Opret og udfør hændelsesopgaver i Microsoft Sentinel ved hjælp af playbooks

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

I denne artikel forklares det, hvordan du bruger playbooks til at oprette og eventuelt udføre hændelsesopgaver for at administrere komplekse analytikerarbejdsprocesser i Microsoft Sentinel.

Brug handlingen Tilføj opgave i en playbook i den Microsoft Sentinel connector til automatisk at føje en opgave til den hændelse, der udløste playbooken. Arbejdsprocesser for både Standard og Forbrug understøttes.

Tip

Hændelsesopgaver kan oprettes automatisk ikke kun af playbooks, men også af automatiseringsregler og også manuelt ad hoc fra en hændelse.

Du kan få flere oplysninger under Brug opgaver til at administrere hændelser i Microsoft Sentinel.

Forudsætninger

  • Rollen Microsoft Sentinel Responder er påkrævet for at få vist og redigere hændelser, hvilket er nødvendigt for at tilføje, få vist og redigere opgaver.

  • Rollen Logic Apps Contributor er påkrævet for at oprette og redigere playbooks.

Du kan få flere oplysninger under Microsoft Sentinel forudsætninger for playbook.

Brug en playbook til at tilføje en opgave og udføre den

Dette afsnit indeholder en eksempelprocedure til tilføjelse af en handling i en playbook, der gør følgende:

  • Føjer en opgave til hændelsen og nulstiller en kompromitteret brugers adgangskode
  • Tilføjer en anden handling i en playbook for at sende et signal til Microsoft Entra ID Protection (AADIP) for rent faktisk at nulstille adgangskoden
  • Tilføjer en endelig playbook-handling for at markere opgaven i hændelsen som fuldført.

Benyt følgende fremgangsmåde for at tilføje og konfigurere disse handlinger:

  1. Fra Microsoft Sentinel connector skal du tilføje handlingen Føj opgave til hændelse og derefter:

    1. Vælg det dynamiske indholdselement Hændelses-ARM-id for feltet Hændelses-ARM-id .

    2. Angiv Nulstil brugeradgangskode som titel.

    3. Tilføj en valgfri beskrivelse.

    Det kan f.eks. være:

    Skærmbillede, der viser handlinger i en playbook for at tilføje en opgave for at nulstille en brugers adgangskode.

  2. Tilføj handlingen Objekter – Hent konti (prøveversion). Føj elementet Objekter med dynamisk indhold (fra hændelsesskemaet Microsoft Sentinel) til listefeltet Objekter. Det kan f.eks. være:

    Skærmbillede, der viser handlinger i playbook for at hente kontoenhederne i hændelsen.

  3. Tilføj en For hver løkke fra biblioteket Kontrolelementhandlinger . Tilføj elementet Konti med dynamisk indhold fra outputtet Objekter – Hent konti til feltet Vælg et output fra forrige trin . Det kan f.eks. være:

    Skærmbillede, der viser, hvordan du føjer en løkkehandling for hver enkelt til en playbook for at udføre en handling på hver registreret konto.

  4. Vælg Tilføj en handling i løkken For hver. Derefter:

    1. Søg efter og vælg connectoren Microsoft Entra ID Protection
    2. Vælg handlingen Bekræft en risikabel bruger som kompromitteret (prøveversion).
    3. Føj det dynamiske indholdselement Konti Microsoft Entra bruger-id til feltet userIds Item – 1.

    Denne handling aktiverer bevægelsesprocesser i Microsoft Entra ID Protection for at nulstille brugerens adgangskode.

    Skærmbillede, der viser, hvordan enheder sendes til AADIP for at bekræfte, at de er kompromitteret.

    Bemærk!

    Feltet Konti Microsoft Entra bruger-id er én måde at identificere en bruger på i AADIP. Det er muligvis ikke nødvendigvis den bedste måde i alle scenarier, men den kommer her som et eksempel.

    Du kan få hjælp i andre playbooks, der håndterer kompromitterede brugere, eller i dokumentationen til Microsoft Entra ID Protection.

  5. Tilføj handlingen Markér en opgave som fuldført fra connectoren Microsoft Sentinel, og føj det dynamiske indholdselement Hændelsesopgave-id til feltet Opgave-ARM-id. Det kan f.eks. være:

    Skærmbillede, der viser, hvordan du tilføjer en handling i en playbook for at markere en hændelsesopgave som fuldført.

Brug en playbook til at tilføje en opgave betinget

Dette afsnit indeholder en eksempelprocedure til tilføjelse af en handling i en playbook, der undersøger en IP-adresse, der vises i en hændelse.

  • Hvis resultaterne af denne undersøgelse er, at IP-adressen er skadelig, opretter playbook en opgave for analytikeren at deaktivere brugeren ved hjælp af denne IP-adresse.
  • Hvis IP-adressen ikke er en kendt skadelig adresse, opretter playbooken en anden opgave, så analytikeren kan kontakte brugeren for at bekræfte aktiviteten.

Benyt følgende fremgangsmåde for at tilføje og konfigurere disse handlinger:

  1. Tilføj handlingen Objekter – Hent IP-adresser fra connectoren Microsoft Sentinel. Føj elementet Objekter med dynamisk indhold (fra hændelsesskemaet Microsoft Sentinel) til listefeltet Objekter. Det kan f.eks. være:

    Skærmbillede, der viser handlinger i playbook for at hente IP-adresseenhederne i hændelsen.

  2. Tilføj en For hver løkke fra biblioteket Kontrolelementhandlinger . Tilføj elementet dynamisk indhold fra Objekter – Hent IP-output til feltet Vælg et output fra forrige trin . Det kan f.eks. være:

    Skærmbillede, der viser, hvordan du føjer en løkkehandling for hver enkelt til en playbook for at udføre en handling på hver registreret IP-adresse.

  3. I løkken For hver skal du vælge Tilføj en handling og derefter:

    1. Søg efter og vælg connectoren Virustotal .
    2. Vælg handlingen Hent en IP-rapport (prøveversion).
    3. Tilføj elementet IP-adresse for dynamisk indhold fra Enheder – Hent IP-output til feltet IP-adresse .

    Det kan f.eks. være:

    Skærmbillede, der viser afsendelse af anmodning til Virus Total for IP-adresserapport.

  4. I løkken For hver skal du vælge Tilføj en handling og derefter:

    1. Tilføj en betingelse fra handlingsbiblioteket Kontrolelement .
    2. Tilføj elementet Seneste analysestatistikElementet Skadeligt dynamisk indhold fra outputtet Hent en IP-rapport . Du skal muligvis vælge Se mere for at finde det.
    3. Vælg er større end-operatoren , og angiv 0 som værdien.

    Denne betingelse stiller spørgsmålet "Har Virus Total IP-rapporten har nogen resultater?" For eksempel:

    Skærmbillede, der viser, hvordan du angiver en true-false-betingelse i en playbook.

  5. I indstillingen Sand skal du vælge Tilføj en handling og derefter:

    1. Vælg handlingen Føj opgave til hændelse fra Microsoft Sentinel connector.
    2. Vælg det dynamiske indholdselement Hændelses-ARM-id for feltet Hændelses-ARM-id .
    3. Angiv Markér bruger som kompromitteret som titel.
    4. Tilføj en valgfri beskrivelse.

    Det kan f.eks. være:

    Skærmbillede, der viser handlinger i playbook for at tilføje en opgave for at markere en bruger som kompromitteret.

  6. I indstillingen Falsk skal du vælge Tilføj en handling og derefter:

    1. Vælg handlingen Føj opgave til hændelse fra Microsoft Sentinel connector.
    2. Vælg det dynamiske indholdselement Hændelses-ARM-id for feltet Hændelses-ARM-id .
    3. Angiv Kontakt brugeren for at bekræfte aktiviteten som titel.
    4. Tilføj en valgfri beskrivelse.

    Det kan f.eks. være:

    Skærmbillede, der viser handlinger i playbook for at tilføje en opgave for at få brugeren til at bekræfte aktiviteten.

Relateret indhold

Du kan finde flere oplysninger under:

  • Last updated on