Sdílet prostřednictvím


Automatizace a spouštění playbooků Microsoft Sentinelu

Playbooky jsou kolekce postupů, které je možné spustit z Microsoft Sentinelu v reakci na celý incident, na jednotlivá upozornění nebo na konkrétní entitu. Playbook může pomoct automatizovat a orchestrovat odpověď a může se nastavit tak, aby se spouštěla automaticky, když se vygenerují konkrétní výstrahy nebo když se incidenty vytvoří nebo aktualizují, a to tím, že se připojí k pravidlu automatizace. Dá se také spouštět ručně na vyžádání na konkrétní incidenty, výstrahy nebo entity.

Tento článek popisuje, jak připojit playbooky k analytickým pravidlům nebo pravidlům automatizace nebo spouštět playbooky ručně u konkrétních incidentů, výstrah nebo entit.

Poznámka:

Playbooky v Microsoft Sentinelu jsou založené na pracovních postupech integrovaných v Azure Logic Apps, což znamená, že získáte veškerou sílu, přizpůsobitelnost a předdefinované šablony Logic Apps. Můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps .

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Než začnete, ujistěte se, že máte k dispozici playbook pro automatizaci nebo spuštění s definovaným triggerem, podmínkami a akcemi. Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.

Požadované role Azure ke spouštění playbooků

Ke spouštění playbooků potřebujete následující role Azure:

Role Popis
Vlastník Umožňuje udělit přístup k playbookům ve skupině prostředků.
Přispěvatel Microsoft Sentinelu Připojení playbooku k analytickému pravidlu nebo pravidlu automatizace
Microsoft Sentinel Responder Pokud chcete playbook spustit ručně, přejděte k incidentu. Ke skutečnému spuštění playbooku potřebujete také následující role:

- Operátor playbooku Microsoft Sentinel pro ruční spuštění playbooku
- Role Přispěvatel služby Microsoft Sentinel pro automatizaci umožňující spouštění playbooků pomocí pravidel automatizace

Další informace najdete v požadavcích playbooku.

Další oprávnění potřebná ke spouštění playbooků v incidentech

Microsoft Sentinel používá účet služby ke spouštění playbooků na incidentech, k přidání zabezpečení a povolení rozhraní API pravidel automatizace pro podporu případů použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidenty nebo při ručním spuštění playbooku u konkrétního incidentu.

Kromě vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role Přispěvatel služby Microsoft Sentinel Automation. Jakmile má Microsoft Sentinel tuto roli, může spustit libovolný playbook v příslušné skupině prostředků ručně nebo z pravidla automatizace.

Pokud chcete službě Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů. Ke spuštění playbooků budete také potřebovat roli Přispěvatel aplikace logiky ve skupině prostředků obsahující playbooky, které chcete spustit.

Konfigurace oprávnění playbooku pro incidenty v nasazení s více tenanty

Pokud je playbook, který chcete spustit, ve víceklientské nasazení, v jiném tenantovi, musíte účtu služby Microsoft Sentinel udělit oprávnění ke spuštění playbooku v tenantovi playbooku.

  1. V navigační nabídce Služby Microsoft Sentinel v tenantovi playbooků vyberte Nastavení.

  2. Na stránce Nastavení vyberte kartu Nastavení a rozbalte rozbalení oprávnění playbooku.

  3. Výběrem tlačítka Konfigurovat oprávnění otevřete panel Spravovat oprávnění.

  4. Označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít. Příklad:

    Snímek obrazovky znázorňující oddíl akcí s vybranou možností Run Playbook

Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění microsoft Sentinelu, a musíte mít roli Operátor playbooku Microsoft Sentinelu v libovolné skupině prostředků obsahující playbooky, které chcete spustit.

Pokud chcete ve scénáři MSSP spustit playbook v tenantovi zákazníka z pravidla automatizace vytvořeného při přihlášení k tenantovi poskytovatele služeb, musíte službě Microsoft Sentinel udělit oprávnění ke spuštění playbooku v obou tenantech:

  • V tenantovi zákazníka postupujte podle standardních pokynů pro nasazení s více tenanty.

  • V tenantovi poskytovatele služeb přidejte do šablony onboardingu Azure Lighthouse aplikaci Azure Security Insights následujícím způsobem:

    1. Na webu Azure Portal přejděte na Microsoft Entra ID a vyberte Podnikové aplikace.
    2. Vyberte Typ aplikace a vyfiltrujte aplikace Microsoftu.
    3. Do vyhledávacího pole zadejte Azure Security Insights.
    4. Zkopírujte pole ID objektu. Tuto dodatečnou autorizaci musíte přidat do stávajícího delegování Azure Lighthouse.

Role Přispěvatel služby Microsoft Sentinel Automation má pevný identifikátor GUID f4c81013-99ee-4d62-a7ee-b3f1f648599a. Ukázková autorizace Azure Lighthouse by v šabloně parametrů vypadala takto:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatizace odpovědí na incidenty a výstrahy

Pokud chcete automaticky reagovat na celé incidenty nebo jednotlivá upozornění pomocí playbooku, vytvořte pravidlo automatizace, které se spustí při vytvoření nebo aktualizaci incidentu nebo při vygenerování výstrahy. Toto pravidlo automatizace obsahuje krok, který volá playbook, který chcete použít.

Vytvoření pravidla automatizace:

  1. Na stránce Automation v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce vytvořit a pak pravidlo Automation. Příklad:

    Snímek obrazovky znázorňující, jak přidat nové pravidlo automatizace

  2. Otevře se panel Vytvořit nové pravidlo automatizace. Zadejte název pravidla. Vaše možnosti se liší v závislosti na tom, jestli je váš pracovní prostor onboardovaný na portálu Microsoft Defenderu. Příklad:

  3. Aktivační událost: Vyberte odpovídající aktivační událost podle okolností, pro kterou vytváříte pravidlo automatizace – Při vytvoření incidentu, při aktualizaci incidentu nebo při vytvoření výstrahy.

  4. Podmínky:

    1. Pokud váš pracovní prostor ještě není onboardovaný na portálu Defender, můžou mít incidenty dva možné zdroje:

      Pokud jste vybrali jeden z triggerů incidentu a chcete, aby se pravidlo automatizace projevilo jenom na incidenty zdrojové v Microsoft Sentinelu nebo případně v XDR v programu Microsoft Defender, zadejte zdroj v podmínce Pokud se poskytovatel incidentu rovná podmínce.

      Tato podmínka se zobrazí jenom v případě, že je vybrána aktivační událost incidentu a váš pracovní prostor není onboardovaný na portálu Defender.

    2. Pokud chcete, aby se pravidlo automatizace projevilo pouze u určitých analytických pravidel, určete, které typy aktivačních událostí upravíte úpravou názvu pravidla Analýzy, která obsahuje podmínku.

    3. Přidejte všechny další podmínky, které chcete určit, jestli se toto pravidlo automatizace spustí. V rozevíracím seznamu vyberte + Přidat a vyberte podmínky nebo skupiny podmínek. Seznam podmínek se naplní podrobnostmi výstrahy a poli identifikátoru entity.

  5. Akce:

    1. Vzhledem k tomu, že k spuštění playbooku používáte toto pravidlo automatizace, vyberte v rozevíracím seznamu akci Spustit playbook . Zobrazí se výzva k výběru z druhého rozevíracího seznamu, který zobrazuje dostupné playbooky. Pravidlo automatizace může spouštět jenom ty playbooky, které začínají stejným triggerem (incidentem nebo výstrahou) jako trigger definovaný v pravidle, takže se v seznamu zobrazí jenom tyto playbooky.

      Pokud se playbook zobrazí šedě v rozevíracím seznamu, znamená to, že Microsoft Sentinel nemá oprávnění k této skupině prostředků playbooku. Oprávnění můžete přiřadit výběrem odkazu Spravovat oprávnění playbooku.

      Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít. Příklad:

      Snímek obrazovky znázorňující oddíl akcí s vybranou možností Run Playbook

      Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění microsoft Sentinelu, a musíte mít roli Operátor playbooku Microsoft Sentinelu v libovolné skupině prostředků obsahující playbooky, které chcete spustit.

      Další informace najdete v tématu Další oprávnění potřebná ke spouštění playbooků v incidentech.

    2. Přidejte všechny další akce, které chcete pro toto pravidlo použít. Pořadí provádění akcí můžete změnit tak, že vyberete šipky nahoru nebo dolů napravo od jakékoli akce.

  6. Pokud chcete, aby pravidlo automatizace mělo datum vypršení platnosti, nastavte ho.

  7. Zadejte číslo v části Pořadí a určete, kde v posloupnosti pravidel automatizace se toto pravidlo spouští.

  8. Výběrem možnosti Použít dokončíte automatizaci.

Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.

Reakce na upozornění – starší metoda

Dalším způsobem, jak spustit playbooky automaticky v reakci na upozornění , je volat je z analytického pravidla. Když pravidlo vygeneruje upozornění, playbook se spustí.

Tato metoda bude od března 2026 zastaralá.

Od června 2023 už tímto způsobem nemůžete do analytických pravidel přidávat playbooky. Stále ale uvidíte existující playbooky volané z analytických pravidel a tyto playbooky budou pořád běžet až do března 2026. Důrazně doporučujeme vytvořit pravidla automatizace, která místo toho budou tyto playbooky volat.

Ruční spuštění playbooku na vyžádání

Playbook můžete také spustit ručně na vyžádání, ať už v reakci na výstrahy, incidenty nebo entity. To může být užitečné v situacích, kdy potřebujete více lidského vstupu do procesů orchestrace a reakce a kontrolu nad nimi.

Ruční spuštění playbooku u výstrahy

Tento postup není na portálu Defender podporován.

Na webu Azure Portal vyberte jednu z následujících karet podle potřeby pro vaše prostředí:

  1. Na stránce Incidenty vyberte incident a pak výběrem možnosti Zobrazit úplné podrobnosti otevřete stránku s podrobnostmi incidentu.

  2. Na stránce s podrobnostmi incidentu ve widgetu Časová osa incidentu vyberte výstrahu, na které chcete playbook spustit. Vyberte tři tečky na konci řádku upozornění a v místní nabídce vyberte Spustit playbook .

    Snímek obrazovky se spuštěním playbooku na vyžádání

  3. Otevře se podokno Playbooky upozornění. Zobrazí se seznam všech playbooků nakonfigurovaných s triggerem Logic Apps upozornění služby Microsoft Sentinel, ke kterému máte přístup.

  4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

Historii spuštění playbooků můžete zobrazit v upozornění výběrem karty Spuštění v podokně Playbooky výstrahy. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění otevřete v Logic Apps úplný protokol spuštění.

Ruční spuštění playbooku v incidentu

Tento postup se liší v závislosti na tom, jestli pracujete na webu Azure Portal nebo na portálu Defender. Vyberte příslušnou kartu pro vaše prostředí:

  1. Na stránce Incidenty vyberte incident.

  2. V podokně podrobností incidentu, které se zobrazí na straně, vyberte Playbook Spustit akce>.

    Když vyberete tři tečky na konci řádku incidentu v mřížce nebo kliknete pravým tlačítkem myši na incident, zobrazí se stejný seznam jako tlačítko Akce .

  3. Playbook Spustit na panelu incidentů se otevře na straně. Zobrazí se seznam všech playbooků nakonfigurovaných s triggerem Logic Apps incidentů Microsoft Sentinelu, ke kterému máte přístup.

    Pokud playbook, který chcete v seznamu spustit, nevidíte, znamená to, že Microsoft Sentinel nemá oprávnění ke spouštění playbooků v této skupině prostředků.

    Pokud chcete těmto oprávněním udělit, vyberte >Nastavení>playbooku>Oprávnění Konfigurovat oprávnění. Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

    Informace najdete v tématu Další oprávnění potřebná ke spouštění playbooků v incidentech.

  4. Vyberte Spustit na řádku konkrétního playbooku a spusťte ho okamžitě.

    U jakékoli skupiny prostředků obsahující playbooky, které chcete spustit, musíte mít roli operátora playbooku Microsoft Sentinel. Pokud playbook nemůžete spustit kvůli chybějícím oprávněním, doporučujeme vám kontaktovat správce, aby vám udělil příslušná oprávnění. Další informace najdete v požadavcích playbooku Microsoft Sentinel.

Historii spuštění pro playbooky v incidentu zobrazíte tak, že na panelu incidentu vyberete kartu Spuštění na playbooku Spustit. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění otevřete v Logic Apps úplný protokol spuštění.

Ruční spuštění playbooku u entity

Tento postup není na portálu Defender podporován.

V závislosti na původním kontextu vyberte entitu jedním z následujících způsobů:

Pokud jste na stránce s podrobnostmi incidentu (nová verze):

Ve widgetu Entity na kartě Přehled vyhledejte svoji entitu a udělejte jednu z těchto věcí:

  • Nevybírejte entitu. Místo toho vyberte tři tečky napravo od entity a pak vyberte Spustit playbook. Vyhledejte playbook, který chcete spustit, a vyberte Spustit v řádku daného playbooku.

  • Výběrem entity otevřete kartu Entity na stránce s podrobnostmi incidentu. Vyhledejte entitu v seznamu a vpravo vyberte tři tečky. Vyhledejte playbook, který chcete spustit, a vyberte Spustit v řádku daného playbooku.

  • Vyberte entitu a přejděte k podrobnostem na stránku podrobností entity. Potom na levém panelu vyberte tlačítko Spustit playbook . Vyhledejte playbook, který chcete spustit, a vyberte Spustit v řádku daného playbooku.

Bez ohledu na kontext, ze který jste přišli, je poslední krok v tomto postupu z playbooku Spustit na <panelu typů> entit. Tento panel zobrazuje seznam všech playbooků, ke kterým máte přístup nakonfigurovaný pomocí triggeru Microsoft Sentinel Entity Logic Apps pro vybraný typ entity.

V podokně *Run playbook on< entity type>, select the Run tab to see the playbook run history for a given entity. Může trvat několik sekund, než se v seznamu zobrazí jakékoli právě dokončené spuštění. Výběrem konkrétního spuštění otevřete v Logic Apps úplný protokol spuštění.

Další informace naleznete v tématu: