在 Microsoft Sentinel 中調查或威脅搜捕時回應威脅執行者

本文說明如何在事件調查或威脅搜捕過程中，對現場的威脅執行者採取回應動作，而不需將調查或內容切換出調查或搜捕。 您可以使用以新的實體觸發程式為基礎的劇本來完成這項作業。

實體觸發程式目前支援下列實體類型：

• 帳戶
• 主機
• IP
• URL
• DNS
• FileHash

重要

實體觸發程式目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定，了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

使用實體觸發程式執行劇本

當您調查事件，並判斷指定的實體 - 用戶帳戶、主機、IP 位址、檔案等 - 代表威脅時，您可以視需要執行劇本，對該威脅採取立即補救動作。 如果您在主動搜捕事件內容以外的威脅時遇到可疑實體，也可以這麼做。

1. 選取您遇到的內容中的實體，然後選擇適當的方法來執行劇本，如下所示：

   • 在新事件詳細數據頁面 [概觀] 索引標籤的 [實體] 小工具中，或在 [實體] 索引標籤中，從清單中選擇實體，選取實體旁邊的三個點，然後從彈出視窗中選取 [執行劇本（預覽]。

     

     

   • 在事件的 [ 實體 ] 索引標籤中，從清單中選擇實體，然後選取 清單中其行尾的 [執行劇本（預覽] 連結。

     

   • 從 [ 調查] 圖表中，選取實體，然後選取 實體側面板中的 [執行劇本 ][預覽] 按鈕。

     

   • 從 [ 實體行為] 頁面中，選取實體。 從產生的實體頁面中，選取左側面板中的 [執行劇本 （預覽] 按鈕。

     

     

2. 這些全都會在實體類型>面板上開啟 [<執行劇本]。

   

   在上述任一面板中，您會看到兩個索引標籤： 劇本 和 執行。

3. 在 [ 劇本] 索引 標籤中，您會看到您有權存取的所有劇本清單，以及針對該實體類型使用 Microsoft Sentinel 實體 觸發程式的清單（在此案例中為使用者帳戶）。 選取您要立即執行劇本的 [ 執行 ] 按鈕。

   如果您沒有看到您想要在清單中執行的劇本，這表示 Microsoft Sentinel 沒有在該資源群組中執行劇本的許可權。

   若要授與這些許可權，請選取 [設定 設定 > > 劇本許可權設定許可權>。 在 [ 管理許可權] 面板中，標記包含您要執行劇本之資源群組的複選框，然後選取 [ 套用]。

   如需詳細資訊，請參閱 Microsoft Sentinel 執行劇本所需的額外許可權。

4. 您可以在 [執行] 索引標籤中稽核實體觸發程式劇本的活動。您會看到任何劇本在您選取的實體上執行的所有時間清單。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在此清單中。 選取特定回合將會在 Azure Logic Apps 中開啟完整執行記錄檔。

下一步

在本文中，您已瞭解如何手動執行劇本，以在調查事件或搜捕威脅時補救實體的威脅。

• 深入瞭解在 Microsoft Sentinel 中調查事件 。
• 瞭解如何 使用 Microsoft Sentinel 主動搜捕威脅 。
• 深入瞭解 Microsoft Sentinel 中的實體 。
• 深入瞭解 Microsoft Sentinel 中的劇本 。