Udostępnij za pośrednictwem


Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi

Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na całe zdarzenie, do pojedynczego alertu lub do określonej jednostki. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź i dołączyć ją do reguły automatyzacji w celu automatycznego uruchamiania po wygenerowaniu określonych alertów lub utworzeniu lub zaktualizowaniu zdarzeń. Podręczniki można również uruchamiać ręcznie na żądanie dla określonych zdarzeń, alertów lub jednostek.

W tym artykule opisano sposób tworzenia podręczników usługi Microsoft Sentinel i zarządzania nimi. Te podręczniki można później dołączyć do reguł analizy lub reguł automatyzacji albo uruchomić je ręcznie na określonych zdarzeniach, alertach lub jednostkach.

Uwaga

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskasz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony aplikacji logiki. Mogą obowiązywać dodatkowe opłaty. Aby uzyskać informacje o cenach, odwiedź stronę cennika usługi Azure Logic Apps.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

  • Konto i subskrypcja platformy Azure. Jeśli nie masz subskrypcji, zarejestruj się w celu założenia bezpłatnego konta platformy Azure.

  • Aby utworzyć podręczniki i zarządzać nimi, musisz mieć dostęp do usługi Microsoft Sentinel z jedną z następujących ról platformy Azure:

    Aplikacja logiki Role na platformie Azure opis
    Zużycie Współautor aplikacji logiki Edytowanie aplikacji logiki i zarządzanie nimi.
    Zużycie Operator aplikacji logiki Odczytywanie, włączanie i wyłączanie aplikacji logiki.
    Standardowa Operator usługi Logic Apps w warstwie Standardowa Włącz, prześlij ponownie i wyłącz przepływy pracy.
    Standardowa Deweloper usługi Logic Apps w warstwie Standardowa Tworzenie i edytowanie przepływów pracy.
    Standardowa Współautor usługi Logic Apps w warstwie Standardowa Zarządzanie wszystkimi aspektami przepływu pracy.

    Więcej informacji można znaleźć w następującej dokumentacji:

  • Przed utworzeniem podręcznika zalecamy przeczytanie podręczników usługi Azure Logic Apps for Microsoft Sentinel.

Tworzenie podręcznika

Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:

  1. W witrynie Azure Portal lub w portalu usługi Defender przejdź do obszaru roboczego usługi Microsoft Sentinel. W menu obszaru roboczego w obszarze Konfiguracja wybierz pozycję Automatyzacja.

  2. W górnym menu wybierz pozycję Utwórz, a następnie wybierz jedną z następujących opcji:

    • Jeśli tworzysz podręcznik Zużycie, wybierz jedną z następujących opcji, w zależności od wyzwalacza, którego chcesz użyć, a następnie wykonaj kroki dla aplikacji logiki Zużycie:

      • Podręcznik z wyzwalaczem zdarzenia
      • Podręcznik z wyzwalaczem alertu
      • Element playbook z wyzwalaczem jednostki

      Ten przewodnik jest kontynuowany wraz z wyzwalaczem podręcznika z jednostką.

    • Jeśli tworzysz podręcznik w warstwie Standardowa, wybierz pozycję Pusty podręcznik, a następnie wykonaj kroki dla standardowego typu aplikacji logiki.

    Aby uzyskać więcej informacji, zobacz Obsługiwane typy aplikacji logiki i obsługiwane wyzwalacze i akcje w podręcznikach usługi Microsoft Sentinel.

Przygotowywanie aplikacji logiki podręcznika

Wybierz jedną z poniższych kart, aby uzyskać szczegółowe informacje na temat tworzenia aplikacji logiki dla podręcznika, w zależności od tego, czy używasz aplikacji logiki Zużycie, czy Standardowa. Aby uzyskać więcej informacji, zobacz Obsługiwane typy aplikacji logiki.

Napiwek

Jeśli podręczniki potrzebują dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z siecią wirtualną platformy Azure, utwórz standardowy przepływ pracy aplikacji logiki.

Standardowe przepływy pracy działają w usłudze Azure Logic Apps z jedną dzierżawą i obsługują używanie prywatnych punktów końcowych dla ruchu przychodzącego, aby przepływy pracy mogły komunikować się prywatnie i bezpiecznie z sieciami wirtualnymi. Standardowe przepływy pracy obsługują również integrację sieci wirtualnej dla ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Zabezpieczanie ruchu między sieciami wirtualnymi i usługą Azure Logic Apps z jedną dzierżawą przy użyciu prywatnych punktów końcowych.

Po wybraniu wyzwalacza, który obejmuje zdarzenie, alert lub wyzwalacz jednostki, zostanie wyświetlony kreator Tworzenia podręcznika , na przykład:

Zrzut ekranu przedstawiający kartę Tworzenie kreatora podręcznika i karty Podstawy dla podręcznika opartego na przepływie pracy Zużycie.

Wykonaj następujące kroki, aby utworzyć podręcznik:

  1. Na karcie Podstawowe podaj następujące informacje:

    1. W obszarze Subskrypcja i Grupa zasobów wybierz żądane wartości z odpowiednich list.

      Wartość Region jest ustawiona na ten sam region co skojarzony obszar roboczy usługi Log Analytics.

    2. W polu Nazwa podręcznika wprowadź nazwę podręcznika.

    3. Aby monitorować aktywność tego podręcznika do celów diagnostycznych, wybierz pozycję Włącz dzienniki diagnostyczne w usłudze Log Analytics, a następnie wybierz obszar roboczy usługi Log Analytics, chyba że wybrano już obszar roboczy.

  2. Wybierz pozycję Dalej: Połączenia >.

  3. Na karcie Połączenia zalecamy pozostawienie wartości domyślnych, które umożliwiają skonfigurowanie aplikacji logiki w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej.

    Aby uzyskać więcej informacji, zobacz Uwierzytelnianie podręczników w usłudze Microsoft Sentinel.

  4. Aby kontynuować, wybierz pozycję Dalej: Przejrzyj i utwórz >.

  5. Na karcie Przeglądanie i tworzenie przejrzyj wybrane opcje konfiguracji i wybierz pozycję Utwórz podręcznik.

    Tworzenie i wdrażanie podręcznika na platformie Azure trwa kilka minut. Po zakończeniu wdrażania podręcznik zostanie otwarty w projektancie przepływu pracy Zużycie dla usługi Azure Logic Apps. Wyzwalacz wybrany wcześniej automatycznie jest wyświetlany jako pierwszy krok w przepływie pracy, więc teraz możesz kontynuować tworzenie przepływu pracy z tego miejsca.

    Zrzut ekranu przedstawiający projektanta przepływu pracy Zużycie z wybranym wyzwalaczem.

  6. W projektancie wybierz wyzwalacz usługi Microsoft Sentinel, jeśli nie został jeszcze wybrany.

  7. W okienku Tworzenie połączenia wykonaj następujące kroki, aby podać wymagane informacje, aby połączyć się z usługą Microsoft Sentinel.

    1. W obszarze Uwierzytelnianie wybierz spośród następujących metod, które mają wpływ na kolejne parametry połączenia:

      Metoda opis
      OAuth Open Authorization (OAuth) to standard technologiczny, który pozwala autoryzować aplikację lub usługę do logowania się do innego bez ujawniania informacji prywatnych, takich jak hasła. Protokół OAuth 2.0 jest branżowym protokołem autoryzacji i udziela ograniczonego dostępu do chronionych zasobów. Aby uzyskać więcej informacji, zobacz następujące zasoby:

      - Co to jest OAuth?
      - Autoryzacja OAuth 2.0 z identyfikatorem Entra firmy Microsoft
      Jednostka usługi Jednostka usługi reprezentuje jednostkę, która wymaga dostępu do zasobów zabezpieczonych przez dzierżawę firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Obiekt jednostki usługi.
      Tożsamość zarządzana Tożsamość, która jest automatycznie zarządzana w identyfikatorze Entra firmy Microsoft. Aplikacje mogą używać tej tożsamości do uzyskiwania dostępu do zasobów obsługujących uwierzytelnianie firmy Microsoft Entra i uzyskiwania tokenów firmy Microsoft Entra bez konieczności zarządzania poświadczeniami.

      W celu zapewnienia optymalnego bezpieczeństwa firma Microsoft zaleca używanie tożsamości zarządzanej do uwierzytelniania, jeśli jest to możliwe. Ta opcja zapewnia lepsze zabezpieczenia i pomaga zapewnić bezpieczeństwo informacji uwierzytelniania, dzięki czemu nie trzeba zarządzać tymi poufnymi informacjami. Aby uzyskać więcej informacji, zobacz następujące zasoby:

      - Co to są tożsamości zarządzane dla zasobów platformy Azure?
      - Uwierzytelnianie dostępu i połączeń z zasobami platformy Azure przy użyciu tożsamości zarządzanych w usłudze Azure Logic Apps.

      Aby uzyskać więcej informacji, zobacz Monity dotyczące uwierzytelniania.

    2. Na podstawie wybranej opcji uwierzytelniania podaj niezbędne wartości parametrów dla odpowiedniej opcji.

      Aby uzyskać więcej informacji na temat tych parametrów, zobacz Dokumentacja łącznika usługi Microsoft Sentinel.

    3. W polu Identyfikator dzierżawy wybierz identyfikator dzierżawy firmy Microsoft Entra.

    4. Po zakończeniu wybierz pozycję Zaloguj.

  8. Jeśli wcześniej wybrano element Playbook z wyzwalaczem jednostki, wybierz typ jednostki, którą ten podręcznik ma odbierać jako dane wejściowe.

    Zrzut ekranu przedstawia podręcznik przepływu pracy Zużycie z wyzwalaczem jednostki i dostępnymi typami jednostek, które mają być wybierane do ustawiania schematu podręcznika.

Monity dotyczące uwierzytelniania

Po dodaniu wyzwalacza lub kolejnej akcji wymagającej uwierzytelnienia może zostać wyświetlony monit o wybranie spośród dostępnych typów uwierzytelniania obsługiwanych przez odpowiedniego dostawcę zasobów. W tym przykładzie wyzwalacz usługi Microsoft Sentinel jest pierwszą operacją dodaną do przepływu pracy. Dlatego dostawca zasobów to Microsoft Sentinel, który obsługuje kilka opcji uwierzytelniania. Więcej informacji można znaleźć w następującej dokumentacji:

Dodawanie akcji do podręcznika

Teraz, gdy masz przepływ pracy dla podręcznika, zdefiniuj, co się stanie po wywołaniu podręcznika. Dodaj akcje, warunki logiczne, pętle lub warunki wielkości liter przełącznika, wybierając znak plus (+) w projektancie. Aby uzyskać więcej informacji, zobacz Tworzenie przepływu pracy z wyzwalaczem lub akcją.

To zaznaczenie otwiera okienko Dodawanie akcji , w którym można przeglądać lub wyszukiwać usługi, aplikacje, systemy, akcje przepływu sterowania i nie tylko. Po wprowadzeniu terminów wyszukiwania lub wybraniu żądanego zasobu na liście wyników są wyświetlane dostępne akcje.

W każdej akcji po wybraniu wewnątrz pola uzyskasz następujące opcje:

  • Zawartość dynamiczna (ikona błyskawicy): wybierz jedną z listy dostępnych danych wyjściowych z poprzednich akcji w przepływie pracy, w tym wyzwalacza usługi Microsoft Sentinel. Na przykład te dane wyjściowe mogą zawierać atrybuty alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i szczegółów niestandardowych w alercie lub incydencie. Możesz dodać odwołania do bieżącej akcji, wybierając te dane wyjściowe.

    Przykłady pokazujące używanie zawartości dynamicznej można znaleźć w następujących sekcjach:

  • Edytor wyrażeń (ikona funkcji): wybierz jedną z dużej biblioteki funkcji, aby dodać więcej logiki do przepływu pracy.

Aby uzyskać więcej informacji, zobacz Obsługiwane wyzwalacze i akcje w podręcznikach usługi Microsoft Sentinel.

Zawartość dynamiczna: podręczniki jednostek bez identyfikatora zdarzenia

Podręczniki utworzone za pomocą wyzwalacza jednostki usługi Microsoft Sentinel często używają pola Identyfikator zdarzenia usługi ARM, na przykład w celu zaktualizowania zdarzenia po wykonaniu akcji w jednostce. Jeśli taki podręcznik zostanie wyzwolony w scenariuszu, który nie jest połączony ze zdarzeniem, na przykład w przypadku wyszukiwania zagrożeń, nie ma identyfikatora zdarzenia do wypełnienia tego pola. Zamiast tego pole jest wypełniane wartością null. W związku z tym podręcznik może zakończyć się niepowodzeniem.

Aby zapobiec temu awarii, zalecamy utworzenie warunku sprawdzającego wartość w polu identyfikatora zdarzenia przed wykonaniem innych akcji przez przepływ pracy. Możesz przepisać inny zestaw akcji do wykonania, jeśli pole ma wartość null, ponieważ podręcznik nie jest uruchamiany ze zdarzenia.

  1. W przepływie pracy przed pierwszą akcją odwołującą się do pola Identyfikator zdarzenia usługi ARM wykonaj następujące ogólne kroki, aby dodać akcję Warunek.

  2. W okienku Warunek w wierszu warunku wybierz lewe pole Wybierz wartość , a następnie wybierz opcję Zawartość dynamiczna (ikona błyskawicy).

  3. Z listy zawartości dynamicznej w obszarze Incydent usługi Microsoft Sentinel użyj pola wyszukiwania, aby znaleźć i wybrać identyfikator zdarzenia usługi ARM.

    Napiwek

    Jeśli dane wyjściowe nie są wyświetlane na liście, obok nazwy wyzwalacza wybierz pozycję Zobacz więcej.

  4. W środkowym polu z listy operatorów wybierz pozycję nie jest równa.

  5. W prawym polu Wybierz wartość i wybierz opcję edytora wyrażeń (ikona funkcji).

  6. W edytorze wprowadź wartość null, a następnie wybierz pozycję Dodaj.

Po zakończeniu warunek wygląda podobnie do następującego przykładu:

Zrzut ekranu przedstawia dodatkowy warunek do dodania przed polem Identyfikator zdarzenia usługi ARM.

Zawartość dynamiczna: praca ze szczegółami niestandardowymi

W wyzwalaczu zdarzenia usługi Microsoft Sentinel dane wyjściowe szczegółów niestandardowych alertu to tablica obiektów JSON, w których każdy reprezentuje szczegóły niestandardowe z alertu. Szczegóły niestandardowe to pary klucz-wartość, które umożliwiają prezentowanie informacji zdarzeń w alercie, dzięki czemu mogą być reprezentowane, śledzone i analizowane w ramach zdarzenia.

To pole w alercie można dostosować, więc jego schemat zależy od typu zdarzenia, które jest wyświetlane. Aby wygenerować schemat określający sposób analizowania danych wyjściowych szczegółów niestandardowych, podaj dane z wystąpienia tego zdarzenia:

  1. W menu obszaru roboczego usługi Microsoft Sentinel w obszarze Konfiguracja wybierz pozycję Analiza.

  2. Wykonaj kroki, aby utworzyć lub otworzyć istniejącą zaplanowaną regułę zapytania lub regułę zapytania NRT.

  3. Na karcie Ustawianie logiki reguły rozwiń sekcję Szczegóły niestandardowe, na przykład:

    Zrzut ekranu przedstawiający szczegóły niestandardowe zdefiniowane w regule analizy.

    Poniższa tabela zawiera więcej informacji na temat tych par klucz-wartość:

    Towar Lokalizacja opis
    Klawisz Lewa kolumna Reprezentuje utworzone pola niestandardowe.
    Wartość Prawa kolumna Reprezentuje pola z danych zdarzeń, które wypełniają pola niestandardowe.
  4. Aby wygenerować schemat, podaj następujący przykładowy kod JSON:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
    

    Kod przedstawia nazwy kluczy jako tablice oraz wartości jako elementy w tablicach. Wartości są wyświetlane jako wartości rzeczywiste, a nie kolumna zawierająca wartości.

Aby użyć pól niestandardowych dla wyzwalaczy zdarzeń, wykonaj następujące kroki dla przepływu pracy:

  1. W projektancie przepływu pracy w obszarze wyzwalacza zdarzenia usługi Microsoft Sentinel dodaj wbudowaną akcję o nazwie Przeanalizuj kod JSON.

  2. Wybierz wewnątrz akcji parametr Content (Zawartość ) i wybierz opcję listy zawartości dynamicznej (ikona błyskawicy).

  3. Z listy w sekcji wyzwalacza zdarzenia znajdź i wybierz pozycję Szczegóły niestandardowe alertu, na przykład:

    Zrzut ekranu przedstawiający wybraną pozycję Szczegóły niestandardowe alertu na liście zawartości dynamicznej.

    To zaznaczenie automatycznie dodaje pętlę Dla każdej pętli wokół analizowania kodu JSON , ponieważ zdarzenie zawiera tablicę alertów.

  4. W okienku Analizowanie informacji JSON wybierz pozycję Użyj przykładowego ładunku do wygenerowania schematu, na przykład:

    Zrzut ekranu przedstawiający wybór opcji Użyj przykładowego ładunku do wygenerowania linku schematu.

  5. W polu Wprowadź lub wklej przykładowy ładunek JSON podaj przykładowy ładunek i wybierz pozycję Gotowe.

    Na przykład możesz znaleźć przykładowy ładunek, wyszukując w usłudze Log Analytics inne wystąpienie tego alertu, a następnie kopiując niestandardowy obiekt szczegółów, który można znaleźć w obszarze Właściwości rozszerzone. Aby uzyskać dostęp do danych usługi Log Analytics, przejdź do strony Dzienniki w witrynie Azure Portal lub na stronie Zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender.

    W poniższym przykładzie pokazano wcześniejszy przykładowy kod JSON:

    Zrzut ekranu przedstawia przykładowy ładunek JSON.

    Po zakończeniu pole Schemat zawiera teraz wygenerowany schemat na podstawie podanego przykładu. Akcja Przeanalizuj kod JSON tworzy pola niestandardowe, których można teraz używać jako pól dynamicznych z typem tablicy w kolejnych akcjach przepływu pracy.

    W poniższym przykładzie przedstawiono tablicę i jej elementy, zarówno w schemacie, jak i na liście zawartości dynamicznej dla kolejnej akcji o nazwie Compose:

    Zrzut ekranu przedstawia gotowe do użycia pól dynamicznych ze schematu.

Zarządzanie podręcznikami

Wybierz kartę Aktywnych podręczników usługi Automation > , aby wyświetlić wszystkie podręczniki , do których masz dostęp, filtrowane według widoku subskrypcji.

Po dołączeniu do portalu usługi Microsoft Defender domyślnie karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. W witrynie Azure Portal zmodyfikuj wyświetlane subskrypcje z menu Katalog i subskrypcja w nagłówku globalnej strony platformy Azure.

Karta Aktywne elementy playbook zawiera wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach, ale domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że w szczególności przyznasz uprawnienia usługi Microsoft Sentinel do grupy zasobów podręcznika.

Karta Aktywne podręczniki zawiera podręczniki z następującymi szczegółami:

Nazwa kolumny opis
Stan Wskazuje, czy podręcznik jest włączony, czy wyłączony.
Planowanie Wskazuje, czy podręcznik używa typu zasobu Usługi Azure Logic Apps w warstwie Standardowa lub Zużycie .

Podręczniki typu Standard używają LogicApp/Workflow konwencji nazewnictwa, która odzwierciedla sposób, w jaki podręcznik w warstwie Standardowa reprezentuje przepływ pracy, który istnieje obok innych przepływów pracy w jednej aplikacji logiki.

Aby uzyskać więcej informacji, zobacz Podręczniki usługi Azure Logic Apps for Microsoft Sentinel.
Rodzaj wyzwalacza Wskazuje wyzwalacz w usłudze Azure Logic Apps, który uruchamia ten podręcznik:

- Zdarzenie/alert/jednostka usługi Microsoft Sentinel: podręcznik jest uruchamiany z jednym z wyzwalaczy usługi Sentinel, w tym zdarzenia, alertu lub jednostki
- Korzystanie z akcji usługi Microsoft Sentinel: podręcznik jest uruchamiany z wyzwalaczem usługi Microsoft Sentinel, ale używa akcji usługi Microsoft Sentinel
- Inne: podręcznik nie zawiera żadnych składników usługi Microsoft Sentinel
- Nie zainicjowano: podręcznik został utworzony, ale nie zawiera żadnych składników, ani nie wyzwala żadnych akcji.

Wybierz podręcznik, aby otworzyć stronę usługi Azure Logic Apps, która zawiera więcej szczegółów dotyczących podręcznika. Na stronie Azure Logic Apps:

  • Wyświetlanie dziennika wszystkich czasów uruchomienia podręcznika
  • Wyświetlanie wyników przebiegu, w tym sukcesów i niepowodzeń oraz innych szczegółów
  • Jeśli masz odpowiednie uprawnienia, otwórz projektanta przepływu pracy w usłudze Azure Logic Apps, aby bezpośrednio edytować podręcznik

Po utworzeniu podręcznika dołącz go do reguł, które mają być wyzwalane przez zdarzenia w danym środowisku, lub ręcznie uruchom podręczniki dotyczące określonych zdarzeń, alertów lub jednostek.

Aby uzyskać więcej informacji, zobacz: