Freigeben über


Automatisieren und Ausführen von Microsoft Sentinel-Playbooks

Playbooks sind Sammlungen von Prozeduren, die von Microsoft Sentinel als Reaktion auf einen gesamten Vorfall, auf eine einzelne Warnung oder auf eine bestimmte Entität ausgeführt werden können. Ein Playbook kann Ihnen dabei helfen, Ihre Reaktion zu automatisieren und zu orchestrieren, und es kann so festgelegt werden, dass es automatisch ausgeführt wird, wenn bestimmte Warnungen generiert oder Vorfälle erstellt oder aktualisiert werden, indem sie an eine Automatisierungsregel angefügt werden. Es kann auch manuell bei Bedarf für bestimmte Vorfälle, Warnungen oder Entitäten ausgeführt werden.

In diesem Artikel wird beschrieben, wie Sie Playbooks an Analyseregeln oder Automatisierungsregeln anfügen oder Playbooks manuell für bestimmte Incidents, Warnungen oder Entitäten ausführen.

Hinweis

Da Playbooks in Microsoft Sentinel auf in Azure Logic Apps erstellten Workflows basieren, stehen Ihnen die Leistung, Anpassbarkeit und integrierten Vorlagen zur Verfügung, die Sie von Logic Apps gewohnt sind. Es können zusätzliche Gebühren anfallen. Ausführlichere Informationen finden Sie auf der Preisseite von Azure Logic Apps.

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass ein Playbook zum Automatisieren oder Ausführen mit einem Trigger, Bedingungen und definierten Aktionen verfügbar ist. Weitere Informationen finden Sie unter Erstellen und Verwalten von Microsoft Sentinel-Playbooks.

Erforderliche Azure-Rollen zum Ausführen von Playbooks

Zum Ausführen von Playbooks benötigen Sie die folgenden Azure-Rollen:

Rolle Beschreibung
Besitzer Ermöglicht Ihnen das Gewähren des Zugriffs auf Playbooks in der Ressourcengruppe.
Microsoft Sentinel-Mitwirkender Anfügen eines Playbooks an eine Analyse- oder Automatisierungsregel
Microsoft Sentinel-Antwortender Zugriff auf einen Incident, um ein Playbook manuell auszuführen. Um das Playbook tatsächlich ausführen zu können, benötigen Sie auch die folgenden Rollen:

- Microsoft Sentinel-Playbookoperator, um ein Playbook manuell auszuführen
- Microsoft Sentinel Automation-Mitarbeiter, um das Ausführen von Playbooks durch Automatisierungsregeln zuzulassen.

Weitere Informationen finden Sie in den Voraussetzungen für Playbooks.

Zusätzliche Berechtigungen, die für das Ausführen von Playbooks bei Incidents erforderlich sind

Microsoft Sentinel verwendet ein Dienstkonto, um Playbooks bei Vorfällen auszuführen, die Sicherheit zu verbessern und die Automatisierungsregeln-API zur Unterstützung von CI/CD-Anwendungsfällen zu aktivieren. Dieses Dienstkonto wird für durch Vorfälle ausgelöste Playbooks sowie beim manuellen Ausführen eines Playbooks für einen bestimmten Vorfall verwendet.

Zusätzlich zu Ihren eigenen Rollen und Berechtigungen muss dieses Microsoft Sentinel-Dienstkonto über einen eigenen Satz von Berechtigungen für die Ressourcengruppe verfügen, in der sich das Playbook befindet. Hierfür wird die Rolle Microsoft Sentinel Automation-Mitarbeiter verwendet. Wenn Microsoft Sentinel über diese Rolle verfügt, kann Sentinel jedes Playbook in der relevanten Ressourcengruppe ausführen – sowohl manuell als auch über eine Automatisierungsregel.

Um Microsoft Sentinel die erforderlichen Berechtigungen zu gewähren, müssen Sie über die Rolle Besitzer oder Benutzerzugriffsadministrator verfügen. Um die Playbooks auszuführen, benötigen Sie auch die Rolle Mitwirkender für Logik-Apps in der Ressourcengruppe mit den Playbooks, die Sie ausführen möchten.

Konfigurieren von Playbookberechtigungen für Incidents in einer Bereitstellung mit mehreren Mandanten

In einer Bereitstellung mit mehreren Mandanten gilt: Wenn sich das Playbook, das Sie ausführen möchten, in einem anderen Mandanten befindet, müssen Sie dem Microsoft Sentinel-Dienstkonto die Berechtigung zum Ausführen des Playbooks im zugehörigen Mandanten erteilen.

  1. Wählen Sie im Mandanten des Playbooks im Microsoft Sentinel-Navigationsmenü die Option Einstellungen aus.

  2. Wählen Sie auf der Seite Einstellungen die Registerkarte Einstellungen aus, und erweitern Sie anschließend den Bereich Playbookberechtigungen.

  3. Wählen Sie die Schaltfläche Berechtigungen konfigurieren aus, um den Bereich Berechtigungen verwalten zu öffnen.

  4. Aktivieren Sie die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus. Zum Beispiel:

    Screenshot des Abschnitts „Aktionen“ mit der Option „Playbook ausführen“ ausgewählt.

Sie selbst müssen für jede Ressourcengruppe, für die Sie Microsoft Sentinel Berechtigungen erteilen möchten, über die Berechtigung Besitzer und für jede Ressourcengruppe, die auszuführende Playbooks enthält, über die Rolle Microsoft Sentinel-Playbookoperator verfügen.

Wenn Sie in einem MSSP-Szenario ein Playbook in einem Kundenmandanten anhand einer Automatisierungsregel ausführen möchten, die Sie erstellt haben, während Sie beim Dienstanbietermandanten angemeldet waren, müssen Sie Microsoft Sentinel die Berechtigung zum Ausführen des Playbooks in beiden Mandanten erteilen:

  • Befolgen Sie im Kundenmandanten die Anweisungen für die Bereitstellung für mehrere Mandanten.

  • Fügen Sie im Dienstanbietermandanten die Azure Security Insights-App in Ihrer Azure Lighthouse-Onboardingvorlage wie folgt hinzu:

    1. Wechseln Sie im Azure-Portal zu Microsoft Entra ID, und wählen Sie Unternehmensanwendungen aus.
    2. Wählen Sie Anwendungstyp aus, und filtern Sie nach Microsoft-Anwendungen.
    3. Geben Sie im Suchfeld den Begriff Azure Security Insights ein.
    4. Kopieren Sie das Feld Objekt-ID. Sie müssen diese zusätzliche Autorisierung zu Ihrer vorhandenen Azure Lighthouse-Delegierung hinzufügen.

Die Rolle Microsoft Sentinel Automation-Mitarbeiter weist die feste GUID f4c81013-99ee-4d62-a7ee-b3f1f648599a auf. Ein Beispiel für eine Azure Lighthouse Autorisierung würde in Ihrer Parametervorlage wie folgt aussehen:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatisieren von Reaktionen auf Incidents und Warnungen

Wenn Sie ein Playbook verwenden möchten, um automatisch auf einen gesamten Incident oder eine einzelne Warnung zu reagieren, erstellen Sie eine Automatisierungsregel, die ausgeführt wird, wenn der Incident erstellt oder aktualisiert oder wenn die Warnung generiert wird. Diese Automatisierungsregel enthält einen Schritt, der das Playbook aufruft, das Sie verwenden möchten.

So erstellen Sie eine Automatisierungsregel:

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü auf der Seite Automatisierung im oberen Menü die Option Erstellen und anschließend Automatisierungsregel aus. Zum Beispiel:

    Screenshot: Hinzufügen einer neuen Automatisierungsregel.

  2. Der Bereich Neue Automatisierungsregel erstellen wird geöffnet. Geben Sie einen Namen für Ihre Regel ein. Ihre Optionen unterscheiden sich je nachdem, ob Ihr Arbeitsbereich in das Microsoft Defender-Portal integriert ist. Zum Beispiel:

  3. Trigger: Wählen Sie den entsprechenden Trigger passend zu der Situation aus, für die Sie die Automatisierungsregel erstellen – Bei Incidenterstellung, Wenn der Vorfall aktualisiert wird oder Beim Erstellen einer Warnung.

  4. Bedingungen:

    1. Wenn Ihr Arbeitsbereich noch nicht in das Defender-Portal integriert ist, können Vorfälle zwei mögliche Quellen haben:

      Wenn Sie einen der Vorfalltrigger ausgewählt haben und wollen, dass die Automatisierungsregel nur für Vorfälle wirksam wird, die aus Microsoft Sentinel stammen, oder alternativ aus Microsoft Defender XDR, geben Sie die Quelle in der Bedingung Vorfallanbieter entspricht an.

      Diese Bedingung wird nur angezeigt, wenn ein Vorfalltrigger ausgewählt ist und Ihr Arbeitsbereich nicht im Defender-Portal integriert ist.

    2. Für alle Triggertypen gilt: Wenn die Automatisierungsregel nur für bestimmte Analyseregeln gelten soll, ändern Sie die Bedingung Wenn Name der Analyseregel Folgendes enthält, um die gewünschten Regeln anzugeben.

    3. Fügen Sie alle anderen Bedingungen hinzu, für die Sie bestimmen möchten, ob diese Automatisierungsregel ausgeführt wird. Klicken Sie auf + Hinzufügen, und wählen Sie Bedingungen oder Bedingungsgruppen aus der Dropdownliste aus. Die Liste mit den Bedingungen wird mit Feldern für Warnungsdetails und Entitätsbezeichner aufgefüllt.

  5. Aktionen:

    1. Da Sie diese Automatisierungsregel zum Ausführen eines Playbooks verwenden, wählen Sie in der Dropdownliste die Aktion Playbook ausführen aus. Sie werden dann aufgefordert, aus einer zweiten Dropdownliste auszuwählen, in der die verfügbaren Playbooks angezeigt werden. Eine Automatisierungsregel kann nur die Playbooks ausführen, die mit demselben Trigger (Incident oder Warnung) wie der in der Regel definierte Trigger beginnen, sodass nur diese Playbooks in der Liste angezeigt werden.

      Ist ein Playbook in der Dropdownliste ausgegraut dargestellt, verfügt Microsoft Sentinel über keine Berechtigung für die Ressourcengruppe des Playbooks. Wählen Sie den Link Playbookberechtigungen verwalten aus, um Berechtigungen zuzuweisen.

      Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus. Zum Beispiel:

      Screenshot des Abschnitts „Aktionen“ mit der Option „Playbook ausführen“ ausgewählt.

      Sie selbst müssen für jede Ressourcengruppe, für die Sie Microsoft Sentinel Berechtigungen erteilen möchten, über die Berechtigung Besitzer und für jede Ressourcengruppe, die auszuführende Playbooks enthält, über die Rolle Microsoft Sentinel-Playbookoperator verfügen.

      Weitere Informationen finden Sie unter Zusätzliche Berechtigungen, die für das Ausführen von Playbooks bei Vorfällen erforderlich sind.

    2. Fügen Sie alle anderen Aktionen hinzu, die Sie für diese Regel benötigen. Sie können die Reihenfolge der Ausführung von Aktionen ändern, indem Sie die Nach-oben- oder Nach-unten-Pfeile rechts neben jeder Aktion auswählen.

  6. Falls gewünscht, können Sie ein Ablaufdatum für Ihre Automatisierungsregel festlegen.

  7. Geben Sie unter Reihenfolge eine Zahl ein, um festzulegen, wann diese Regel in der Sequenz der Automatisierungsregeln ausgeführt werden soll.

  8. Wählen Sie Anwenden aus, um Ihre Automatisierung fertigzustellen.

Weitere Informationen finden Sie unter Erstellen und Verwalten von Microsoft Sentinel-Playbooks.

Reagieren auf Warnungen – Legacymethode

Eine weitere Möglichkeit zum automatischen Ausführen von Playbooks als Reaktion auf Warnungen besteht darin, sie aus einer Analyseregel aufzurufen. Wenn die Regel eine Warnung generiert, wird das Playbook ausgeführt.

Diese Methode gilt ab März 2026 veraltet.

Ab Juni 2023 können Sie auf diese Weise keine Playbooks mehr zu Analyseregeln hinzufügen. Sie können jedoch weiterhin die vorhandenen Playbooks sehen, die aus Analyseregeln aufgerufen werden. Diese Playbooks werden noch bis März 2026 ausgeführt. Es wird dringend empfohlen, vor diesem Zeitpunkt stattdessen Automatisierungsregeln zu erstellen, um diese Playbooks aufzurufen.

Manuelles Ausführen eines Playbooks bei Bedarf

Sie können ein Playbook bei Bedarf auch manuell ausführen, z. B. als Reaktion auf Warnungen, Incidents oder Entitäten. Dies kann in Situationen nützlich sein, in denen Sie mehr menschliche Eingaben und stärkere Kontrolle über Orchestrierungs- und Antwortprozesse wünschen.

Manuelles Ausführen eines Playbooks für eine Warnung

Dieses Verfahren wird im Defender-Portal nicht unterstützt.

Wählen Sie im Azure-Portal nach Bedarf eine der folgenden Registerkarten für Ihre Umgebung aus:

  1. Wählen Sie auf der Seite Incidents einen Incident aus, und wählen Sie dann Alle Details anzeigen aus, um die Seite mit den Incidentdetails zu öffnen.

  2. Wählen Sie auf der Seite mit Incidentdetails im Widget Incidentzeitachse die Warnung aus, für die Sie das Playbook ausführen möchten. Wählen Sie die drei Punkte am Ende der Zeile der Warnung und dann im Popupmenü Playbook ausführen aus.

    Screenshot der bedarfsgesteuerten Ausführung eines Playbooks für eine Warnung.

  3. Der Bereich Warnungsplaybooks wird geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Warnungstrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

  4. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

Sie können den Ausführungsverlauf für Playbooks in einer Warnung anzeigen, indem Sie im Bereich Warnungsplaybooks die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Manuelles Ausführen eines Playbooks für einen Incident

Dieses Verfahren unterscheidet sich, je nachdem, ob Sie im Azure-Portal oder im Defender-Portal arbeiten. Wählen Sie die relevante Registerkarte für Ihre Umgebung aus:

  1. Wählen Sie auf der Seite Incidents einen Incident aus.

  2. Wählen Sie im Bereich mit den Incidentdetails, der auf der Seite angezeigt wird, Aktionen > Playbook ausführen aus.

    Wenn Sie die drei Punkte am Ende der Zeile des Incidents im Raster auswählen oder mit der rechten Maustaste auf den Incident klicken, wird dieselbe Liste wie über die Schaltfläche Aktion angezeigt.

  3. Der Bereich Playbook bei Incident ausführen wird auf der Seite geöffnet. Es wird eine Liste aller Playbooks angezeigt, die mit dem Microsoft Sentinel-Incidenttrigger von Logic Apps konfiguriert sind, auf die Sie Zugriff haben.

    Wenn das Playbook, das Sie ausführen möchten, nicht in der Liste angezeigt wird, bedeutet dies, dass Microsoft Sentinel nicht über die Berechtigungen zum Ausführen von Playbooks in dieser Ressourcengruppe verfügt.

    Um diese Berechtigungen zu gewähren, wählen Sie Einstellungen>Einstellungen>Playbook-Berechtigungen>Berechtigungen konfigurieren aus. Aktivieren Sie im daraufhin angezeigten Bereich Berechtigungen verwalten die Kontrollkästchen der Ressourcengruppen, die die auszuführenden Playbooks enthalten, und wählen Sie Anwenden aus.

    Weitere Informationen finden Sie unter Zusätzliche Berechtigungen, die für das Ausführen von Playbooks bei Incidents erforderlich sind.

  4. Wählen Sie in der Zeile eines bestimmten Playbooks Ausführen aus, um es sofort auszuführen.

    Sie müssen über die Rolle Microsoft Sentinel-Playbook-Operator für jede Ressourcengruppe verfügen, die Playbooks enthält, die Sie ausführen möchten. Wenn Sie das Playbook aufgrund fehlender Berechtigungen nicht ausführen können, sollten Sie sich an einen Administrator wenden, um Ihnen die entsprechenden Berechtigungen zu erteilen. Weitere Informationen finden Sie in den Voraussetzungen für Microsoft Sentinel-Playbooks.

Sie können den Ausführungsverlauf für Playbooks zu einem Vorfall anzeigen, indem Sie im Bereich Playbook bei Vorfall ausführen die Registerkarte Ausführungen auswählen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Manuelles Ausführen eines Playbooks für eine Entität

Dieses Verfahren wird im Defender-Portal nicht unterstützt.

Wählen Sie je nach Ausgangskontext auf eine der folgenden Weisen eine Entität aus:

Wenn Sie sich auf der Detailseite eines Vorfalls befinden (neue Version):

Suchen Sie im Widget Entitäten auf der Registerkarte Übersicht Ihre Entität, und führen Sie eine der folgenden Aktionen aus:

  • Wählen Sie die Entität nicht aus. Wählen Sie stattdessen die drei Punkte rechts neben der Entität und dann Playbook ausführen aus. Suchen Sie das Playbook, das Sie ausführen möchten, und wählen Sie Ausführen in der Zeile dieses Playbooks aus.

  • Wählen Sie die Entität aus, um die Registerkarte Entitäten der Incidentdetailseite zu öffnen. Suchen Sie Ihre Entität in der Liste, und wählen Sie die drei Punkte rechts daneben aus. Suchen Sie das Playbook, das Sie ausführen möchten, und wählen Sie Ausführen in der Zeile dieses Playbooks aus.

  • Wählen Sie eine Entität aus, und führen Sie einen Drilldown zur Entitätsdetailseite durch. Wählen Sie dann im linken Bereich die Schaltfläche Playbook ausführen aus. Suchen Sie das Playbook, das Sie ausführen möchten, und wählen Sie Ausführen in der Zeile dieses Playbooks aus.

Unabhängig vom Ausgangskontext wird der letzte Schritt in diesem Verfahren im Bereich Führen Sie das Playbook auf <Entitätstyp> aus ausgeführt. In diesem Bereich sehen Sie eine Liste aller Playbooks, auf die Sie Zugriff haben und die für den ausgewählten Entitätstyp mit dem Logic Apps-Trigger Microsoft Sentinel-Entität konfiguriert wurden.

Wählen Sie im Bereich *Führen Sie das Playbook auf <Entitätstyp> aus die Registerkarte Ausführungen aus, um den Ausführungsverlauf des Playbooks für eine bestimmte Entität anzuzeigen. Es kann ein paar Sekunden dauern, bis eine gerade abgeschlossene Ausführung in dieser Liste angezeigt wird. Durch Auswahl einer spezifischen Ausführung wird das vollständige Ausführungsprotokoll in Logic Apps geöffnet.

Weitere Informationen finden Sie unter: