Sdílet prostřednictvím


Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu

Analytici SOC se zabývají mnoha výstrahami zabezpečení a incidenty, přičemž velký objem může zahltit týmy, což vede k ignorování výstrah a nešetřených incidentů. Mnoho výstrah a incidentů je možné řešit stejnými sadami předdefinovaných nápravných akcí, které je možné automatizovat, aby soc bylo efektivnější a uvolnilo analytiky pro hlubší šetření.

Pomocí playbooků Microsoft Sentinel můžete spouštět předkonfigurované sady akcí nápravy, které vám pomůžou automatizovat a orchestrovat reakci na hrozby. Playbooky můžete spouštět automaticky v reakci na konkrétní výstrahy a incidenty, které aktivují nakonfigurované pravidlo automatizace, nebo ručně a na vyžádání pro konkrétní entitu nebo výstrahu.

Například pokud dojde k ohrožení zabezpečení účtu a počítače, playbook může počítač automaticky izolovat od sítě a blokovat účet v době, kdy je tým SOC upozorněn na incident.

Poznámka:

Vzhledem k tomu, že playbooky využívají Azure Logic Apps, můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps .

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Následující tabulka uvádí hlavní případy použití, ve kterých doporučujeme automatizovat reakci na hrozby pomocí playbooků Microsoft Sentinelu:

Případ použití Popis
Rozšíření Shromážděte data a připojte je k incidentu, aby se váš tým rozhodl chytřeji rozhodovat.
Obousměrná synchronizace Synchronizujte incidenty Microsoft Sentinelu s jinými systémy lístků. Můžete například vytvořit pravidlo automatizace pro všechna vytváření incidentů a připojit playbook, který otevře lístek ve službě ServiceNow.
Orchestrace K lepšímu řízení fronty incidentů použijte chatovací platformu týmu SOC. Odešlete například zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku, abyste měli jistotu, že o incidentu vědí vaši analytici zabezpečení.
Response Okamžitě reagovat na hrozby s minimálními lidskými závislostmi, například při označení ohroženého uživatele nebo počítače. Alternativně můžete ručně aktivovat řadu automatizovaných kroků během vyšetřování nebo při proaktivním vyhledávání.

Další informace najdete v tématu Doporučené případy použití playbooku, šablony a příklady.

Požadavky

K vytváření a spouštění playbooků v Microsoft Sentinelu jsou potřeba následující role.

Role Popis
Vlastník Umožňuje udělit přístup k playbookům ve skupině prostředků.
Přispěvatel Microsoft Sentinelu Umožňuje připojit playbook k analytickému nebo automatizačnímu pravidlu.
Microsoft Sentinel Responder Umožňuje přístup k incidentu, abyste playbook mohli spustit ručně, ale neumožňuje spustit playbook.
Operátor playbooku Microsoft Sentinel Umožňuje ruční spuštění playbooku.
Přispěvatel služby Microsoft Sentinel Automation Umožňuje pravidla automatizace spouštět playbooky. Tato role se nepoužívá pro žádný jiný účel.

Následující tabulka popisuje požadované role na základě toho, jestli k vytvoření playbooku vyberete aplikaci logiky Consumption nebo Standard:

Aplikace logiky Role Azure Popis
Využití Přispěvatel aplikace logiky Upravte a spravujte aplikace logiky. Spusťte playbooky. Neumožňuje udělit přístup k playbookům.
Využití Operátor aplikace logiky Čtení, povolení a zakázání aplikací logiky Neumožňuje upravovat nebo aktualizovat aplikace logiky.
Standard Standardní operátor Logic Apps Povolte, znovu odešlete a zakažte pracovní postupy v aplikaci logiky.
Standard Standardní vývojář pro Logic Apps Vytváření a úpravy aplikací logiky
Standard Standardní přispěvatel Logic Apps Správa všech aspektů aplikace logiky

Karta Aktivní playbooky na stránce Automation zobrazuje všechny aktivní playbooky dostupné napříč všemi vybranými předplatnými. Ve výchozím nastavení je možné playbook používat pouze v rámci předplatného, do kterého patří, pokud výslovně neudělíte oprávnění Microsoft Sentinelu ke skupině prostředků playbooku.

Další oprávnění požadovaná ke spouštění playbooků v Microsoft Sentinelu

Microsoft Sentinel používá účet služby ke spouštění playbooků na incidentech, k přidání zabezpečení a povolení rozhraní API pravidel automatizace pro podporu případů použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidenty nebo při ručním spuštění playbooku u konkrétního incidentu.

Kromě vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role Přispěvatel služby Microsoft Sentinel Automation. Jakmile má Microsoft Sentinel tuto roli, může spustit libovolný playbook v příslušné skupině prostředků ručně nebo z pravidla automatizace.

Pokud chcete službě Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů. Ke spuštění playbooků budete také potřebovat roli Přispěvatel aplikace logiky ve skupině prostředků obsahující playbooky, které chcete spustit.

Šablony playbooků (Preview)

Šablony playbooků jsou předem připravené, otestované a připravené pracovní postupy, které se nedají použít jako samotné playbooky, ale jsou připravené k přizpůsobení tak, aby vyhovovaly vašim potřebám. Doporučujeme také používat šablony playbooků jako referenci na osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.

Přístup k šablonům playbooků z následujících zdrojů:

Umístění Popis
Stránka Microsoft Sentinel Automation Na kartě Šablony playbooku jsou uvedeny všechny nainstalované playbooky. Vytvořte jeden nebo více aktivních playbooků pomocí stejné šablony.

Když publikujeme novou verzi šablony, všechny aktivní playbooky vytvořené z této šablony mají na kartě Aktivní playbooky přidaný další popisek, který indikuje, že je k dispozici aktualizace.
Stránka centra obsahu služby Microsoft Sentinel Šablony playbooků jsou k dispozici jako součást produktových řešení nebo samostatného obsahu nainstalovaného z centra obsahu.

Další informace najdete tady: .
Informace o obsahu a řešeních služby Microsoft Sentinel
Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
GitHub Úložiště Microsoft Sentinel Na GitHubu obsahuje mnoho dalších šablon playbooků. Výběrem možnosti Nasadit do Azure nasadíte šablonu do předplatného Azure.

Šablona playbooku je technicky vzato šablona Azure Resource Manageru (ARM), která se skládá z několika prostředků: pracovního postupu Azure Logic Apps a připojení rozhraní API pro jednotlivá připojení.

Další informace naleznete v tématu:

Pracovní postup vytvoření playbooku a jeho využití

K vytvoření a spuštění playbooků Microsoft Sentinel použijte následující pracovní postup:

  1. Definujte svůj scénář automatizace. Doporučujeme, abyste si pro začátek zkontrolovali doporučené případy použití playbooků a šablony playbooků .

  2. Pokud šablonu nepoužíváte, vytvořte playbook a sestavte aplikaci logiky. Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.

    Otestujte aplikaci logiky tím, že ji spustíte ručně. Další informace najdete v tématu Ruční spuštění playbooku na vyžádání.

  3. Nakonfigurujte playbook tak, aby se spouštěl automaticky při vytváření nové výstrahy nebo incidentu, nebo ho podle potřeby pro vaše procesy spusťte ručně. Další informace najdete v tématu Reakce na hrozby pomocí playbooků Microsoft Sentinel.