Delen via

Incidenttaken maken en uitvoeren in Microsoft Sentinel met behulp van playbooks

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt uitgelegd hoe u playbooks gebruikt om incidenttaken te maken en optioneel uit te voeren voor het beheren van complexe werkstroomprocessen voor analisten in Microsoft Sentinel.

Gebruik de actie Taak toevoegen in een playbook in de Microsoft Sentinel-connector om automatisch een taak toe te voegen aan het incident dat het playbook heeft geactiveerd. Zowel werkstromen voor Standaard als Verbruik worden ondersteund.

Tip

Incidenttaken kunnen niet alleen automatisch worden gemaakt door playbooks, maar ook door automatiseringsregels, en ook handmatig, ad-hoc, vanuit een incident.

Zie Taken gebruiken voor het beheren van incidenten in Microsoft Sentinel voor meer informatie.

Vereisten

  • De rol Microsoft Sentinel Responder is vereist voor het weergeven en bewerken van incidenten. Dit is nodig om taken toe te voegen, weer te geven en te bewerken.

  • De rol Inzender voor Logic Apps is vereist voor het maken en bewerken van playbooks.

Zie microsoft Sentinel-playbookvereisten voor meer informatie.

Een playbook gebruiken om een taak toe te voegen en uit te voeren

Deze sectie bevat een voorbeeldprocedure voor het toevoegen van een playbookactie die het volgende doet:

  • Hiermee voegt u een taak toe aan het incident en stelt u het wachtwoord van een aangetaste gebruiker opnieuw in
  • Voegt een andere playbookactie toe om een signaal te verzenden naar Microsoft Entra ID Protection (AADIP) om het wachtwoord daadwerkelijk opnieuw in te stellen
  • Hiermee voegt u een laatste playbookactie toe om de taak in het incident voltooid te markeren.

Voer de volgende stappen uit om deze acties toe te voegen en te configureren:

  1. Voeg vanuit de Microsoft Sentinel-connector de taak toevoegen aan incidentactie toe en voeg vervolgens het volgende toe:

    1. Selecteer het dynamische inhoudsitem incident ARM-id voor het veld ARM-id incident.

    2. Voer het wachtwoord van de gebruiker opnieuw instellen in als titel.

    3. Voeg een optionele beschrijving toe.

    Voorbeeld:

    Schermopname van playbookacties om een taak toe te voegen om het wachtwoord van een gebruiker opnieuw in te stellen.

  2. Voeg de actie Entiteiten - Accounts ophalen (preview) toe. Voeg het dynamische inhoudsitem van entiteiten (van het Microsoft Sentinel-incidentschema) toe aan het lijstveld Entiteiten. Voorbeeld:

    Schermopname van playbookacties om de accountentiteiten in het incident op te halen.

  3. Voeg een Voor elke lus toe vanuit de bibliotheek besturingsacties . Voeg het item Dynamische inhoud accounts toe vanuit de entiteiten - Accounts ophalen uitvoer naar het veld Selecteer een uitvoer uit de vorige stappen . Voorbeeld:

    Schermopname laat zien hoe u een lusactie toevoegt aan een playbook om een actie uit te voeren voor elk gedetecteerd account.

  4. Selecteer Een actie toevoegen in de lus Voor elke lus. Daarna kunt u het volgende doen:

    1. De Microsoft Entra ID Protection-connector zoeken en selecteren
    2. Selecteer de actie Een riskante gebruiker bevestigen als gecompromitteerde actie (preview).
    3. Voeg het dynamische inhoudsitem Accounts Microsoft Entra-gebruikers-id toe aan het veld userIds Item - 1 .

    Met deze actie worden processen in beweging ingesteld in Microsoft Entra ID Protection om het wachtwoord van de gebruiker opnieuw in te stellen.

    Schermopname van het verzenden van entiteiten naar AADIP om inbreuk te bevestigen.

    Notitie

    Het veld Accounts Microsoft Entra-gebruikers-id is een manier om een gebruiker in AADIP te identificeren. Het is misschien niet noodzakelijkerwijs de beste manier in elk scenario, maar wordt hier als voorbeeld gebracht.

    Raadpleeg voor hulp andere playbooks die gecompromitteerde gebruikers verwerken of de documentatie over Microsoft Entra ID Protection.

  5. Voeg de actie Een taak markeren als voltooid toe vanuit de Microsoft Sentinel-connector en voeg het dynamische inhoudsitem incidenttaak-id toe aan het veld ARM-id van taak. Voorbeeld:

    Schermopname laat zien hoe u een playbookactie toevoegt om een incidenttaak voltooid te markeren.

Een playbook gebruiken om een taak voorwaardelijk toe te voegen

Deze sectie bevat een voorbeeldprocedure voor het toevoegen van een playbookactie waarmee een IP-adres wordt onderzocht dat in een incident wordt weergegeven.

  • Als de resultaten van dit onderzoek zijn dat het IP-adres schadelijk is, maakt het playbook een taak voor de analist om de gebruiker uit te schakelen met dat IP-adres.
  • Als het IP-adres geen bekend schadelijk adres is, maakt het playbook een andere taak, zodat de analist contact kan opnemen met de gebruiker om de activiteit te verifiëren.

Voer de volgende stappen uit om deze acties toe te voegen en te configureren:

  1. Voeg vanuit de Microsoft Sentinel-connector de actie Entiteiten - IP-adressen ophalen toe. Voeg het dynamische inhoudsitem van entiteiten (van het Microsoft Sentinel-incidentschema) toe aan het lijstveld Entiteiten. Voorbeeld:

    Schermopname van playbookacties om de IP-adresentiteiten in het incident op te halen.

  2. Voeg een Voor elke lus toe vanuit de bibliotheek besturingsacties . Voeg het item dynamische inhoud van ip-adressen toe vanuit de entiteiten: haal UITVOER van IP-adressen op in het veld Selecteer een uitvoer uit de vorige stappen. Voorbeeld:

    Schermopname laat zien hoe u een actie voor elke lus toevoegt aan een playbook om een actie uit te voeren op elk gedetecteerd IP-adres.

  3. Selecteer in de lus Voor elke lus een actie toevoegen en vervolgens:

    1. Zoek en selecteer de connector Virustotaal .
    2. Selecteer de actie Een IP-rapport ophalen (preview).
    3. Voeg het ip-adres-item voor dynamische inhoud toe vanuit de entiteiten - IP-uitvoer ophalen naar het veld IP-adres .

    Voorbeeld:

    Schermopname van het verzenden van een aanvraag naar Virus Total voor het IP-adresrapport.

  4. Selecteer in de lus Voor elke lus een actie toevoegen en vervolgens:

    1. Voeg een voorwaarde toe vanuit de bibliotheek besturingsacties .
    2. Voeg het laatste analysestatistiekenitem Schadelijke dynamische inhoud toe uit de uitvoer van een IP-rapport ophalen. Mogelijk moet u Meer weergeven selecteren om deze te vinden.
    3. Selecteer de waarde groter dan de operator en voer 0 deze in als de waarde.

    Deze voorwaarde stelt de vraag "Heeft het rapport Virus Total IP eventuele resultaten?" Bijvoorbeeld:

    Schermopname laat zien hoe u een waar-onwaar-voorwaarde instelt in een playbook.

  5. Selecteer in de optie Waar een actie toevoegen en selecteer vervolgens:

    1. Selecteer de taak Toevoegen aan incidentactie vanuit de Microsoft Sentinel-connector .
    2. Selecteer het dynamische inhoudsitem incident ARM-id voor het veld ARM-id incident.
    3. Voer Mark-gebruiker in als gecompromitteerd als titel.
    4. Voeg een optionele beschrijving toe.

    Voorbeeld:

    Schermopname van playbookacties om een taak toe te voegen om een gebruiker als gecompromitteerd te markeren.

  6. Selecteer in de optie Onwaar een actie toevoegen en selecteer vervolgens:

    1. Selecteer de taak Toevoegen aan incidentactie vanuit de Microsoft Sentinel-connector .
    2. Selecteer het dynamische inhoudsitem incident ARM-id voor het veld ARM-id incident.
    3. Voer Contact opnemen met de gebruiker in om de activiteit te bevestigen als titel.
    4. Voeg een optionele beschrijving toe.

    Voorbeeld:

    Schermopname van playbookacties om een taak toe te voegen om de activiteit van de gebruiker te bevestigen.

Gerelateerde inhoud

Zie voor meer informatie: