 選項內,選取 [ 新增動作],然後:

    1. Microsoft Sentinel 連接器選取 [將工作新增至事件動作]。
    2. 針對 [事件 ARM 識別符] 字段,選取 [事件 ARM 標識符] 動態內容專案。
    3. 輸入 [將用戶標示為遭 入侵] 作為 [ 標題]。
    4. 新增選擇性描述。

    例如:

    此螢幕快照顯示新增工作以將用戶標示為遭入侵的劇本動作。

  6. 在 [ False] 選項內,選取 [ 新增動作],然後:

    1. Microsoft Sentinel 連接器選取 [將工作新增至事件動作]。
    2. 針對 [事件 ARM 識別符] 字段,選取 [事件 ARM 標識符] 動態內容專案。
    3. 輸入 [連絡使用者] 以確認活動[標題]。
    4. 新增選擇性描述。

    例如:

    此螢幕快照顯示要新增工作以讓使用者確認活動的劇本動作。

相關內容

如需詳細資訊,請參閱