Déclencher un playbook en temps réel

Effectué

Vous pouvez configurer des playbooks Microsoft Sentinel chez Contoso pour répondre aux menaces de sécurité.

Explorer la page Playbooks

Vous pouvez automatiser les réponses aux menaces dans la page Playbooks. Dans cette page, vous pouvez observer tous les playbooks créés à partir d’Azure Logic Apps. La colonne Type de déclencheur présente le type des connecteurs utilisés dans l’application logique.

Vous pouvez utiliser la barre d’en-tête, comme indiqué dans le diagramme suivant, pour créer des playbooks, ou activer/désactiver des playbooks existants.

Capture d’écran de la barre d’en-tête.

La barre d’en-tête fournit les options suivantes :

  • Utilisez l’option Ajouter un playbook pour créer un playbook.

  • Utilisez l’option Actualiser pour actualiser l’affichage, par exemple, après la création du playbook.

  • Utilisez le champ de liste déroulante pour filtrer l’état d’exécution des playbooks.

  • Les options Activer, Désactiver et Supprimer sont disponibles uniquement si vous sélectionnez une ou plusieurs applications logiques.

  • Utilisez l’option Documentation Logic Apps afin de consulter des liens vers la documentation Microsoft officielle pour plus d’informations sur les applications logiques.

Contoso souhaite utiliser des actions automatisées pour empêcher les utilisateurs suspects d’accéder à son réseau. En tant qu’administrateur de la sécurité, vous pouvez créer un playbook pour implémenter cette action. Pour créer un playbook, sélectionnez Ajouter un playbook. Vous êtes redirigé vers la page qui permet de créer une application logique en fournissant des entrées pour les paramètres suivants :

  • Abonnement. Sélectionnez l’abonnement qui contient Microsoft Sentinel.

  • Groupe de ressources. Vous pouvez utiliser un groupe de ressources existant ou en créer un.

  • Nom de l’application logique. Fournissez un nom descriptif pour l’application logique.

  • Emplacement. Sélectionnez le même emplacement que celui où se trouve votre espace de travail Log Analytics.

  • Log Analytics. Si vous activez Log Analytics, vous pouvez obtenir des informations sur les événements d’exécution du playbook.

Après avoir fourni ces entrées, sélectionnez l’option Vérifier + créer, puis Créer.

Concepteur Logic Apps

Microsoft Sentinel crée l’application logique, puis vous êtes dirigé vers la page Concepteur d’application logique.

Le Concepteur d’application logique fournit un canevas de conception qui vous permet d’ajouter un déclencheur et des actions à votre workflow. Par exemple, vous pouvez configurer le déclencheur pour qu’il provienne du connecteur Microsoft Sentinel quand un incident de sécurité est créé. La page Concepteur d’application logique fournit de nombreux modèles prédéfinis. Toutefois, pour créer un playbook, vous devez commencer avec le modèle Application logique vide afin de créer l’application logique à partir de zéro.

L’activité automatisée dans le playbook est lancée par le déclencheur Microsoft Sentinel. Vous pouvez rechercher le déclencheur Microsoft Sentinel dans la zone de recherche du canevas de conception, puis sélectionner l’un des deux déclencheurs disponibles suivants :

  • Quand une réponse à une alerte Microsoft Sentinel est déclenchée

  • Quand la règle de création d’incident Microsoft Sentinel a été déclenchée

Quand vous ouvrez le connecteur Microsoft Sentinel pour la première fois, vous êtes invité à vous connecter à votre locataire avec un compte d’utilisateur Microsoft Entra ID ou avec un principal de service. Cela établit une connexion d’API à votre Microsoft Entra ID. Les connexions d’API stockent les variables et les jetons nécessaires à l’application pour accéder à l’API, par exemple, Microsoft Entra ID, Office 365 ou des outils similaires.

Capture d’écran de la connexion au locataire Microsoft Entra.

Chaque playbook démarre avec un déclencheur suivi d’actions qui définissent la réponse automatisée en cas d’incident de sécurité. Vous pouvez combiner les actions d’un connecteur Microsoft Sentinel à celles d’autres connecteurs Logic Apps.

Par exemple, vous pouvez ajouter le déclencheur d’un connecteur Microsoft Sentinel quand un incident est déclenché, le faire suivre d’une action qui identifie les entités de l’alerte Microsoft Sentinel, puis d’une autre action qui envoie un e-mail à un compte de messagerie Office 365. Microsoft Sentinel crée chaque action comme une nouvelle étape et définit l’activité que vous ajoutez dans l’application logique.

La capture d’écran suivante affiche l’incident déclenché par le connecteur Microsoft Sentinel, qui détecte un compte suspect et envoie un e-mail à l’administrateur.

Capture d’écran de l’application logique avec des actions.

Chaque étape de la conception de workflow a différents champs à remplir. Par exemple, l’action Entités - Obtenir les comptes a besoin de la liste des entités d’une alerte Microsoft Sentinel. L’un des avantages d’Azure Logic Apps est que vous pouvez fournir cette entrée à partir de la liste Contenu dynamique qui est remplie avec les sorties de l’étape précédente. Par exemple, le déclencheur du connecteur Microsoft Sentinel Quand une réponse à une alerte Microsoft Sentinel est déclenchée fournit des propriétés dynamiques de type Entités, nom complet de l’alerte que vous pouvez utiliser pour remplir les entrées.

Capture d’écran qui affiche du contenu dynamique.

Vous pouvez également ajouter un groupe d’actions de contrôle pour laisser votre application logique prendre les décisions. Le groupe d’actions de contrôle peut inclure des conditions logiques, des conditions de cas de commutateur ou des boucles.

Une action de condition est une instruction if qui permet à votre application d’effectuer différentes actions en fonction des données que vous traitez. Elle se compose d’une expression booléenne et de deux actions. Au moment de l’exécution, le moteur d’exécution évalue l’expression avant de choisir une action selon que l’expression est vraie ou fausse.

Par exemple, Contoso reçoit un grand volume d’alertes, dont beaucoup présentent des modèles récurrents, qui ne peuvent pas être traitées ou investiguées. Avec l’automatisation en temps réel, les équipes SecOps de Contoso peuvent réduire de manière significative leur charge de travail en automatisant entièrement les réponses de routine aux types récurrents d’alertes.

La capture d’écran suivante présente une situation similaire où, en fonction de l’entrée utilisateur, le playbook peut changer l’état de l’alerte. L’action de contrôle intercepte l’entrée utilisateur et, si l’expression correspond à une instruction true, le playbook change l’état de l’alerte. Si l’action de contrôle évalue l’expression comme étant false, le playbook peut exécuter d’autres activités, par exemple, envoyer un e-mail, comme illustré dans la capture d’écran suivante.

Capture d’écran qui affiche la condition de l’application logique.

Après avoir fourni toutes les étapes dans le Concepteur d’application logique, enregistrez l’application logique pour créer un playbook dans Microsoft Sentinel.

Page Logic Apps dans Microsoft Sentinel

Les playbooks que vous créez s’affichent dans la page Playbooks où vous pouvez les modifier. Dans la page Playbooks, vous pouvez sélectionner un playbook existant qui ouvre la page Logic Apps correspondante dans Microsoft Sentinel.

Vous pouvez exécuter plusieurs actions sur le playbook à partir de la barre d’en-tête Logic Apps :

  • Exécuter un déclencheur. Permet d’exécuter l’application logique pour tester le playbook.

  • Actualiser. Permet d’actualiser l’état de l’application logique pour récupérer l’état de l’activité.

  • Modifier. Permet de modifier le playbook dans la page Concepteur d’application logique.

  • Supprimer. Permet de supprimer l’application logique si vous n’en avez pas besoin.

  • Désactiver. Permet de désactiver temporairement l’application logique pour empêcher l’exécution de l’action même si le déclencheur est activé.

  • Mettre à jour le schéma. Permet de mettre à jour le schéma de l’application logique après un changement significatif de la logique.

  • Cloner. Permet d’effectuer une copie de l’application logique existante pouvant servir de base pour d’autres modifications.

  • Exporter. Permet d’exporter l’application logique dans Microsoft Power Automate et Microsoft Power Apps.

La section Éléments principaux affiche des informations descriptives sur l’application logique. Par exemple, la définition de l’application logique affiche le nombre de déclencheurs et d’actions fournis par l’application logique.

Vous pouvez utiliser la section Récapitulatif pour consulter les informations récapitulatives de l’application logique. Dans cette section, vous pouvez sélectionner le lien de l’application logique pour l’ouvrir dans le Concepteur d’application logique ou consulter l’historique des déclencheurs.

La section Historique des exécutions affiche les précédentes exécutions de l’application logique et indique si elles ont réussi ou échoué.

Automatiser la réponse à un incident dans Microsoft Sentinel

Pour la dernière étape, vous devez joindre ce playbook à une règle analytique pour automatiser les réponses à un incident. Vous pouvez utiliser la section Réponse automatisée dans la règle analytique pour sélectionner un playbook à exécuter automatiquement quand l’alerte est générée. Pour plus d’informations sur la création d’une règle analytique, consultez le module « Détection des menaces avec l’analytique Microsoft Sentinel ».

Vérifiez vos connaissances

1.

Qu’est-ce que le contenu dynamique dans une application logique ?

2.

Un administrateur crée un playbook pour recevoir une notification chaque fois qu’un utilisateur se voit attribuer le rôle d’administrateur général. Quel connecteur l’administrateur doit sélectionner dans l’application logique ?