Erstellen und Anpassen von Microsoft Sentinel-Playbooks über Vorlagen
Eine Playbook-Vorlage ist ein vorgefertigter, getesteter und gebrauchsfertiger Automatisierungsworkflow für Microsoft Sentinel, der an Ihre Bedürfnisse angepasst werden kann. Vorlagen können auch als Referenz für bewährte Methoden bei der Entwicklung vollkommen neuer Playbooks oder als Anregung für neue Automatisierungsszenarien dienen.
Playbook-Vorlagen sind nicht selbst aktive Playbooks, und Sie müssen eine bearbeitbare Kopie für Ihre Bedürfnisse erstellen.
Viele Playbookvorlagen werden von der Microsoft Sentinel-Community, unabhängigen Softwareanbietern (ISVs) und Microsoft-Experten entwickelt und basieren auf beliebten Automatisierungsszenarien, die von Security Operations Centern auf der ganzen Welt verwendet werden.
Wichtig
Playbookvorlagen befinden sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Um Playbooks erstellen und verwalten zu können, benötigen Sie Zugriff auf Microsoft Sentinel mit einer der folgenden Azure-Rollen:
- Mitwirkender für Logik-Apps, um Logik-Apps zu bearbeiten und zu verwalten
- Logik-App-Operator zum Lesen, Aktivieren und Deaktivieren von Logik-Apps
Weitere Informationen finden Sie in den Voraussetzungen für Microsoft Sentinel-Playbooks.
Es empfiehlt sich, vor dem Erstellen Ihres Playbooks den Artikel Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks zu lesen.
Zugreifen auf Playbook-Vorlagen
Sie können Playbook-Vorlagen aus den folgenden Quellen abrufen:
Standort | Beschreibung |
---|---|
Seite „Microsoft Sentinel-Automatisierung“ | Auf der Registerkarte Playbook-Vorlagen sind alle installierten Playbooks aufgelistet. Erstellen Sie ein oder mehrere aktive Playbooks mit derselben Vorlage. Wenn wir eine neue Version einer Vorlage veröffentlichen, verfügen alle aktiven Playbooks, die aus dieser Vorlage erstellt wurden, über eine zusätzliche Kennzeichnung auf der Registerkarte Aktive Playbooks, um anzugeben, dass ein Update verfügbar ist. |
Seite „Microsoft Sentinel Content Hub“ | Playbook-Vorlagen sind als Teil von Produktlösungen oder eigenständigen Inhalten verfügbar, die Sie über den Content Hub installieren. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalten und -Lösungen Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte |
GitHub | Das Microsoft Sentinel-GitHub-Repository enthält viele andere Playbook-Vorlagen. Wählen Sie In Azure bereitstellen, um eine Vorlage für Ihr Abonnement bereitzustellen. |
Technisch gesehen ist eine Playbook-Vorlage eine ARM-Vorlage (Azure Resource Manager), die aus mehreren Ressourcen besteht: einem Azure Logic Apps-Workflow und API-Verbindungen für jede einbezogene Verbindung.
Dieser Artikel konzentriert sich auf die Bereitstellung einer Playbookvorlage über die Registerkarte Playbookvorlagen unter Automatisierung.
Erkunden von Playbookvorlagen
Wählen Sie für Microsoft Sentinel im Azure-Portaldie Seite Inhaltsverwaltung>Inhaltshub aus. Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.
Wählen Sie auf der Seite Inhaltshub Inhaltstyp aus, um nach Playbook zu filtern. In dieser gefilterten Ansicht sind alle Lösungen und eigenständigen Inhalte aufgelistet, die mindestens eine Playbookvorlage enthalten. Installieren Sie die Lösung oder den eigenständigen Inhalt, um die Vorlage abzurufen.
Wählen Sie dann Konfiguration>Automation>Playbook-Vorlagen Registerkarte aus, um die installierten Vorlagen anzuzeigen. Zum Beispiel:
Um eine Playbook-Vorlage zu finden, die Ihren Anforderungen entspricht, filtern Sie die Liste nach den folgenden Kriterien:
Filter | Beschreibung |
---|---|
Trigger | Filtern Sie nach der Auslösung des Playbooks, einschließlich Vorfällen, Warnungen oder Entitäten. Weitere Informationen finden Sie unter Unterstützte Microsoft Sentinel-Trigger. |
Logik-Apps-Connectors | Filtern Sie nach den externen Diensten, mit denen die Playbooks interagieren. Während des Bereitstellungsprozesses muss jeder Connector eine Identität annehmen, um sich beim externen Dienst zu authentifizieren. |
Entitäten | Filtern Sie nach den Entitätstypen, die das Playbook im Incident erwartet. Beispielsweise erwartet ein Playbook, das eine Firewall anweist, eine IP-Adresse zu blockieren, dass im Incident IP-Adressen gefunden werden. Solche Incidents können von einer Brute Force-Angriffsanalyseregel erstellt werden. |
Tags | Filtern Sie nach den Bezeichnungen, die auf das Playbook angewendet werden, die sich auf das Playbook beziehen oder ein besonderes Merkmal angeben. Beispiel: - Anreicherung: Playbooks, die Informationen von einem anderen Dienst abrufen, um Kontext zu einem Incident hinzuzufügen. Diese Informationen werden in der Regel als Kommentar zum Incident hinzugefügt oder an das SOC gesendet. - Wartung: Playbooks, die eine Aktion für die betroffenen Entitäten ausführen, um eine potenzielle Bedrohung zu beseitigen. - Synchronisierung: Playbooks, die helfen, einen externen Dienst, z. B. einen Vorfallverwaltungsdienst, mit den Eigenschaften des Vorfalls zu aktualisieren. - Benachrichtigung: Playbooks, die eine E-Mail oder Nachricht senden. - Antwort von Teams: Playbooks, die es den Analysten ermöglichen, über Teams mithilfe interaktiver Karten eine manuelle Aktion zu ergreifen. |
Zum Beispiel:
Anpassen eines Playbooks aus einer Vorlage
In diesem Verfahren wird beschrieben, wie Sie Playbook-Vorlagen bereitstellen. Es kann wiederholt werden, um mehrere Playbooks aus derselben Vorlage zu erstellen.
Während die meisten Playbook-Vorlagen wie gewünscht verwendet werden können, empfehlen wir, sie nach Bedarf an Ihre SOC-Anforderungen anzupassen.
Wählen Sie auf der Registerkarte Playbook-Vorlagen ein Playbook aus, mit dem Sie beginnen möchten.
Wenn das Playbook bestimmte Voraussetzungen aufweist, müssen Sie die Anweisungen befolgen. Zum Beispiel:
Einige Playbooks rufen andere Playbooks als Aktionen auf. Dieses zweite Playbook wird als geschachteltes Playbook bezeichnet. In einem solchen Fall besteht eine der Voraussetzungen darin, zuerst das geschachtelte Playbook bereitzustellen.
Einige Playbooks erfordern die Bereitstellung eines benutzerdefinierten Logic Apps-Connectors oder einer Azure-Funktion. Für diese Playbooks wird der Link In Azure bereitstellen angezeigt, über den Sie zum allgemeinen ARM-Vorlagenbereitstellungsprozess gelangen.
Wählen Sie Playbook erstellen aus, um den Assistenten zum Erstellen von Playbooks basierend auf der ausgewählten Vorlage zu öffnen. Der Assistent verfügt über vier Registerkarten:
Grundeinstellungen: Suchen Sie Ihr neues Playbook, das eine Logic Apps-Ressource ist, und geben Sie ihm einen Namen. Sie können den Standardwert verwenden. Zum Beispiel:
Parameter: Geben Sie kundenspezifische Werte ein, die vom Playbook verwendet werden. Wenn dieses Playbook z. B. eine E-Mail an das SOC sendet, definieren Sie die Empfängeradresse. Wenn dieses Playbook einen benutzerdefinierten Connector verwendet, sollte es in derselben Ressourcengruppe bereitgestellt werden, und Sie werden aufgefordert, seinen Namen auf der Registerkarte Parameter einzugeben.
Die Registerkarte Parameter wird nur angezeigt, wenn das Playbook über Parameter verfügt. Zum Beispiel:
Verbindungen: Erweitern Sie jede Aktion, um die vorhandenen Verbindungen anzuzeigen, die Sie für vorherige Playbooks erstellt haben. Sie können vorhandene Verbindungen verwenden oder eine neue erstellen. Zum Beispiel:
Klicken Sie zum Erstellen einer neuen Verbindung auf Neue Verbindung nach Bereitstellung erstellen. Nach Abschluss der Bereitstellung gelangen Sie zum Logic Apps-Designer.
Benutzerdefinierte Connectors werden durch den benutzerdefinierten Connectornamen aufgelistet, der auf der Registerkarte Parameter eingegeben wurde.
Für Connectors, die das Herstellen einer Verbindung mit einer verwalteten Identität unterstützen, z. B. Microsoft Sentinel, ist verwaltete Identität die Standardverbindungsmethode.
Weitere Informationen finden Sie unter Authentifizieren von Playbooks bei Microsoft Sentinel.
Überprüfen und erstellen: Zeigen Sie eine Zusammenfassung des Prozesses an, und warten Sie auf die Überprüfung Ihrer Eingabe, bevor Sie das Playbook erstellen.
Wenn Sie die Schritte des Assistenten zum Erstellen von Playbooks bis zum Ende durchgeführt haben, gelangen Sie zum Workflowentwurf des neuen Playbooks im Logic Apps-Designer. Zum Beispiel:
Für jeden Connector, für den Sie das Erstellen einer neuen Verbindung nach der Bereitstellung ausgewählt haben:
Wählen Sie im Navigationsmenü API-Verbindungen und dann den Verbindungsnamen aus. Zum Beispiel:
Wählen Sie im Navigationsmenü die Option API-Verbindung bearbeiten aus.
Füllen Sie die erforderlichen Parameter aus, und klicken Sie auf Speichern. Zum Beispiel:
Alternativ können Sie innerhalb der relevanten Schritte im Logic Apps-Designer eine neue Verbindung erstellen:
Wählen Sie jeden Schritt aus, der mit einem Fehlerzeichen versehen ist, um ihn zu erweitern, und wählen Sie dann Neu hinzufügen aus.
Authentifizieren Sie sich gemäß den entsprechenden Anweisungen. Weitere Informationen finden Sie unter Authentifizieren von Playbooks bei Microsoft Sentinel.
Wenn es andere Schritte gibt, die denselben Connector verwenden, erweitern Sie deren Felder. Wählen Sie in der angezeigten Liste der Verbindungen die Verbindung aus, die Sie gerade erstellt haben.
Wenn Sie sich für die Verwendung einer Verbindung mit einer verwalteten Identität für Microsoft Sentinel (oder für andere unterstützte Verbindungen) entschieden haben, gewähren Sie dem neuen Playbook Berechtigungen für den Microsoft Sentinel-Arbeitsbereich (oder für die relevanten Zielressourcen für andere Connectors).
Speichern Sie das Playbook. Das Playbook wird auf der Registerkarte Aktive Playbooks angezeigt.
Für die Ausführung Ihres Playbooks legen Sie eine automatische Reaktion fest, oder führen Sie es manuell aus. Weitere Informationen finden Sie unter Reagieren auf Bedrohungen mit Microsoft Sentinel-Playbooks.
Melden eines Problems in einer Playbook-Vorlage
Um einen Fehler zu melden oder eine Verbesserung für ein Playbook anzufordern, wählen Sie den Link Unterstützt von im Detailbereich des Playbooks aus. Wenn es sich um ein von der Community unterstütztes Playbook handelt, führt Sie der Link zum Öffnen eines GitHub-Problems. Andernfalls werden Sie zur Supportseite weitergeleitet, die Informationen zum Senden Ihres Feedbacks enthält.