Auslösen eines Playbooks in Echtzeit
Sie können bei Contoso Microsoft Sentinel-Playbooks konfigurieren, um auf Sicherheitsbedrohungen zu reagieren.
Informationen zur Playbooks-Seite
Auf der Seite Playbooks können Sie Reaktionen auf Bedrohungen automatisieren. Auf dieser Seite können Sie alle Playbooks im Blick behalten, die in Azure Logic Apps erstellt wurden. In der Spalte Trigger kind (Art des Triggers) wird angegeben, welche Art von Connectors in der Logik-App verwendet werden.
Sie können die Headerleiste wie in der folgenden Abbildung verwenden, um neue Playbooks zu erstellen oder vorhandene Playbooks zu aktivieren bzw. zu deaktivieren.
In der Headerleiste stehen die folgenden Optionen zur Verfügung:
Verwenden Sie die Option Add Playbook (Playbook hinzufügen), um ein neues Playbook zu erstellen.
Verwenden Sie die Option Refresh (Aktualisieren), um die Anzeige zu aktualisieren, z. B. nachdem Sie ein neues Playbook erstellt haben.
Verwenden Sie das Dropdownfeld, um nach dem Ausführungsstatus der Playbooks zu filtern.
Die Optionen Enable (Aktivieren), Disable (Deaktivieren) und Delete (Löschen) sind nur verfügbar, wenn Sie mindestens eine Logik-App auswählen.
Über Logic Apps-Dokumentation gelangen Sie zur offiziellen Microsoft-Dokumentation, wo Sie weitere Informationen zu Logik-Apps erhalten.
Mit automatisierten Aktionen möchte Contoso verhindern, dass verdächtige Benutzer auf ihr Netzwerk zugreifen. Als Sicherheitsadministrator können Sie ein Playbook erstellen, um diese Aktion zu implementieren. Klicken Sie auf Add Playbook (Playbook hinzufügen), um ein neues Playbook zu erstellen. Dadurch gelangen Sie zu der Seite, auf der Sie eine neue Logik-App anhand der Eingaben für die folgenden Einstellungen erstellen sollten:
Abonnement: Wählen Sie das Abonnement aus, das Microsoft Sentinel enthält.
Ressourcengruppe: Sie können eine vorhandene Ressourcengruppe verwenden oder eine neue erstellen.
Name der Logik-App. Geben Sie einen eindeutigen Namen für die Logik-App an.
Speicherort: Wählen Sie denselben Ort aus, an dem sich auch der Log Analytics-Arbeitsbereich befindet.
Log Analytics: Wenn Sie Log Analytics aktivieren, können Sie Informationen zu Laufzeitereignissen des Playbooks abrufen.
Wählen Sie die Option Review + Create (Überprüfen und erstellen), und wählen Sie dann Create (Erstellen) aus, sobald Sie diese Eingaben eingefügt haben.
Designer für Logik-Apps
Microsoft Sentinel erstellt die Logik-App. Anschließend werden Sie zur Seite Designer für Logik-Apps weitergeleitet.
Im Designer für Logik-Apps gibt es einen Entwurfsbereich, in dem Sie Ihrem Workflow Trigger und Aktionen hinzufügen können. Beispielsweise können Sie den Trigger so konfigurieren, dass er vom Microsoft Sentinel-Connector kommt, wenn ein neuer Sicherheitsvorfall ausgelöst wird. Der Designer für Logik-Apps bietet viele vordefinierte Vorlagen, die Sie verwenden können. Zum Erstellen eines Playbooks sollten Sie jedoch mit der Vorlage mit einer leeren Logik-App beginnen, um die Logik-App von Grund auf neu zu entwerfen.
Die automatisierte Aktivität im Playbook wird vom Microsoft Sentinel-Trigger initiiert. Sie können nach dem Microsoft Sentinel-Trigger im Suchfeld des Entwurfsbereichs suchen und dann einen der folgenden beiden verfügbaren Trigger auswählen:
Wenn eine Reaktion auf eine Microsoft Sentinel-Warnung ausgelöst wird
Wenn die Microsoft Sentinel-Vorfallerstellungsregel ausgelöst wird
Wenn Sie den Microsoft Sentinel-Connector zum ersten Mal öffnen, werden Sie aufgefordert, sich mit einem Benutzerkonto aus Azure Active Directory (Azure AD) oder mit dem Dienstprinzipal bei Ihrem Mandanten anzumelden. Dadurch wird eine API-Verbindung mit Ihrer Microsoft Entra-ID hergestellt. Die API-Verbindungen speichern Variablen und Token, die für den Zugriff auf die API für die Verbindung erforderlich sind, z. B. Azure AD, Office 365 oder ähnliches.
Jedes Playbook wird durch einen Trigger gestartet. Anschließend werden Aktionen ausgeführt, die die automatisierte Reaktion auf einen Sicherheitsvorfall definieren. Sie können Aktionen von einem Microsoft Sentinel-Connector mit anderen Aktionen von anderen Logic Apps-Connectors kombinieren.
Beispielsweise können Sie den Trigger von einem Microsoft Sentinel-Connector hinzufügen, wenn ein Vorfall ausgelöst wird. Führen Sie anschließend eine Aktion aus, mit der die Entitäten aus der Microsoft Sentinel-Warnung identifiziert werden, und dann eine weitere Aktion, die eine E-Mail an ein Office 365-E-Mail-Konto sendet. Microsoft Sentinel erstellt jede Aktion als neuen Schritt und definiert die Aktivität, die Sie in der Logik-App hinzufügen.
Auf dem folgenden Screenshot wird ein Incident veranschaulicht, der vom Microsoft Sentinel-Connector ausgelöst wurde. Der Incident erkennt ein verdächtiges Konto und sendet eine E-Mail an den Administrator.
Jeder Schritt im Workflowentwurf verfügt über verschiedene Felder, die ausgefüllt werden müssen. Beispielsweise müssen Sie für die Aktion Entities - Get Accounts (Entitäten: Konten abrufen) die Liste der Entitäten aus einer Microsoft Sentinel-Warnung bereitstellen. Ein Vorteil der Verwendung von Azure Logic Apps besteht darin, dass Sie diese Eingabe aus der Liste dynamischen Inhalts bereitstellen können, die mit den Ausgaben des vorherigen Schritts aufgefüllt wird. Der Microsoft Sentinel-Connectortrigger When a response to Azure Sentinel Alert is triggered (Wenn eine Reaktion auf eine Microsoft Sentinel-Warnung ausgelöst wird) bietet dynamische Eigenschaften wie Entities, Alert Display name (Entitäten, Warnungsanzeigename), mit denen Sie die Eingaben ausfüllen können.
Sie können auch eine Steuerungsaktionsgruppe hinzufügen, die ihrer Logik-App ermöglicht, Entscheidungen zu treffen. Die Steuerungsaktionsgruppe kann logische Bedingungen, Switch-case-Bedingungen oder Schleifen beinhalten.
Eine condition-Aktion ist eine if-Anweisung, mit der Ihre App je nach verarbeiteten Daten unterschiedliche Aktionen ausführen kann. Sie besteht aus einem booleschen Ausdruck und zwei Aktionen. Zur Laufzeit wertet die Ausführungs-Engine den Ausdruck aus und wählt je nach Ergebnis (wahr oder falsch) eine andere Aktion aus.
Beispielsweise empfängt Contoso eine große Anzahl von Warnungen, von denen viele wiederkehrende Muster aufweisen, die nicht verarbeitet oder untersucht werden können. Mithilfe der Echtzeitautomatisierung können die SecOps-Teams von Contoso ihren Arbeitsaufwand erheblich reduzieren, indem sie Routinereaktionen auf wiederkehrende Typen von Warnungen vollständig automatisieren.
Der folgende Screenshot zeigt eine ähnliche Situation, in der das Playbook den Status der Warnung basierend auf der Benutzereingabe ändern kann. Mit der Steuerungsaktion wird die Benutzereingabe abgefangen, und wenn der Ausdruck als TRUE ausgewertet wird, ändert das Playbook den Status der Warnung. Wenn die Steuerungsaktion den Ausdruck als FALSE auswertet, kann das Playbook andere Aktionen ausführen. Beispielsweise kann es wie im folgenden Screenshot dargestellt eine E-Mail senden.
Speichern Sie die Logik-App, um ein Playbook in Microsoft Sentinel zu erstellen, nachdem Sie alle Schritte im Designer für Logik-Apps bereitgestellt haben.
Seite „Logic Apps“ in Microsoft Sentinel
Die von Ihnen erstellten Playbooks werden auf der Seite Playbooks angezeigt, und Sie können sie weiter bearbeiten. Wenn Sie auf der Seite Playbooks ein vorhandenes Playbook auswählen, wird die Logic Apps-Seite für dieses Playbook in Microsoft Sentinel öffnet.
Sie können verschiedene Aktionen für das Playbook über die Logic Apps-Headerleiste ausführen:
Run Trigger (Trigger ausführen). Verwenden Sie diese Aktion, um die Logik-App zum Testen des Playbooks auszuführen.
Refresh (Aktualisieren): Verwenden Sie diese Aktion, um den Status der Logik-App zu aktualisieren, um den Status der Aktivität abzurufen.
Edit (Bearbeiten). Verwenden Sie diese Aktion, um das Playbook im Designer für Logik-Apps weiter zu bearbeiten.
Löschen: Verwenden Sie diese Aktion, um die Logik-App zu löschen, wenn Sie sie nicht benötigen.
Deaktivieren. Verwenden Sie diese Aktion, um die Logik-App zeitweise zu deaktivieren, um zu verhindern, dass die Aktion ausgeführt wird, selbst wenn der Trigger ausgelöst wird.
Update Schema (Schema aktualisieren). Verwenden Sie diese Aktion, um das Schema der Logik-App nach einer deutlichen Änderung der Logik zu aktualisieren.
Clone (Klonen). Verwenden Sie diese Aktion, um eine Kopie der vorhandenen Logik-App zu erstellen, und verwenden Sie diese dann als Grundlage für weitere Änderungen.
Export (Exportieren). Verwenden Sie diese Aktion, um die Logik-App in Microsoft Power Automate und Microsoft Power Apps zu exportieren.
Im Abschnitt Essentials (Grundlagen) werden ausführliche Informationen zur Logik-App gegeben. In der Definition der Logik-App wird beispielsweise die Anzahl der Trigger und Aktionen angezeigt, die von der Logik-App bereitstellt werden.
Im Abschnitt Summary (Zusammenfassung) können Sie sich zusammengefasste Informationen über die Logik-App ansehen. In diesem Abschnitt können Sie auch den Link der Logik-App auswählen, um ihn im Designer für Logik-Apps zu öffnen. Sie können sich dort zudem den Triggerverlauf ansehen.
Im Abschnitt Ausführungsverlauf werden die vorherigen Ausführungen der Logik-App aufgeführt und ob sie erfolgreich waren oder fehlgeschlagen sind.
Automatisieren der Reaktion auf einen Incident in Microsoft Sentinel
Als letzten Schritt müssen Sie dieses Playbook an eine Analyseregel anfügen, um Reaktionen auf einen Vorfall zu automatisieren. Im Abschnitt Automated Response (Automatisierte Reaktion) können Sie ein Playbook auswählen, das bei Generierung der Warnung automatisch ausgelöst wird. Weitere Informationen zum Erstellen einer Analyseregel finden Sie im Modul zur Bedrohungserkennung mit Microsoft Sentinel-Analysen.