Aktivace playbooku v reálném čase
Playbooky Microsoft Sentinelu ve společnosti Contoso můžete nakonfigurovat tak, aby reagovaly na bezpečnostní hrozby.
Prozkoumání stránky Playbooky
Na stránce Playbooky můžete automatizovat odpovědi na hrozby. Na této stránce můžete sledovat všechny playbooky vytvořené službou Azure Logic Apps. Sloupec Druh triggeru představuje typ konektorů použitých v aplikaci logiky.
Panel záhlaví, který je vidět na následujícím diagramu, můžete použít k vytvoření nových playbooků nebo k povolení či zakázání stávajících playbooků.
Panel záhlaví nabízí následující možnosti:
Možnost Přidat playbook můžete použít k vytvoření nového playbooku.
Možnost Aktualizovat můžete použít k aktualizaci zobrazení, například po vytvoření nového playbooku.
Rozevírací pole s časem můžete použít k filtrování stavu spuštění playbooků.
Možnosti Povolit, Zakázat a Odstranit jsou dostupné, jen když vyberete jednu nebo více aplikací logiky.
Možnost Dokumentace k Logic Apps použijte ke kontrole odkazů na oficiální dokumentaci Microsoftu, kde najdete další informace o aplikacích logiky.
Společnost Contoso chce použít automatické akce, aby zabránila podezřelým uživatelům v přístupu ke své síti. Jako správce zabezpečení můžete vytvořit playbook, který tuto akci implementuje. Nový playbook vytvoříte tak, že vyberete Přidat playbook. Budete přesměrováni na stránku, na které byste měli vytvořit novou aplikaci logiky tím, že zadáte vstupy pro následující nastavení:
Předplatné Vyberte předplatné, které obsahuje Microsoft Sentinel.
Skupina prostředků: Můžete použít stávající skupinu prostředků nebo vytvořit novou skupinu.
Název aplikace logiky: Zadejte popisný název aplikace logiky.
Umístění: Vyberte stejné umístění, ve kterém je pracovní prostor Log Analytics.
Log Analytics: Pokud povolíte Log Analytics, můžete získat informace o událostech modulu runtime playbooku.
Jakmile tyto vstupy zadáte, vyberte možnost Zkontrolovat a vytvořit a pak vyberteVytvořit.
Logic Apps Designer
Microsoft Sentinel vytvoří aplikaci logiky a pak vás nasměruje na stránku Návrháře aplikací logiky.
Návrhář aplikace logiky nabízí návrhové plátno, které můžete použít, když chcete do pracovního postupu přidat trigger a akce. Trigger můžete například nakonfigurovat tak, aby po vytvoření nového incidentu zabezpečení pochází z konektoru Microsoft Sentinel. Na stránce Návrháře aplikace logiky je řada předem definovaných šablon, které můžete použít. Ale pokud chcete vytvořit playbook, měli byste vyjít ze šablony Prázdná aplikace logiky a navrhnout aplikaci logiky úplně od začátku.
Automatizovaná aktivita v playbooku je inicializována triggerem Microsoft Sentinelu. Trigger Microsoft Sentinelu můžete vyhledat ve vyhledávacím poli na návrhovém plátně a pak vybrat jednu z následujících dvou dostupných aktivačních událostí:
Když se aktivuje odpověď na upozornění Služby Microsoft Sentinel
Při aktivaci pravidla vytvoření incidentu služby Microsoft Sentinel
Při prvním otevření konektoru Microsoft Sentinel se zobrazí výzva, abyste se přihlásili ke svému tenantovi pomocí uživatelského účtu z ID Microsoft Entra nebo pomocí instančního objektu. Tím se vytvoří připojení rozhraní API k vašemu ID Microsoft Entra. Připojení rozhraní API ukládají proměnné a tokeny, které jsou potřeba pro přístup k rozhraní API pro připojení, jako je ID Microsoft Entra, Office 365 nebo podobné.
Každý playbook začíná triggerem, po kterém následují akce, které definují automatickou odpověď na incident zabezpečení. Akce z konektoru Microsoft Sentinelu můžete kombinovat s dalšími akcemi z jiných konektorů Logic Apps.
Můžete například přidat trigger z konektoru Microsoft Sentinelu při aktivaci incidentu, sledovat ho akcí, která identifikuje entity z upozornění Microsoft Sentinelu, a pak další akci, která odešle e-mail na e-mailový účet Office 365. Microsoft Sentinel vytvoří každou akci jako nový krok a definuje aktivitu, kterou přidáváte do aplikace logiky.
Následující snímek obrazovky zobrazuje incident aktivovaný konektorem Microsoft Sentinelu, který detekuje podezřelý účet a pošle správci e-mail.
V každém kroku návrhu pracovního postupu jsou různá pole, která musíte vyplnit. Například akce Entity – Získání účtů vyžaduje, abyste zadali seznam entit z upozornění služby Microsoft Sentinel. Výhodou použití Azure Logic Apps je, že můžete tento vstup poskytnout ze seznamu Dynamický obsah naplněného výstupy předchozího kroku. Trigger konektoru Microsoft Sentinelu například při aktivaci odpovědi na upozornění služby Microsoft Sentinel poskytuje dynamické vlastnosti, jako jsou entity, zobrazovaný název výstrahy, který můžete použít k vyplnění vstupů.
Můžete také přidat skupinu řídicích akcí, která aplikaci logiky umožní rozhodovat se. Skupina řídicích akcí může obsahovat logické podmínky, podmínky switch case nebo smyčky.
Akce condition je příkaz if, který aplikaci umožňuje provádět různé akce podle toho, jaká data zpracováváte. Skládá se z logického výrazu a dvou akcí. Prováděcí modul za běhu vyhodnotí výraz a vybere akci na základě toho, jestli má výraz hodnotu true nebo false.
Společnost Contoso například obdrží velký objem výstrah, z nichž mnohé mají opakující se vzory, které se nedají zpracovat ani prozkoumat. Týmy SecOps společnosti Contoso můžou zautomatizovat zpracování v reálném čase, a výrazně tak zredukovat své úkoly pomocí plně automatických rutinních odpovědí na opakující se typy upozornění.
Na následujícím snímku obrazovky je podobná situace, kde na základě uživatelského vstupu může playbook změnit stav upozornění. Řídicí akce zachytí uživatelský vstup, a pokud je výraz vyhodnocen jako pravdivý, změní playbook stav upozornění. V případě, že řídicí akce vyhodnotí výraz jako nepravdivý, může playbook spustit jiné aktivity, třeba odeslat e-mail (je to vidět na následujícím snímku obrazovky).
Po zadání všech kroků v Návrháři pro Logic Apps uložte aplikaci logiky a vytvořte playbook v Microsoft Sentinelu.
Stránka Logic Apps v Microsoft Sentinelu
Vytvořené playbooky se zobrazí na stránce Playbooky, kde je můžete dále upravovat. Na stránce Playbooky můžete vybrat existující playbook a ten otevře stránku Logic Apps pro tento playbook v Microsoft Sentinelu.
Na panelu záhlaví Logic Apps můžete spouštět různé akce prováděné s playbookem:
Aktivační událost běhu: Slouží ke spuštění aplikace logiky, která otestuje playbook.
Aktualizujte. Slouží k aktualizaci stavu aplikace logiky při načtení stavu aktivity.
Upravit. Slouží k další úpravě playbooku na stránce Návrháře pro Logic Apps.
Odstranit. Pokud aplikaci logiky nepotřebujete, použijte ji k odstranění.
Zakázat. Umožňuje dočasně zakázat aplikaci logiky, aby se zabránilo provedení akce, přestože došlo k aktivaci triggeru.
Aktualizovat schéma: Slouží k aktualizaci schématu aplikace logiky, pokud se výrazně změní logika.
Klonovat: Slouží k vytvoření kopie stávající aplikace logiky a k dalšímu použití této kopie jako základu pro další úpravy.
Exportovat: Slouží k exportu aplikace logiky do služeb Microsoft Power Automate a Microsoft Power Apps.
V oddílu Základní údaje se zobrazí popisné informace o aplikaci logiky. V definici aplikace logiky se například zobrazí počet triggerů a akcí, které aplikace logiky nabízí.
Pokud se chcete podívat na souhrnné informace o aplikaci logiky, použijte oddíl Souhrn. V této části můžete vybrat odkaz na aplikaci logiky, který ji otevře v Návrháři pro Logic Apps, nebo můžete zkontrolovat historii triggeru.
V oddílu Historie běhů se zobrazí předchozí spuštění aplikace logiky spolu s informací, jestli bylo spuštění úspěšné nebo neúspěšné.
Automatizace reakce na incident v Microsoft Sentinelu
Nakonec je potřeba připojit tento playbook k analytickému pravidlu, které automatizuje odpovědi na incident. K výběru playbooku, který se spustí automaticky při generování upozornění, můžete použít oddíl Automatizovaná odpověď. Další informace o tom, jak vytvořit analytické pravidlo, najdete v modulu Detekce hrozeb pomocí analýz Microsoft Sentinelu.