使用 Microsoft Sentinel 劇本來停止可能遭入侵的使用者
本文說明如何使用劇本和自動化規則將事件回應自動化並補救安全性威脅的範例案例。 自動化規則可協助您在 Microsoft Sentinel 中分類事件,也可用來執行劇本以回應事件或警示。 如需詳細資訊,請參閱 Microsoft Sentinel 中的自動化:安全性協調流程、自動化和回應 (SOAR)。
本文所述的範例案例說明如何在建立事件時,使用自動化規則和劇本來停止可能遭入侵的使用者。
注意
由於劇本會使用 Azure Logic Apps,因此可能會收取額外費用。 如需詳細資訊, 請流覽 Azure Logic Apps 定價頁面。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
下列角色需要使用 Azure Logic Apps 在 Microsoft Sentinel 中建立和執行劇本。
| 角色 | 描述 |
|---|---|
| 負責人 | 可讓您授與資源群組中劇本的存取權。 |
| 邏輯應用程式參與者 | 可讓您管理邏輯應用程式和執行劇本。 不允許您將劇本的存取權授與。 |
| 邏輯應用程式操作員 | 可讓您讀取、啟用和停用邏輯應用程式。 不允許編輯或更新邏輯應用程式。 |
| Microsoft Sentinel 參與者 | 可讓您將劇本附加至分析或自動化規則。 |
| Microsoft Sentinel 回應程式 | 可讓您存取事件,以便手動執行劇本,但不允許執行劇本。 |
| Microsoft Sentinel 劇本操作員 | 可讓您手動執行劇本。 |
| Microsoft Sentinel 自動化參與者 | 允許自動化規則執行劇本。 此角色不會用於任何其他用途。 |
[自動化] 頁面上的 [作用中劇本] 索引標籤會顯示所有可在任何選取的訂用帳戶上使用的作用中劇本。 根據預設,劇本只能在所屬的訂用帳戶內使用,除非您特別將 Microsoft Sentinel 許可權授與劇本的資源群組。
在事件上執行劇本所需的額外許可權
Microsoft Sentinel 會使用服務帳戶在事件上執行劇本,以新增安全性,並啟用自動化規則 API 以支援 CI/CD 使用案例。 此服務帳戶用於事件觸發的劇本,或當您在特定事件上手動執行劇本時。
除了您自己的角色和許可權之外,此 Microsoft Sentinel 服務帳戶在劇本所在的資源群組上必須有自己的許可權集,格式為 Microsoft Sentinel 自動化參與者 角色。 一旦 Microsoft Sentinel 具有此角色,就可以手動或從自動化規則中執行相關資源群組中的任何劇本。
若要將必要許可權授與 Microsoft Sentinel,您必須擁有 擁有者 或 使用者存取系統管理員 角色。 若要執行劇本,您也需要 資源群組上的邏輯應用程式參與者 角色,其中包含您要執行的劇本。
停止可能遭入侵的使用者
SOC 小組想要確保可能遭入侵的用戶無法移動其網路並竊取資訊。 建議您建立自動、多方面的回應,以響應規則所產生的事件,以偵測遭入侵的用戶來處理這類案例。
設定您的自動化規則和劇本以使用下列流程:
系統會為可能遭入侵的使用者建立事件,並觸發自動化規則來呼叫您的劇本。
劇本會在 IT 票證系統中開啟票證,例如 ServiceNow。
劇本也會在 Microsoft Teams 或 Slack 中將訊息傳送至您的安全性作業頻道,以確保您的安全性分析師知道該事件。
劇本也會將事件中的所有資訊傳送給資深網路管理員和安全性系統管理員。電子郵件訊息包含 [封鎖 ] 和 [忽略 使用者] 選項按鈕。
劇本會等候系統管理員收到回應,然後繼續進行其後續步驟。
如果系統管理員選擇 [封鎖],劇本會將命令傳送至 Microsoft Entra ID 以停用使用者,另一個傳送至防火牆以封鎖 IP 位址。
如果系統管理員選擇 [忽略],則劇本會關閉 Microsoft Sentinel 中的事件,以及 ServiceNow 中的票證。
下列螢幕快照顯示您要新增建立此範例劇本的動作和條件:
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應