Créer et effectuer des tâches d’incident dans Microsoft Sentinel à l’aide de playbooks

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cet article explique comment utiliser des playbooks pour créer et éventuellement effectuer des tâches d’incident afin de gérer des processus de flux de travail d’analyste complexes dans Microsoft Sentinel.

Utilisez l’action Ajouter une tâche dans un playbook, dans le connecteur Microsoft Sentinel, pour ajouter automatiquement une tâche à l’incident qui a déclenché le playbook. Les workflows Standard et Consommation sont pris en charge.

Conseil

Les tâches d’incident peuvent être créées automatiquement non seulement par des playbooks, mais également par des règles d’automatisation, ainsi que manuellement, ad hoc, à partir d’un incident.

Pour plus d’informations, consultez Utiliser des tâches pour gérer les incidents dans Microsoft Sentinel.

Configuration requise

  • Le rôle répondeur Microsoft Sentinel est nécessaire pour afficher et modifier les incidents, ce qui est nécessaire pour ajouter, afficher et modifier des tâches.

  • Le rôle Contributeur Logic Apps est requis pour créer et modifier des playbooks.

Pour plus d’informations, consultez Microsoft Sentinel conditions préalables au playbook.

Utiliser un playbook pour ajouter une tâche et l’exécuter

Cette section fournit un exemple de procédure pour ajouter une action de playbook qui effectue les opérations suivantes :

  • Ajoute une tâche à l’incident, en réinitialisant le mot de passe d’un utilisateur compromis
  • Ajoute une autre action de playbook pour envoyer un signal à Microsoft Entra ID Protection (AADIP) pour réinitialiser réellement le mot de passe
  • Ajoute une action de playbook finale pour marquer la tâche dans l’incident terminée.

Pour ajouter et configurer ces actions, procédez comme suit :

  1. À partir du connecteur Microsoft Sentinel, ajoutez l’action Ajouter une tâche à l’incident, puis :

    1. Sélectionnez l’élément de contenu dynamique ID ARM d’incident pour le champ ID ARM de l’incident .

    2. Entrez Réinitialiser le mot de passe utilisateur comme titre.

    3. Ajoutez une description facultative.

    Par exemple :

    Capture d’écran montrant les actions du playbook pour ajouter une tâche afin de réinitialiser le mot de passe d’un utilisateur.

  2. Ajoutez l’action Entités - Obtenir des comptes (préversion). Ajoutez l’élément de contenu dynamique Entités (à partir du schéma d’incident Microsoft Sentinel) au champ de liste Entités. Par exemple :

    Capture d’écran montrant les actions du playbook pour obtenir les entités de compte dans l’incident.

  3. Ajoutez une boucle For each à partir de la bibliothèque d’actions de contrôle . Ajoutez l’élément de contenu dynamique Comptes à partir de la sortie Entités - Obtenir des comptes au champ Sélectionner une sortie des étapes précédentes . Par exemple :

    Capture d’écran montrant comment ajouter une action de boucle for-each à un playbook afin d’effectuer une action sur chaque compte découvert.

  4. Dans la boucle For each , sélectionnez Ajouter une action. Ensuite :

    1. Rechercher et sélectionner le connecteur Microsoft Entra ID Protection
    2. Sélectionnez l’action Confirmer qu’un utilisateur à risque est compromis (préversion).
    3. Ajoutez l’élément de contenu dynamique Comptes Microsoft Entra id utilisateur au champ userIds Item - 1.

    Cette action met en mouvement des processus à l’intérieur de Microsoft Entra ID Protection pour réinitialiser le mot de passe de l’utilisateur.

    Capture d’écran montrant l’envoi d’entités à AADIP pour confirmer la compromission.

    Remarque

    Le champ Comptes Microsoft Entra id utilisateur est un moyen d’identifier un utilisateur dans AADIP. Ce n’est peut-être pas nécessairement la meilleure façon de procéder dans tous les scénarios, mais c’est ici qu’il s’agit d’un exemple.

    Pour obtenir de l’aide, consultez d’autres playbooks qui gèrent les utilisateurs compromis, ou la documentation Microsoft Entra ID Protection.

  5. Ajoutez l’action Marquer une tâche comme terminée à partir du connecteur Microsoft Sentinel et ajoutez l’élément de contenu dynamique ID de tâche d’incident au champ ID ARM de la tâche. Par exemple :

    Capture d’écran montrant comment ajouter une action de playbook pour marquer une tâche d’incident terminée.

Utiliser un playbook pour ajouter une tâche de manière conditionnelle

Cette section fournit un exemple de procédure pour ajouter une action de playbook qui recherche une adresse IP qui apparaît dans un incident.

  • Si les résultats de cette recherche indiquent que l’adresse IP est malveillante, le playbook crée une tâche pour que l’analyste désactive l’utilisateur à l’aide de cette adresse IP.
  • Si l’adresse IP n’est pas une adresse malveillante connue, le playbook crée une autre tâche, pour que l’analyste contacte l’utilisateur pour vérifier l’activité.

Pour ajouter et configurer ces actions, procédez comme suit :

  1. À partir du connecteur Microsoft Sentinel, ajoutez l’action Entités - Obtenir des adresses IP. Ajoutez l’élément de contenu dynamique Entités (à partir du schéma d’incident Microsoft Sentinel) au champ de liste Entités. Par exemple :

    Capture d’écran montrant les actions du playbook pour obtenir les entités d’adresse IP dans l’incident.

  2. Ajoutez une boucle For each à partir de la bibliothèque d’actions de contrôle . Ajoutez l’élément de contenu dynamique Adresses IP de la sortie Entités - Obtenir des adresses IP au champ Sélectionner une sortie des étapes précédentes . Par exemple :

    Capture d’écran montrant comment ajouter une action de boucle for-each à un playbook afin d’effectuer une action sur chaque adresse IP découverte.

  3. Dans la boucle For each , sélectionnez Ajouter une action, puis :

    1. Recherchez et sélectionnez le connecteur Virus Total .
    2. Sélectionnez l’action Obtenir un rapport IP (préversion).
    3. Ajoutez l’élément de contenu dynamique Adresse ip à partir de la sortie Entités - Obtenir des adresses IP au champ Adresse IP .

    Par exemple :

    Capture d’écran montrant l’envoi d’une demande à Virus Total pour le rapport d’adresse IP.

  4. Dans la boucle For each , sélectionnez Ajouter une action, puis :

    1. Ajoutez une condition à partir de la bibliothèque d’actions de contrôle .
    2. Ajoutez l’élément Statistiques de dernière analyse Contenu dynamique malveillant à partir de la sortie Obtenir un rapport IP . Vous devrez peut-être sélectionner Afficher plus pour le trouver.
    3. Sélectionnez l’opérateur est supérieur à et entrez 0 comme valeur.

    Cette condition pose la question « Le rapport virus total IP a-t-il eu des résultats ? » Par exemple :

    Capture d’écran montrant comment définir une condition true-false dans un playbook.

  5. Dans l’option True , sélectionnez Ajouter une action, puis :

    1. Sélectionnez l’action Ajouter une tâche à l’incident à partir du connecteur Microsoft Sentinel.
    2. Sélectionnez l’élément de contenu dynamique ID ARM d’incident pour le champ ID ARM de l’incident .
    3. Entrez Marquer l’utilisateur comme étant compromis comme titre.
    4. Ajoutez une description facultative.

    Par exemple :

    Capture d’écran montrant les actions du playbook pour ajouter une tâche afin de marquer un utilisateur comme compromis.

  6. Dans l’option False , sélectionnez Ajouter une action, puis :

    1. Sélectionnez l’action Ajouter une tâche à l’incident à partir du connecteur Microsoft Sentinel.
    2. Sélectionnez l’élément de contenu dynamique ID ARM d’incident pour le champ ID ARM de l’incident .
    3. Entrez Contacter l’utilisateur pour confirmer l’activité en tant que titre.
    4. Ajoutez une description facultative.

    Par exemple :

    Capture d’écran montrant les actions du playbook pour ajouter une tâche afin que l’utilisateur confirme l’activité.

Contenu connexe

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Last updated on