Microsoft Sentinel-playbooks automatiseren en uitvoeren
Playbooks zijn verzamelingen procedures die vanuit Microsoft Sentinel kunnen worden uitgevoerd als reactie op een heel incident, op een afzonderlijke waarschuwing of op een specifieke entiteit. Een playbook kan u helpen bij het automatiseren en organiseren van uw reactie en kan worden ingesteld om automatisch te worden uitgevoerd wanneer specifieke waarschuwingen worden gegenereerd of wanneer incidenten worden gemaakt of bijgewerkt, door te worden gekoppeld aan een automatiseringsregel. Het kan ook handmatig op aanvraag worden uitgevoerd op specifieke incidenten, waarschuwingen of entiteiten.
In dit artikel wordt beschreven hoe u playbooks koppelt aan analyseregels of automatiseringsregels, of playbooks handmatig uitvoert op specifieke incidenten, waarschuwingen of entiteiten.
Notitie
Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, wat betekent dat u alle mogelijkheden, aanpasbaarheid en ingebouwde sjablonen van Logic Apps krijgt. Er kunnen extra kosten in rekening worden gebracht. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u een playbook beschikbaar hebt om te automatiseren of uit te voeren, waarbij een trigger, voorwaarden en acties zijn gedefinieerd. Zie Microsoft Sentinel-playbooks maken en beheren voor meer informatie.
Vereiste Azure-rollen voor het uitvoeren van playbooks
Als u playbooks wilt uitvoeren, hebt u de volgende Azure-rollen nodig:
Rol | Beschrijving |
---|---|
Eigenaar | Hiermee kunt u toegang verlenen tot playbooks in de resourcegroep. |
Microsoft Sentinel-inzender | Een playbook koppelen aan een analyseregel of automatiseringsregel |
Microsoft Sentinel Responder | Open een incident om een playbook handmatig uit te voeren. Als u het playbook daadwerkelijk wilt uitvoeren, hebt u ook de volgende rollen nodig: - Microsoft Sentinel Playbook Operator, om handmatig een playbook uit te voeren - De rol Microsoft Sentinel Automation-inzender , zodat automatiseringsregels playbooks kunnen uitvoeren. |
Zie vereisten voor playbooks voor meer informatie.
Extra machtigingen die vereist zijn om playbooks uit te voeren op incidenten
Microsoft Sentinel gebruikt een serviceaccount om playbooks uit te voeren op incidenten, om beveiliging toe te voegen en de API voor automatiseringsregels in te schakelen ter ondersteuning van CI/CD-gebruiksscenario's. Dit serviceaccount wordt gebruikt voor door incidenten geactiveerde playbooks of wanneer u een playbook handmatig uitvoert op een specifiek incident.
Naast uw eigen rollen en machtigingen moet dit Microsoft Sentinel-serviceaccount een eigen set machtigingen hebben voor de resourcegroep waarin het playbook zich bevindt, in de vorm van de rol Microsoft Sentinel Automation-inzender . Zodra Microsoft Sentinel deze rol heeft, kan het elk playbook uitvoeren in de relevante resourcegroep, handmatig of vanuit een automatiseringsregel.
Als u Microsoft Sentinel met de vereiste machtigingen wilt verlenen, moet u de rol Eigenaar of Beheerder voor gebruikerstoegang hebben. Als u de playbooks wilt uitvoeren, hebt u ook de rol Inzender voor logische apps nodig voor de resourcegroep die de playbooks bevat die u wilt uitvoeren.
Playbookmachtigingen configureren voor incidenten in een implementatie met meerdere tenants
Als in een multitenant-implementatie het playbook dat u wilt uitvoeren zich in een andere tenant bevindt, moet u het Microsoft Sentinel-serviceaccount toestemming geven om het playbook uit te voeren in de tenant van het playbook.
Selecteer Instellingen in het navigatiemenu van Microsoft Sentinel in de tenant van de playbooks.
Selecteer op de pagina Instellingen het tabblad Instellingen en vervolgens de uitbreiding voor Playbook-machtigingen .
Selecteer de knop Machtigingen configureren om het deelvenster Machtigingen beheren te openen.
Markeer de selectievakjes van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen. Voorbeeld:
U moet zelf eigenaarsmachtigingen hebben voor elke resourcegroep waaraan u Microsoft Sentinel-machtigingen wilt verlenen en u moet de rol Microsoft Sentinel Playbook Operator hebben voor elke resourcegroep die playbooks bevat die u wilt uitvoeren.
Als u in een MSSP-scenario een playbook in een klanttenant wilt uitvoeren op basis van een automatiseringsregel die is gemaakt tijdens het aanmelden bij de tenant van de serviceprovider, moet u Microsoft Sentinel toestemming verlenen om het playbook in beide tenants uit te voeren:
Volg in de tenant van de klant de standaardinstructies voor de implementatie met meerdere tenants.
Voeg in de tenant van de serviceprovider de Azure Security Insights-app als volgt toe aan uw Azure Lighthouse-onboardingsjabloon:
- Ga in Azure Portal naar Microsoft Entra-id en selecteer Bedrijfstoepassingen.
- Selecteer Toepassingstype en filter op Microsoft-toepassingen.
- Voer Azure Security Insights in het zoekvak in.
- Kopieer het veld Object-id . U moet deze extra autorisatie toevoegen aan uw bestaande Azure Lighthouse-delegatie.
De rol Microsoft Sentinel Automation-inzender heeft een vaste GUID van f4c81013-99ee-4d62-a7ee-b3f1f648599a
. Een azure Lighthouse-voorbeeldautorisatie ziet er als volgt uit in uw parameterssjabloon:
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
Reacties op incidenten en waarschuwingen automatiseren
Als u automatisch wilt reageren op volledige incidenten of afzonderlijke waarschuwingen met een playbook, maakt u een automatiseringsregel die wordt uitgevoerd wanneer het incident wordt gemaakt of bijgewerkt, of wanneer de waarschuwing wordt gegenereerd. Deze automatiseringsregel bevat een stap die het playbook aanroept dat u wilt gebruiken.
Een automatiseringsregel maken:
Selecteer op de pagina Automation in het navigatiemenu van Microsoft Sentinel de optie Maken in het bovenste menu en vervolgens de Automation-regel. Voorbeeld:
Het deelvenster Nieuwe automatiseringsregel maken wordt geopend. Voer een naam in voor de regel. Uw opties verschillen, afhankelijk van of uw werkruimte is toegevoegd aan de Microsoft Defender-portal. Voorbeeld:
Trigger: Selecteer de juiste trigger op basis van de omstandigheden waarvoor u de automatiseringsregel maakt: wanneer een incident wordt gemaakt, wanneer het incident wordt bijgewerkt of wanneer er een waarschuwing wordt gemaakt.
Voorwaarden:
Als uw werkruimte nog niet is toegevoegd aan de Defender-portal, kunnen incidenten twee mogelijke bronnen hebben:
- Incidenten kunnen worden gemaakt in Microsoft Sentinel
- Incidenten kunnen worden geïmporteerd uit ( en gesynchroniseerd met ) Microsoft Defender XDR.
Als u een van de incidenttriggers hebt geselecteerd en u wilt dat de automatiseringsregel alleen van kracht wordt op incidenten die zijn afkomstig uit Microsoft Sentinel of in Microsoft Defender XDR, geeft u de bron op in de if incidentprovider die gelijk is aan de voorwaarde.
Deze voorwaarde wordt alleen weergegeven als er een incidenttrigger is geselecteerd en uw werkruimte niet wordt toegevoegd aan de Defender-portal.
Als u voor alle triggertypen wilt dat de automatiseringsregel alleen van kracht wordt op bepaalde analyseregels, geeft u op welke regels de naam van de If Analytics-regel voorwaarde bevat .
Voeg eventuele andere voorwaarden toe die u wilt bepalen of deze automatiseringsregel wordt uitgevoerd. Selecteer + Voorwaarden of voorwaardegroepen toevoegen en selecteren in de vervolgkeuzelijst. De lijst met voorwaarden wordt ingevuld met detailvelden voor waarschuwingen en entiteits-id's.
Acties:
Omdat u deze automatiseringsregel gebruikt om een playbook uit te voeren, selecteert u de actie Playbook uitvoeren in de vervolgkeuzelijst. Vervolgens wordt u gevraagd om te selecteren in een tweede vervolgkeuzelijst waarin de beschikbare playbooks worden weergegeven. Een automatiseringsregel kan alleen de playbooks uitvoeren die beginnen met dezelfde trigger (incident of waarschuwing) als de trigger die in de regel is gedefinieerd, zodat alleen die playbooks in de lijst worden weergegeven.
Als een playbook grijs wordt weergegeven in de vervolgkeuzelijst, betekent dit dat Microsoft Sentinel niet gemachtigd is voor de resourcegroep van dat playbook. Selecteer de koppeling Machtigingen voor playbook beheren om machtigingen toe te wijzen.
Markeer in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen. Voorbeeld:
U moet zelf eigenaarsmachtigingen hebben voor elke resourcegroep waaraan u Microsoft Sentinel-machtigingen wilt verlenen en u moet de rol Microsoft Sentinel Playbook Operator hebben voor elke resourcegroep die playbooks bevat die u wilt uitvoeren.
Zie Extra machtigingen die zijn vereist voor het uitvoeren van playbooks voor incidenten voor meer informatie.
Voeg eventuele andere acties toe die u voor deze regel wilt gebruiken. U kunt de volgorde van de uitvoering van acties wijzigen door de pijl-omhoog of pijl-omlaag rechts van een actie te selecteren.
Stel een vervaldatum in voor uw automatiseringsregel als u deze wilt gebruiken.
Voer een getal in onder Volgorde om te bepalen waar in de reeks automatiseringsregels deze regel wordt uitgevoerd.
Selecteer Toepassen om uw automatisering te voltooien.
Zie Microsoft Sentinel-playbooks maken en beheren voor meer informatie.
Reageren op waarschuwingen: verouderde methode
Een andere manier om playbooks automatisch uit te voeren als reactie op waarschuwingen , is door ze aan te roepen vanuit een analyseregel. Wanneer de regel een waarschuwing genereert, wordt het playbook uitgevoerd.
Deze methode wordt vanaf maart 2026 afgeschaft.
Vanaf juni 2023 kunt u op deze manier geen playbooks meer toevoegen aan analyseregels. U kunt echter nog steeds de bestaande playbooks zien die worden aangeroepen vanuit analyseregels en deze playbooks worden nog steeds uitgevoerd tot maart 2026. We raden u sterk aan om automatiseringsregels te maken om deze playbooks eerder aan te roepen.
Een playbook handmatig uitvoeren, op aanvraag
U kunt ook handmatig een playbook op aanvraag uitvoeren, in reactie op waarschuwingen, incidenten of entiteiten. Dit kan handig zijn in situaties waarin u meer menselijke invoer wilt in en controle wilt over indelings- en responsprocessen.
Een playbook handmatig uitvoeren op een waarschuwing
Deze procedure wordt niet ondersteund in de Defender-portal.
Selecteer in Azure Portal een van de volgende tabbladen, indien nodig voor uw omgeving:
Selecteer een incident op de pagina Incidenten en selecteer vervolgens Volledige details weergeven om de pagina met incidentdetails te openen.
Selecteer op de pagina met incidentdetails in de widget Tijdlijn voor incidenten de waarschuwing waarop u het playbook wilt uitvoeren. Selecteer de drie puntjes aan het einde van de regel van de waarschuwing en selecteer Playbook uitvoeren in het snelmenu.
Het deelvenster Waarschuwingsplaybooks wordt geopend. U ziet een lijst met alle playbooks die zijn geconfigureerd met de Logic Apps-trigger voor Microsoft Sentinel-waarschuwingen waartoe u toegang hebt.
Selecteer Uitvoeren op de regel van een specifiek playbook om het direct uit te voeren.
U kunt de uitvoeringsgeschiedenis voor playbooks op een waarschuwing bekijken door het tabblad Uitvoeringen te selecteren in het deelvenster Waarschuwingsplaybooks . Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in de lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige logboek in Logic Apps geopend.
Een playbook handmatig uitvoeren op een incident
Deze procedure verschilt, afhankelijk van of u werkt in Azure Portal of in de Defender-portal. Selecteer het relevante tabblad voor uw omgeving:
Selecteer een incident op de pagina Incidenten .
Selecteer in het detailvenster van het incident dat aan de zijkant wordt weergegeven, de optie Acties > uitvoeren playbook.
Als u de drie puntjes aan het einde van de regel van het incident in het raster selecteert of met de rechtermuisknop op het incident klikt, wordt dezelfde lijst weergegeven als de actieknop.
Het Run-playbook op het incidentpaneel wordt aan de zijkant geopend. U ziet een lijst met alle playbooks die zijn geconfigureerd met de Microsoft Sentinel Incident Logic Apps-trigger waartoe u toegang hebt.
Als u het playbook dat u wilt uitvoeren niet in de lijst ziet, betekent dit dat Microsoft Sentinel geen machtigingen heeft om playbooks uit te voeren in die resourcegroep.
Als u deze machtigingen wilt verlenen, selecteert u Instellingen>>Playbook-machtigingen>configureren. Markeer in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen.
Zie Extra machtigingen die vereist zijn om playbooks uit te voeren op incidenten voor meer informatie.
Selecteer Uitvoeren op de regel van een specifiek playbook om het direct uit te voeren.
U moet de operatorrol Microsoft Sentinel-playbook hebben voor elke resourcegroep met playbooks die u wilt uitvoeren. Als u het playbook niet kunt uitvoeren vanwege ontbrekende machtigingen, raden we u aan contact op te leggen met een beheerder om u de relevante machtigingen te verlenen. Zie microsoft Sentinel-playbookvereisten voor meer informatie.
Bekijk de uitvoeringsgeschiedenis voor playbooks op een incident door het tabblad Runs te selecteren in het playbook Run in het incidentpaneel. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in de lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige logboek in Logic Apps geopend.
Een playbook handmatig uitvoeren op een entiteit
Deze procedure wordt niet ondersteund in de Defender-portal.
Selecteer een entiteit op een van de volgende manieren, afhankelijk van uw oorspronkelijke context:
- Pagina met incidentdetails (nieuw)
- Pagina met incidentdetails (verouderd)
- Onderzoeksgrafiek
- Pro-actieve opsporing
Als u zich op de pagina met details van een incident (nieuwe versie) bevinden:
Zoek in de widget Entiteiten op het tabblad Overzicht uw entiteit en voer een van de volgende handelingen uit:
Selecteer de entiteit niet. Selecteer in plaats daarvan de drie puntjes rechts van de entiteit en selecteer vervolgens Playbook uitvoeren. Zoek het playbook dat u wilt uitvoeren en selecteer Uitvoeren in de rij van dat playbook.
Selecteer de entiteit om het tabblad Entiteiten van de pagina met incidentdetails te openen. Zoek uw entiteit in de lijst en selecteer de drie puntjes aan de rechterkant. Zoek het playbook dat u wilt uitvoeren en selecteer Uitvoeren in de rij van dat playbook.
Selecteer een entiteit en zoom in op de pagina met entiteitsgegevens. Selecteer vervolgens de knop Playbook uitvoeren in het linkerdeelvenster. Zoek het playbook dat u wilt uitvoeren en selecteer Uitvoeren in de rij van dat playbook.
Ongeacht de context waaruit u afkomstig bent, is de laatste stap in deze procedure afkomstig uit het playbook Uitvoeren in het deelvenster Entiteitstype>.< In dit deelvenster ziet u een lijst met alle playbooks waartoe u toegang hebt die zijn geconfigureerd met de Trigger Microsoft Sentinel Entity Logic Apps voor het geselecteerde entiteitstype.
Selecteer in het deelvenster *Run playbook in< het deelvenster Entiteitstype> het tabblad Runs om de uitvoeringsgeschiedenis van het playbook voor een bepaalde entiteit weer te geven. Het kan enkele seconden duren voordat een zojuist voltooide uitvoering in de lijst wordt weergegeven. Als u een specifieke uitvoering selecteert, wordt het volledige logboek in Logic Apps geopend.
Gerelateerde inhoud
Zie voor meer informatie: