從範本建立和自訂 Microsoft Sentinel 劇本
劇本範本是預先建置、測試和現成使用的自動化工作流程,適用於 Microsoft Sentinel,可自訂以符合您的需求。 範本也可以作為從頭開始開發劇本時的最佳做法參考,或作為新自動化案例的靈感。
劇本範本本身不是作用中的劇本,而且您必須針對您的需求建立可編輯的複本。
許多劇本範本都是由 Microsoft Sentinel 社群、獨立軟體供應商 (ISV) 和 Microsoft 自己的專家所開發,以全球安全性作業中心使用的熱門自動化案例為基礎。
重要
劇本範本目前為預覽版。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要建立和管理劇本,您需要使用下列 Azure 角色其中之一來存取 Microsoft Sentinel:
- 邏輯應用程式參與者,以編輯和管理邏輯應用程式
- 邏輯應用程式操作員,以讀取、啟用和停用邏輯應用程式
如需詳細資訊,請參閱 Microsoft Sentinel 劇本必要條件 (部分機器翻譯)。
建議您在建立劇本之前,先閱讀 適用於 Microsoft Sentinel 劇本的 Azure Logic Apps。
存取劇本範本
從下列來源存取劇本範本:
| Location | 描述 |
|---|---|
| Microsoft Sentinel 自動化頁面 | 劇本範本 索引標籤會列出所有已安裝的劇本。 使用相同的範本建立一或多個作用中的劇本。 當我們發佈新版本的範本時,從該範本建立的任何使用中劇本會在 [作用中劇本] 索引標籤中新增額外的標籤,以指出有可用的更新。 |
| Microsoft Sentinel 內容中樞頁面 | 劇本範本是產品解決方案或從 內容中樞 安裝的獨立內容的一部分。 如需詳細資訊,請參閱: 關於 Microsoft Sentinel 內容和解決方案 探索及管理 Microsoft Sentinel 現用內容 |
| GitHub | Microsoft Sentinel GitHub 存放庫 包含許多其他劇本範本。 選取 [部署至 Azure],將範本部署至您的 Azure 訂用帳戶。 |
從技術上來說,劇本範本是 Azure Resource Manager (ARM) 範本,其中包含數個資源:涉及的每個連線的 Azure Logic Apps 工作流程和 API 連線。
本文著重於從 [自動化] 下的 [劇本範本] 索引標籤部署劇本範本。
探索劇本範本
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [內容管理]>[內容中樞] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。
在 [內容中樞] 頁面上,選取 [內容類型] 來篩選 [劇本]。 此篩選過的檢視會列出包含一或多個劇本範本的所有解決方案和獨立內容。 安裝解決方案或獨立內容以取得範本。
然後,選取 [組態]>[自動化]>[劇本範本] 索引標籤來檢視已安裝的範本。 例如:
若要尋找符合您需求的劇本範本,請依照下列準則篩選清單:
| 篩選 | 描述 |
|---|---|
| 觸發程序 | 依劇本的觸發方式進行篩選,包括事件、警示或實體。 如需詳細資訊,請參閱 Microsoft Sentinel 觸發程式支援。 |
| Logic Apps 連接器 | 依劇本互動的外部服務進行篩選。 在部署程式期間,每個連接器都必須具備向外部服務進行驗證的身分識別。 |
| 實體 | 依劇本預期在事件中找到的實體類型進行篩選。 例如,告知防火牆封鎖 IP 位址的劇本,預期會在事件中尋找 IP 位址。 這類事件可能是由暴力密碼破解攻擊分析規則所建立。 |
| Tags (標籤) | 依套用至劇本的標籤進行篩選、將劇本與特定案例相關,或指出特殊特性。 例如: - 擴充 - 從另一個服務擷取資訊,將內容新增至事件的劇本。 這項資訊通常會新增為事件的批注,或傳送至SOC。 - 補救 - 對受影響的實體採取動作以消除潛在威脅的劇本。 - 同步處理 - 可協助保留外部服務 (例如事件管理服務,以事件的屬性更新) 的劇本。 - 通知 - 傳送電子郵件或訊息的劇本。 - Teams 的回應 - 允許分析師使用互動式卡片,以採取來自 Teams 手動動作的劇本。 |
例如:
從範本自訂劇本
此程序描述如何部署劇本範本,並可重複從相同的範本建立多個劇本。
雖然大部分的劇本範本都可以按現狀使用,但我們建議您視需要調整它們,以符合您的 SOC 需求。
在 [劇本範本] 索引標籤上,選取要從中開始的劇本。
如果劇本有任何必要條件,請務必遵循指示。 例如:
有些劇本會將其他劇本稱為動作。 第二個劇本又稱為巢狀劇本。 在這種情況下,其中一個必要條件是先部署巢狀劇本。
某些劇本需要部署自訂 Logic Apps 連接器或 Azure 函數。 在這種情況下,會有一個 部署至 Azure 連結帶領您進入一般 ARM 範本部署程序。
選取 [建立劇本],根據選取的範本,開啟劇本建立精靈。 精靈有四個索引標籤:
基本: 找出新的劇本 (此為 Logic Apps 資源) 並為其命名。 您可以使用預設值。 例如:
參數: 輸入劇本使用的客戶特定值。 例如,如果劇本傳送電子郵件給 SOC,請定義收件者位址。 如果劇本有使用中的自訂連接器,則必須部署在相同的資源群組中,而且系統會提示您在 [參數] 索引標籤中輸入其名稱。
只有在劇本具有參數時,才會顯示 [參數] 索引標籤。 例如:
![[劇本建立] 精靈、[參數] 索引標籤的螢幕擷取畫面。](../media/use-playbook-templates/parameters.png)
連線:展開每個動作,以查看您為先前劇本建立的現有連線。 您可以選擇使用現有的連線或建立新的連線。 例如:
![[劇本建立]精靈 [連線] 索引標籤的螢幕擷取畫面。](../media/use-playbook-templates/connections.png)
若要建立新的連線,請選擇 [部署之後建立新的連線]。 此選項會在部署程序完成後,帶您前往 Logic Apps 設計工具。
自訂連接器會依 [參數] 索引標籤中輸入的自訂連接器名稱列出。
對於支援 與受控識別連線 的連接器,例如 Microsoft Sentinel,受控識別是預設的連線方法。
如需詳細資訊,請參閱 向 Microsoft Sentinel 驗證劇本。
檢閱並建立:在建立劇本之前,請先檢視程序的摘要,並等候驗證您的輸入。
遵循劇本建立精靈中的步驟到結尾之後,您會在 Logic Apps 設計工具中前往新劇本的工作流程設計。 例如:
針對您選擇的每個連接器,在部署之後建立新的連線:
從導覽功能表中,選取 [API 連線],然後選取連線名稱。 例如:
從導覽功能表中選取 [編輯 API 連線]。
填入必要的參數,然後選取 [儲存]。 例如:
或者,從 Logic Apps 設計工具的相關步驟內建立新的連線:
針對出現錯誤符號的每個步驟,選取它以展開,然後選取 [新增]。
根據相關指示進行驗證。 如需詳細資訊,請參閱 向 Microsoft Sentinel 驗證劇本。
如果有其他步驟使用相同的連接器,請展開其方塊。 從出現的連線清單中,選取您剛才建立的連線。
如果您選擇將受控識別連線用於 Microsoft Sentinel 或其他支援的連線,請務必將針對 Microsoft Sentinel 工作區或其他連接器相關目標資源的權限授與新劇本。
儲存劇本。 劇本會出現在 [使用中劇本] 索引標籤。
若要執行劇本,請設定自動化回應或手動執行。 如需詳細資訊,請參閱 回應對 Microsoft Sentinel 劇本的威脅。
回報劇本範本中的問題
若要報告錯誤或要求劇本改善,請在劇本詳細資料窗格中選取 [支援者] 連結。 如果這是社群支持的劇本,連結會帶您開啟 GitHub 問題。 否則,系統會將您導向至支援者的頁面,其中包含如何傳送意見反應的相關資訊。