Tapahtumatehtävien luominen ja suorittaminen Microsoft Sentinel pelikirjojen avulla

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tässä artikkelissa kerrotaan, miten voit pelikirjojen avulla luoda ja valinnaisesti suorittaa tapaustehtäviä, jotta voit hallita monimutkaisia analyytikkojen työnkulkuprosesseja Microsoft Sentinel.

Voit lisätä tehtävän automaattisesti pelikirjan käynnistäneen tapahtuman Microsoft Sentinel toistokirjan Lisää tehtävä -toiminnolla. Sekä Standard- että kulutustyönkulkuja tuetaan.

Vihje

Tapaustehtävät voidaan luoda automaattisesti paitsi pelikirjojen avulla, myös automaatiosäännöillä ja myös manuaalisesti ad-hoc-tapausten kautta.

Lisätietoja on artikkelissa Tapausten hallinta tehtävien avulla Microsoft Sentinel.

Ennakkovaatimukset

  • Tapausten tarkasteleminen ja muokkaaminen edellyttää Microsoft Sentinel Vastaaja -roolia, joka on tarpeen tehtävien lisäämiseksi, tarkastelemiseksi ja muokkaamiseksi.

  • Pelikirjojen luomiseen ja muokkaamiseen tarvitaan Logic Apps Contributor -rooli.

Lisätietoja on kohdassa Microsoft Sentinel pelikirjan edellytykset.

Lisää tehtävä ja suorita se pelikirjan avulla

Tässä osiossa on esimerkkitoimintosarja, jolla lisätään seuraavat toistokirjatoiminnot:

  • Lisää tehtävään tehtävän ja palauttaa vaarantuneelle käyttäjälle määritetyn salasanan
  • Lisää toisen pelikirjatoiminnon signaalin lähettämiseksi Microsoft Entra ID Protectioniin (AADIP) salasanan tosiasiallisesti nollaamiseksi
  • Lisää lopullisen pelikirjatoiminnon, joka merkitsee tehtävän valmiiksi tapahtumassa.

Jos haluat lisätä ja määrittää näitä toimintoja, toimi seuraavasti:

  1. Lisää Microsoft Sentinel-liittimestä Lisää tehtävä tapaustoimintoon ja sitten:

    1. Valitse Incident ARM ID :n dynaaminen sisältökohde Incident ARM id - kentälle.

    2. Kirjoita Palauta käyttäjän salasanaotsikoksi.

    3. Lisää valinnainen kuvaus.

    Esimerkki:

    Näyttökuvassa näkyy toistokirjan toimintoja, joilla voidaan lisätä tehtävä käyttäjän salasanan nollaamiseksi.

  2. Lisää Entiteetit – Hae tilit (esikatselu) -toiminto. Lisää entiteettien dynaaminen sisältökohde (Microsoft Sentinel tapausrakenteesta) Entiteetit-luettelokenttään. Esimerkki:

    Näyttökuvassa näkyy pelikirjan toimintoja, joilla saadaan tapauksen tilientiteetit.

  3. Lisää kullekin -silmukka Ohjausobjektin toiminnot -kirjastosta. Lisää Accountsin dynaaminen sisältökohde Entiteetit – Hae tilit -tuloste Valitse tuloste edellisistä vaiheista -kenttään. Esimerkki:

    Näyttökuvassa näytetään, miten voit lisätä kunkin silmukan toiminnon toistokirjaan, jotta voit suorittaa toiminnon kullakin löytyvällä tilillä.

  4. Valitse Kunkin silmukan sisällä Lisää toiminto. Sitten:

    1. Hae ja valitse Microsoft Entra ID Protection -liitin
    2. Valitse Vahvista riskialttiille käyttäjälle vaarantunut (esikatselu) -toiminto.
    3. Lisää accounts Microsoft Entra dynaamisen käyttäjätunnuksen sisältökohde userIds Item - 1 -kenttään.

    Tämä toiminto asettaa Microsoft Entra ID Protectionin sisällä olevat liikeprosessit käyttäjän salasanan palauttamiseksi.

    Näyttökuvassa näkyy entiteettien lähettäminen AADIP:hen kompromissin vahvistamiseksi.

    Huomautus

    Accounts Microsoft Entra käyttäjätunnuskenttä on yksi tapa tunnistaa käyttäjä AADIP:ssä. Se ei välttämättä ole paras tapa jokaisessa skenaariossa, mutta se tuodaan tänne esimerkkinä.

    Katso lisätietoja muista pelikirjoista, jotka käsittelevät vaarantuneita käyttäjiä, tai Microsoft Entra ID Protection -dokumentaatiosta.

  5. Lisää Merkitse tehtävä valmiiksi -toiminto Microsoft Sentinel-liittimestä ja lisää dynaamisen Incident task ID -sisältökohteen Tehtävän ARM-tunnus -kenttään. Esimerkki:

    Näyttökuvassa näytetään, miten voit lisätä pelikirjatoiminnon, jolla merkitään tapaustehtävä valmiiksi.

Tehtävän lisääminen ehdollisesti pelikirjan avulla

Tässä osiossa on esimerkkitoimintosarja, jolla lisätään playbook-toiminto, joka tutkii tapauksessa näkyvää IP-osoitetta.

  • Jos tämän tutkimuksen tuloksena IP-osoite on haitallinen, playbook luo analyytikolle tehtävän poistaa käyttäjä käytöstä kyseisellä IP-osoitteella.
  • Jos IP-osoite ei ole tunnettu haitallinen osoite, pelikirja luo toisen tehtävän, jotta analyytikko voi ottaa yhteyttä käyttäjään toiminnan varmistamiseksi.

Jos haluat lisätä ja määrittää näitä toimintoja, toimi seuraavasti:

  1. Lisää Microsoft Sentinel liittimestä Entiteetit – Hae IPS -toiminto. Lisää entiteettien dynaaminen sisältökohde (Microsoft Sentinel tapausrakenteesta) Entiteetit-luettelokenttään. Esimerkki:

    Näyttökuvassa näkyy playbook-toimintoja, joilla saadaan tapauksen IP-osoitteen entiteetit.

  2. Lisää kullekin -silmukka Ohjausobjektin toiminnot -kirjastosta. Lisää dynaamisen IPS-sisältökohteenEntiteetit – Hae IPS-tulosteValitse tuloste edellisistä vaiheista -kenttään. Esimerkki:

    Näyttökuvassa näytetään, miten voit lisätä kussakin silmukassa suoritettavan toiminnon toistokirjaan, jotta voit suorittaa toiminnon jokaiselle löytyvälle IP-osoitteelle.

  3. Valitse Kunkinsilmukan sisällä Lisää toiminto ja sitten:

    1. Etsi ja valitse Virus yhteensä -liitin.
    2. Valitse Hae IP-raportti (esikatselu) -toiminto.
    3. Lisää IP-osoite Dynaamisen sisällön kohde Entiteetit – Hae IP-osoitteet -kentästä IP-osoitekenttään .

    Esimerkki:

    Näyttökuvassa näkyy pyynnön lähettäminen virusten kokonaismäärään IP-osoiteraporttia varten.

  4. Valitse Kunkinsilmukan sisällä Lisää toiminto ja sitten:

    1. Lisää ehtoOhjausobjektin toiminnot -kirjastosta.
    2. Lisää Viimeisin analyysi -tilastotiedot Pahantahtoinen dynaaminen sisältökohde Hae IP-raportti -tulostuksesta. Saatat joutua valitsemaan Näytä lisää löytääksesi sen.
    3. Valitse on suurempi kuin -operaattori ja anna 0 arvoksi.

    Tämä ehto esittää kysymyksen "Oliko virusten KOKONAIS-IP-raportilla tuloksia?" Esimerkki:

    Näyttökuvassa näytetään, miten tosi-epätosi-ehto määritetään pelikirjassa.

  5. Valitse Tosi-vaihtoehdostaLisää toiminto ja sitten:

    1. Valitse Lisää tehtävä tapahtumaan -toiminto Microsoft Sentinel-liittimestä.
    2. Valitse Incident ARM ID :n dynaaminen sisältökohde Incident ARM id - kentälle.
    3. Kirjoita Merkitse käyttäjä vaarantuneeksiotsikoksi.
    4. Lisää valinnainen kuvaus.

    Esimerkki:

    Näyttökuvassa näkyy toistokirjan toimintoja, joilla käyttäjä merkitään vaarantuneeksi tehtäväksi.

  6. Valitse Epätosi-vaihtoehdostaLisää toiminto ja valitse sitten:

    1. Valitse Lisää tehtävä tapahtumaan -toiminto Microsoft Sentinel-liittimestä.
    2. Valitse Incident ARM ID :n dynaaminen sisältökohde Incident ARM id - kentälle.
    3. Vahvista toiminto otsikkonakirjoittamalla Ota yhteyttä käyttäjään.
    4. Lisää valinnainen kuvaus.

    Esimerkki:

    Näyttökuvassa näkyy toistokirjan toimintoja, joilla lisätään tehtävä, jotta käyttäjä voi vahvistaa toiminnan.

Aiheeseen liittyvä sisältö

Lisätietoja on seuraavissa artikkeleissa:

  • Last updated on