Übung: Erstellen eines Microsoft Sentinel-Playbooks

Abgeschlossen

Als Security Operations Analyst, der für Contoso arbeitet, haben Sie vor Kurzem bemerkt, dass eine beträchtliche Anzahl von Warnungen generiert wird, wenn jemand einen virtuellen Computer löscht. Sie möchten solche Fälle in Zukunft analysieren und die falsch positiven Warnungen verringern.

Übung: Reaktion auf Bedrohungen mit Microsoft Sentinel-Playbooks

Sie entscheiden sich für die Implementierung eines Microsoft Sentinel-Playbooks zur Automatisierung von Reaktionen auf einen Incident.

In dieser Übung untersuchen Sie Microsoft Sentinel-Playbooks, indem Sie die folgenden Aufgaben ausführen:

• Konfigurieren Sie Microsoft Sentinel Playbook-Berechtigungen.

• Erstellen Sie ein Playbook, um die Reaktion auf Vorfälle zu automatisieren.

• Testen Sie Ihr Playbook, indem Sie einen Incident auslösen.

Hinweis

Sie müssen die Lerneinheit „Übungseinrichtung“ abgeschlossen haben, um diese Übung abschließen zu können. Falls noch nicht geschehen, schließen Sie sie jetzt ab, und fahren Sie dann mit den Übungsschritten fort.

Aufgabe 1: Konfigurieren von Microsoft Sentinel Playbook-Berechtigungen

1. Suchen Sie im Azure-Portal nach „Microsoft Sentinel“, wählen Sie diese Option aus, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.

2. Klicken Sie in der Menüleiste auf der Seite Microsoft Sentinel im Abschnitt Konfiguration auf Einstellungen.

3. Wählen Sie auf der Seite Einstellungen die Registerkarte Einstellungen aus, scrollen Sie nach unten, und erweitern Sie die Playbookberechtigungen.

4. Wählen Sie unter Playbookberechtigungen die Schaltfläche Berechtigungen konfigurieren aus.

   

5. Wählen Sie auf der Seite Berechtigungen verwalten auf der Registerkarte Durchsuchen die Ressourcengruppe aus, zu der Ihr Microsoft Sentinel-Arbeitsbereich gehört. Wählen Sie Übernehmen.

   

6. Die Meldung Hinzufügen von Berechtigungen abgeschlossen wird angezeigt.

Aufgabe 2: Arbeiten mit Microsoft Sentinel-Playbooks

1. Suchen Sie im Azure-Portal nach „Microsoft Sentinel“, wählen Sie diese Option aus, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.

2. Klicken Sie auf der Seite Microsoft Sentinel auf der Menüleiste im Abschnitt Konfiguration auf die Option Automatisierung.

3. Wählen Sie im oberen Menü Erstellen und Playbook mit Incidenttrigger aus.

4. Geben Sie auf der Seite Playbooks erstellen auf der Registerkarte Grundlagen die folgenden Einstellungen an:

   Einstellungen	Wert
   Subscription	Wählen Sie Ihr Azure-Abonnement.
   Resource group	Wählen Sie die Ressourcengruppe Ihres Microsoft Sentinel-Diensts aus.
   Playbook-Name	ClosingIncident (Sie können einen beliebigen Namen auswählen)
   Region	Wählen Sie den gleichen Speicherort aus, an dem Microsoft Sentinel gespeichert ist.
   Log Analytics-Arbeitsbereich	Diagnoseprotokolle nicht aktivieren

5. Wählen Sie Weiter: Verbindungen >, dann Weiter: Überprüfen und erstellen> aus.

6. Wählen Sie Erstellen und mit Designer fortfahren aus.

   Hinweis

   Warten Sie, bis die Bereitstellung abgeschlossen ist. Die Bereitstellung sollte nicht länger als eine Minute dauern. Wenn die Ausführung weiter läuft, müssen Sie die Seite möglicherweise aktualisieren.

7. Im Bereich Logik-Apps-Designer sollte der Microsoft Sentinel-Incident (Vorschau) zu sehen sein.

   

8. Wählen Sie auf der Seite Microsoft Sentinel-Incident (Vorschau) den Link Verbindung ändern aus.

9. Wählen Sie auf der Seite Verbindungen die Option Neue hinzufügen aus.

10. Wählen Sie auf der Microsoft Sentinel-Seite die Option Anmelden aus.

    

11. Geben Sie auf der Seite Anmeldung bei Ihrem Konto die Anmeldeinformationen für Ihr Azure-Abonnement ein.

12. Auf der Seite Microsoft Sentinel-Incident (Vorschau) sollten Sie sehen, dass Sie mit Ihrem Konto verbunden sind. Wählen Sie + Neuer Schrittaus.

13. Geben Sie im Fenster Einen Vorgang auswählen im Suchfeld Microsoft Sentinel ein.

14. Wählen Sie das Microsoft Sentinel-Symbol aus.

15. Suchen Sie auf der Registerkarte Aktionen nach Incident abrufen (Vorschau), und wählen Sie diese Option aus.

16. Wählen Sie im Fenster Incident abrufen (Vorschau) das Feld Incident-ARM-ID aus. Das Fenster Dynamische Inhalte hinzufügen wird geöffnet.

    Tipp

    Wenn Sie ein Feld auswählen, wird ein neues Fenster geöffnet, in dem Sie diese Felder mit dynamischem Inhalt füllen können.

17. Auf der Registerkarte Dynamischer Inhalt können Sie im Suchfeld z. B. beginnen, Incident-ARM einzugeben, und dann können Sie den Eintrag aus der Liste auswählen. Das Vorgehen wird im folgenden Screenshot veranschaulicht.

    

18. Wählen Sie + Neuer Schrittaus.

19. Geben Sie im Fenster Einen Vorgang auswählen im Suchfeld Microsoft Sentinel ein.

    Tipp

    Auf der Registerkarte „Für Sie“ sollte für die Auswahl „Zuletzt verwendet“ das Microsoft Sentinel-Symbol angezeigt werden.

20. Wählen Sie das Microsoft Sentinel-Symbol aus.

21. Suchen Sie auf der Registerkarte Aktionen nach Incident aktualisieren (Vorschau), und wählen Sie diese Option aus.

22. Geben Sie im Fenster Incident aktualisieren (Vorschau) die folgenden Eingaben ein:

    Einstellungen	Werte
    Angeben der Incident-ARM-ID	Incident-ARM-ID
    Angeben der Besitzerobjekt-ID/UPN	Objekt-ID des Incidentbesitzers
    Angeben von „Besitzer zuweisen/Zuweisung von Besitzer aufheben“	Wählen Sie aus dem Dropdownmenü die Option Zuweisung aufheben aus.
    severity	Sie können den Incident-Schweregrad beibehalten, der als Standard vorgegeben ist.
    Angeben des Status	Wählen Sie aus dem Dropdownmenü die Option Closed (Geschlossen) aus.
    Angeben des Klassifikationsgrunds	Wählen Sie im Dropdownmenü einen Eintrag wie Unbestimmt aus, oder wählen Sie Benutzerdefinierten Wert eingeben aus, und wählen Sie „IncidentClassification Dynamic content“ aus.
    Close reason text (Text für Grund für die Schließung)	Geben Sie einen eindeutigen Text ein.

    

23. Wählen Sie das Feld Incident-ARM-ID aus. Das Fenster Dynamischen Inhalt hinzufügen wird geöffnet. Im Suchfeld können Sie mit der Eingabe von Incident-ARM beginnen. Wählen Sie Incident-ARM-ID und dann das Feld Besitzerobjekt-ID/UPN aus.

24. Das Fenster Dynamischen Inhalt hinzufügen wird geöffnet. Im Suchfeld können Sie mit der Eingabe von Incidentbesitzer beginnen. Wählen Sie Incidentbesitzer-Objekt-ID aus, und füllen Sie dann die restlichen Felder mit den Tabelleneinträgen aus.

25. Wenn Sie fertig sind, wählen Sie Speichern aus der Menüleiste „Logik-Apps-Designer“ aus, und schließen Sie dann den Logik-Apps-Designer.

Aufgabe 3: Aufrufen eines Incidents und Überprüfen der zugeordneten Aktionen

1. Geben Sie im Azure-Portal in das Textfeld Ressourcen, Dienste und Dokumente durchsuchen den Text Virtuelle Computer ein, und drücken Sie dann die EINGABETASTE.

2. Wählen Sie auf der Seite Virtuelle Computer den virtuellen Computer simple-vm und dann in der Kopfzeile Löschen aus.

3. Wählen Sie auf der Seite „simple-vm“ löschen die Option Mit VM löschen für den Betriebssystemdatenträger und die Netzwerkschnittstelle aus.

4. Aktivieren Sie das Feld, um zu bestätigen, dass Sie gelesen und verstanden haben, dass dieser virtuelle Computer sowie alle ausgewählten Ressourcen gelöscht werden, und wählen Sie dann Löschen aus, um den virtuellen Computer zu löschen.

   

   Hinweis

   Diese Aufgabe erstellt einen Vorfall basierend auf der Analyseregel, die Sie zuvor in der Lerneinheit zum Einrichten der Übung erstellt haben. Die Erstellung von Incidents kann bis zu 15 Minuten dauern. Warten Sie, bis der Vorgang abgeschlossen wurde, und fahren Sie mit dem nächsten Schritt fort.

Aufgabe 4: Zuweisen des Playbooks zu einem bestehenden Incident

1. Suchen Sie im Azure-Portal nach „Microsoft Sentinel“, wählen Sie diese Option aus, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.

2. Klicken Sie in der Menüleiste auf die Übersicht zu Microsoft Sentinel, und klicken Sie dann im Abschnitt Threat management (Bedrohungsmanagement) auf Incidents.

   Hinweis

   Wie im vorherigen Hinweis erwähnt, kann die Erstellung eines Incidents bis zu 15 Minuten dauern. Aktualisieren Sie die Seite, bis der Vorfall auf der Seite Incidents (Vorfälle) angezeigt wird.

3. Wählen Sie auf der Seite Microsoft Sentinel | Incidents den Incident aus, der aufgrund der Löschung der VM erstellt wurde.

4. Wählen Sie im Detailbereich Aktionen und Playbook ausführen (Vorschau) aus.

   

5. Auf der Seite Playbook bei Incident ausführen sollte auf der Registerkarte Playbooks das Playbook ClosingIncident angezeigt werden. Wählen Sie Ausführen aus.

6. Achten Sie darauf, dass die Meldung Playbook was triggered successfully (Playbook wurde erfolgreich ausgelöst) ausgegeben wird.

7. Schließen Sie die Seite Playbook für Incident ausführen, um zur Seite Microsoft Sentinel | Incidents zurückzukehren.

8. Wählen Sie auf der Seite Microsoft Sentinel | Incidents in der Headerleiste Refresh (Aktualisieren) aus. Sie werden feststellen, dass der Incident nicht mehr im Bereich angezeigt wird. Wählen Sie im Status-Menü die Option Closed (Geschlossen) aus, und wählen Sie dann OK aus.

   Hinweis

   Es kann bis zu fünf Minuten dauern, bis Warnungen als Closed (Geschlossen) angezeigt werden.

   

9. Vergewissern Sie sich, dass der Incident noch mal angezeigt wird, und sehen Sie sich die Status-Spalte an, um zu überprüfen, ob Geschlossen angezeigt wird.

Bereinigen der Ressourcen

1. Suchen Sie im Azure-Portal nach Ressourcengruppen.

2. Wählen Sie azure-sentinel-rg aus.

3. Wählen Sie in der Kopfzeile Ressourcengruppe löschen aus.

4. Geben Sie im Feld TYPE THE RESOURCE GROUP NAME: (Ressourcengruppennamen eingeben) den Namen der Ressourcengruppe ein (azure-sentinel-rg), und klicken Sie auf Löschen.