Skapa och utföra incidentuppgifter i Microsoft Sentinel med hjälp av spelböcker

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Den här artikeln beskriver hur du använder spelböcker för att skapa och eventuellt utföra incidentuppgifter för att hantera komplexa arbetsflödesprocesser för analytiker i Microsoft Sentinel.

Använd åtgärden Lägg till uppgift i en spelbok i Microsoft Sentinel-anslutningsappen för att automatiskt lägga till en uppgift i incidenten som utlöste spelboken. Arbetsflöden för både standard och förbrukning stöds.

Tips

Incidentuppgifter kan skapas automatiskt inte bara av spelböcker, utan även av automatiseringsregler, och även manuellt, ad hoc, inifrån en incident.

Mer information finns i Använda uppgifter för att hantera incidenter i Microsoft Sentinel.

Förhandskrav

  • Rollen Microsoft Sentinel svarare krävs för att visa och redigera incidenter, vilket krävs för att lägga till, visa och redigera uppgifter.

  • Rollen Logic Apps-deltagare krävs för att skapa och redigera spelböcker.

Mer information finns i Microsoft Sentinel spelbokskrav.

Använda en spelbok för att lägga till en uppgift och utföra den

Det här avsnittet innehåller en exempelprocedur för att lägga till en spelboksåtgärd som gör följande:

  • Lägger till en uppgift i incidenten och återställer en komprometterad användares lösenord
  • Lägger till ytterligare en spelboksåtgärd för att skicka en signal till Microsoft Entra ID Protection (AADIP) för att faktiskt återställa lösenordet
  • Lägger till en sista spelboksåtgärd för att markera uppgiften i incidenten som slutförd.

Utför följande steg för att lägga till och konfigurera dessa åtgärder:

  1. Från Microsoft Sentinel-anslutningsappen lägger du till åtgärden Lägg till uppgift i incident och sedan:

    1. Välj det dynamiska innehållsobjektet incident-ARM ID för fältet Arm-ID för incident .

    2. Ange Återställ användarlösenord som Rubrik.

    3. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbild som visar spelboksåtgärder för att lägga till en uppgift för att återställa en användares lösenord.

  2. Lägg till åtgärden Entiteter – Hämta konton (förhandsversion). Lägg till objektet Dynamiskt innehåll för entiteter (från Microsoft Sentinel incidentschema) i fältet Entitetslista. Till exempel:

    Skärmbild som visar spelboksåtgärder för att hämta kontoentiteterna i incidenten.

  3. Lägg till en For each-loop från biblioteket Kontrollåtgärder . Lägg till det dynamiska innehållsobjektet Konton från entiteterna – Hämta kontoutdata i fältet Välj utdata från föregående steg . Till exempel:

    Skärmbild som visar hur du lägger till en loopåtgärd för varje till en spelbok för att utföra en åtgärd på varje identifierat konto.

  4. I loopen För varje väljer du Lägg till en åtgärd. Sedan:

    1. Sök efter och välj anslutningsappen Microsoft Entra ID Protection
    2. Välj åtgärden Bekräfta en riskfylld användare som komprometterad (förhandsversion).
    3. Lägg till objektet Konton Microsoft Entra dynamiskt användar-ID i fältet userIds Item – 1.

    Den här åtgärden anger i rörelseprocesser i Microsoft Entra ID Protection för att återställa användarens lösenord.

    Skärmbild som visar hur entiteter skickas till AADIP för att bekräfta intrång.

    Obs!

    Fältet Konton Microsoft Entra användar-ID är ett sätt att identifiera en användare i AADIP. Det kanske inte nödvändigtvis är det bästa sättet i varje scenario, men tas hit precis som ett exempel.

    Om du vill ha hjälp kan du läsa andra spelböcker som hanterar komprometterade användare eller dokumentationen om Microsoft Entra ID Protection.

  5. Lägg till åtgärden Markera en aktivitet som slutförd från Microsoft Sentinel-anslutningsappen och lägg till det dynamiska innehållsobjektet incidentaktivitets-ID i fältet Aktivitets-ARM-ID. Till exempel:

    Skärmbild som visar hur du lägger till en spelboksåtgärd för att markera att en incidentaktivitet har slutförts.

Använda en spelbok för att lägga till en uppgift villkorsstyrt

Det här avsnittet innehåller en exempelprocedur för att lägga till en spelboksåtgärd som undersöker en IP-adress som visas i en incident.

  • Om resultatet av den här forskningen är att IP-adressen är skadlig skapar spelboken en uppgift för analytikern att inaktivera användaren med den IP-adressen.
  • Om IP-adressen inte är en känd skadlig adress skapar spelboken en annan uppgift så att analytikern kan kontakta användaren för att verifiera aktiviteten.

Utför följande steg för att lägga till och konfigurera dessa åtgärder:

  1. Från Microsoft Sentinel-anslutningsappen lägger du till åtgärden Entiteter – Hämta IP-adresser. Lägg till objektet Dynamiskt innehåll för entiteter (från Microsoft Sentinel incidentschema) i fältet Entitetslista. Till exempel:

    Skärmbild som visar spelboksåtgärder för att hämta IP-adressentiteterna i incidenten.

  2. Lägg till en For each-loop från biblioteket Kontrollåtgärder . Lägg till objektet dynamiskt innehåll för IP-adresser från entiteterna – Hämta IP-adresser till fältet Välj utdata från föregående steg . Till exempel:

    Skärmbild som visar hur du lägger till en loopåtgärd för varje till en spelbok för att utföra en åtgärd på varje identifierad IP-adress.

  3. I loopen För varje väljer du Lägg till en åtgärd och sedan:

    1. Sök efter och välj anslutningsappen Virus totalt .
    2. Välj åtgärden Hämta en IP-rapport (förhandsversion).
    3. Lägg till objektet IP-adress dynamiskt innehåll från entiteterna – HämtaIP-utdata till fältet IP-adress .

    Till exempel:

    Skärmbild som visar sändningsbegäran till virussumma för IP-adressrapport.

  4. I loopen För varje väljer du Lägg till en åtgärd och sedan:

    1. Lägg till ett villkor från biblioteket Kontrollåtgärder .
    2. Lägg till last analysis statistics Malicious dynamic content item from the Get an IP report output (Hämta utdata från en IP-rapport ). Du kan behöva välja Visa mer för att hitta den.
    3. Välj operatorn är större än och ange 0 som värde.

    Det här villkoret ställer frågan "Har virusrapporten för total IP-adress fått några resultat?" Till exempel:

    Skärmbild som visar hur du anger ett true-false-villkor i en spelbok.

  5. I alternativet Sant väljer du Lägg till en åtgärd och sedan:

    1. Välj åtgärden Lägg till uppgift i incident från Microsoft Sentinel-anslutningsappen.
    2. Välj det dynamiska innehållsobjektet incident-ARM ID för fältet Arm-ID för incident .
    3. Ange Markera användaren som komprometterad som Rubrik.
    4. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbild som visar spelboksåtgärder för att lägga till en uppgift för att markera en användare som komprometterad.

  6. I alternativet Falskt väljer du Lägg till en åtgärd och sedan:

    1. Välj åtgärden Lägg till uppgift i incident från Microsoft Sentinel-anslutningsappen.
    2. Välj det dynamiska innehållsobjektet incident-ARM ID för fältet Arm-ID för incident .
    3. Ange Kontakta användaren för att bekräfta aktiviteten som Rubrik.
    4. Lägg till en valfri beskrivning.

    Till exempel:

    Skärmbild som visar spelboksåtgärder för att lägga till en uppgift för att låta användaren bekräfta aktiviteten.

Relaterat innehåll

Mer information finns i:

  • Last updated on