Opprette og utføre hendelsesoppgaver i Microsoft Sentinel ved hjelp av strategibøker

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Denne artikkelen forklarer hvordan du bruker strategiplan til å opprette og eventuelt utføre hendelsesoppgaver for å administrere komplekse arbeidsflytprosesser for analytikere i Microsoft Sentinel.

Bruk handlingen Legg til oppgave i en strategiplan i Microsoft Sentinel kobling for automatisk å legge til en oppgave i hendelsen som utløste strategiplanen. Både Standard- og Forbruksarbeidsflyter støttes.

Tips

Hendelsesoppgaver kan opprettes automatisk ikke bare av strategibøker, men også av automatiseringsregler, og også manuelt, ad hoc, fra en hendelse.

Hvis du vil ha mer informasjon, kan du se Bruke oppgaver til å håndtere hendelser i Microsoft Sentinel.

Forutsetninger

  • Rollen Microsoft Sentinel responder kreves for å vise og redigere hendelser, noe som er nødvendig for å legge til, vise og redigere oppgaver.

  • Bidragsyterrollen for Logic Apps kreves for å opprette og redigere strategibøker.

Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel forutsetninger for strategiplan.

Bruke en strategiplan til å legge til en oppgave og utføre den

Denne delen inneholder en eksempelprosedyre for å legge til en strategiplanhandling som gjør følgende:

  • Legger til en oppgave i hendelsen, tilbakestiller passordet til en kompromittert bruker
  • Legger til en annen strategiplanhandling for å sende et signal til Microsoft Entra ID Protection (AADIP) for å tilbakestille passordet
  • Legger til en endelig strategiplanhandling for å markere oppgaven i hendelsen som fullført.

Gjør følgende for å legge til og konfigurere disse handlingene:

  1. Legg til legg til oppgave i hendelseshandlingen fra Microsoft Sentinel-koblingen, og gjør deretter følgende:

    1. Velg det dynamiske innholdselementet for hendelses-ARM-ID-en for hendelses-ARM-ID-feltet .

    2. Skriv inn tilbakestill brukerpassordet som tittel.

    3. Legg til en valgfri beskrivelse.

    Eksempel:

    Skjermbilde som viser strategiplanhandlinger for å legge til en oppgave for å tilbakestille passordet til en bruker.

  2. Legg til handlingen Enheter – Hent kontoer (forhåndsvisning ). Legg til det dynamiske innholdselementet enheter (fra Microsoft Sentinel hendelsesskjemaet) i enhetslistefeltet. Eksempel:

    Skjermbilde som viser strategiplanhandlinger for å hente kontoenheter i hendelsen.

  3. Legg til en For hver løkke fra kontrollhandlingsbiblioteket . Legg til det dynamiske innholdselementet Kontoer fra enhetene – Hent kontoutdata i feltet Velg utdata fra tidligere trinn . Eksempel:

    Skjermbilde som viser hvordan du legger til en løkkehandling for hver enkelt løkke i en strategiplan for å utføre en handling på hver oppdagede konto.

  4. Velg Legg til en handling i for hver løkke. Deretter:

    1. Søk etter og velg Microsoft Entra ID Protection-koblingen
    2. Velg handlingen Bekreft en risikabel bruker som kompromittert (forhåndsvisning ).
    3. Legg til det dynamiske innholdselementet Kontoer Microsoft Entra bruker-ID i userIds Item - 1-feltet.

    Denne handlingen settes i bevegelsesprosesser i Microsoft Entra ID Protection for å tilbakestille brukerens passord.

    Skjermbilde som viser sending av enheter til AADIP for å bekrefte kompromiss.

    Obs!

    Feltet Kontoer Microsoft Entra bruker-ID er én måte å identifisere en bruker i AADIP på. Det er kanskje ikke nødvendigvis den beste måten i alle scenarioer, men hentes hit akkurat som et eksempel.

    Hvis du vil ha hjelp, kan du se andre strategibøker som håndterer kompromitterte brukere, eller dokumentasjonen for Microsoft Entra ID Protection.

  5. Legg til handlingen Merk en oppgave som fullført fra Microsoft Sentinel-koblingen, og legg til det dynamiske innholdselementet Hendelsesoppgave-ID i aktivitets-ARM-ID-feltet. Eksempel:

    Skjermbilde som viser hvordan du legger til en strategiplanhandling for å markere at en hendelsesoppgave er fullført.

Bruke en strategiplan til å legge til en oppgave betinget

Denne delen inneholder en eksempelprosedyre for å legge til en strategiplanhandling som undersøker en IP-adresse som vises i en hendelse.

  • Hvis resultatene av denne undersøkelsen er at IP-adressen er skadelig, oppretter strategiplanen en oppgave for analytikeren å deaktivere brukeren ved hjelp av denne IP-adressen.
  • Hvis IP-adressen ikke er en kjent ondsinnet adresse, oppretter strategiplanen en annen oppgave, slik at analytikeren kan kontakte brukeren for å bekrefte aktiviteten.

Gjør følgende for å legge til og konfigurere disse handlingene:

  1. Legg til entities - Get IPs-handlingen fra Microsoft Sentinel-koblingen. Legg til det dynamiske innholdselementet enheter (fra Microsoft Sentinel hendelsesskjemaet) i enhetslistefeltet. Eksempel:

    Skjermbilde som viser strategiplanhandlinger for å hente IP-adresseenheter i hendelsen.

  2. Legg til en For hver løkke fra kontrollhandlingsbiblioteket . Legg til det dynamiske innholdselementet for IP-adresser fra enhetene – Få IP-utdata i feltet Velg utdata fra tidligere trinn . Eksempel:

    Skjermbilde som viser hvordan du legger til en løkkehandling for hver enkelt løkke i en strategiplan for å utføre en handling på hver oppdagede IP-adresse.

  3. Velg Legg til en handling i for hver løkke, og velg deretter:

    1. Søk etter og velg Virus Total-koblingen .
    2. Velg handlingen Hent en IP-rapport (forhåndsvisning ).
    3. Legg til det dynamiske innholdselementet IPs Address fra Enheter – Få IP-utdata i IP-adressefeltet .

    Eksempel:

    Skjermbilde som viser sending av forespørsel til Virus totalt for IP-adresserapport.

  4. Velg Legg til en handling i for hver løkke, og velg deretter:

    1. Legg til en betingelse fra kontrollhandlingsbiblioteket .
    2. Legg til det siste analysestatistikkelementet Skadelig dynamisk innhold fra utdata for Hent en IP-rapport . Du må kanskje velge Se mer for å finne den.
    3. Velg operatoren er større enn , og angi 0 som verdi.

    Denne betingelsen stiller spørsmålet «Hadde den totale VIRUS-IP-rapporten noen resultater?» Eksempel:

    Skjermbilde som viser hvordan du angir en sann-usann-betingelse i en strategiplan.

  5. Velg Legg til en handling i Sann-alternativet, og deretter:

    1. Velg handlingen Legg til aktivitet i hendelse fra Microsoft Sentinel kobling.
    2. Velg det dynamiske innholdselementet for hendelses-ARM-ID-en for hendelses-ARM-ID-feltet .
    3. Angi Marker bruker som kompromittert som tittel.
    4. Legg til en valgfri beskrivelse.

    Eksempel:

    Skjermbilde som viser strategiplanhandlinger for å legge til en oppgave for å markere en bruker som kompromittert.

  6. Velg Legg til en handling i alternativet Usann, og velg deretter:

    1. Velg handlingen Legg til aktivitet i hendelse fra Microsoft Sentinel kobling.
    2. Velg det dynamiske innholdselementet for hendelses-ARM-ID-en for hendelses-ARM-ID-feltet .
    3. Angi Ta kontakt med brukeren for å bekrefte aktiviteten som tittel.
    4. Legg til en valgfri beskrivelse.

    Eksempel:

    Skjermbilde som viser strategiplanhandlinger for å legge til en oppgave for å få brukeren til å bekrefte aktivitet.

Beslektet innhold

Hvis du vil ha mer informasjon, kan du se:

  • Last updated on