Udostępnij za pośrednictwem


Automatyzowanie i uruchamianie podręczników usługi Microsoft Sentinel

Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na całe zdarzenie, do pojedynczego alertu lub do określonej jednostki. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź. Można go ustawić tak, aby był uruchamiany automatycznie po wygenerowaniu określonych alertów lub utworzeniu lub zaktualizowaniu zdarzeń przez dołączanie do reguły automatyzacji. Można go również uruchamiać ręcznie na żądanie dla określonych zdarzeń, alertów lub jednostek.

W tym artykule opisano sposób dołączania podręczników do reguł analizy lub reguł automatyzacji albo ręcznego uruchamiania podręczników dotyczących określonych zdarzeń, alertów lub jednostek.

Uwaga

Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskasz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony usługi Logic Apps. Mogą obowiązywać dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz podręcznik dostępny do automatyzowania lub uruchamiania z zdefiniowanym wyzwalaczem, warunkami i akcjami. Aby uzyskać więcej informacji, zobacz Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi.

Wymagane role platformy Azure do uruchamiania podręczników

Do uruchamiania podręczników potrzebne są następujące role platformy Azure:

Rola Opis
Właściciel Umożliwia udzielanie dostępu do podręczników w grupie zasobów.
Współautor usługi Microsoft Sentinel Dołączanie podręcznika do reguły analizy lub reguły automatyzacji
Osoba odpowiadająca w usłudze Microsoft Sentinel Uzyskiwanie dostępu do zdarzenia w celu ręcznego uruchomienia podręcznika. Aby faktycznie uruchomić podręcznik, potrzebne są również następujące role:

- Operator podręcznika usługi Microsoft Sentinel do ręcznego uruchamiania podręcznika
- Rola współautora automatyzacji usługi Microsoft Sentinel umożliwia uruchamianie podręczników przez reguły automatyzacji.

Aby uzyskać więcej informacji, zobacz wymagania wstępne podręcznika.

Dodatkowe uprawnienia wymagane do uruchamiania podręczników dotyczących zdarzeń

Usługa Microsoft Sentinel używa konta usługi do uruchamiania podręczników dotyczących zdarzeń, dodawania zabezpieczeń i włączania interfejsu API reguł automatyzacji w celu obsługi przypadków użycia ciągłej integracji/ciągłego wdrażania. To konto usługi jest używane na potrzeby podręczników wyzwalanych przez zdarzenia lub ręcznego uruchamiania podręcznika w określonym zdarzeniu.

Oprócz własnych ról i uprawnień to konto usługi Microsoft Sentinel musi mieć własny zestaw uprawnień do grupy zasobów, w której znajduje się podręcznik, w postaci roli Współautor automatyzacji usługi Microsoft Sentinel. Gdy usługa Microsoft Sentinel ma tę rolę, może uruchomić dowolny podręcznik w odpowiedniej grupie zasobów, ręcznie lub z reguły automatyzacji.

Aby przyznać usłudze Microsoft Sentinel wymagane uprawnienia, musisz mieć rolę administratora dostępu właściciela lub użytkownika. Aby uruchomić podręczniki, musisz również mieć rolę Współautor aplikacji logiki w grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

Konfigurowanie uprawnień podręcznika dla zdarzeń we wdrożeniu wielodostępnym

W przypadku wdrożenia wielodostępnego, jeśli podręcznik, który chcesz uruchomić, znajduje się w innej dzierżawie, musisz przyznać konto usługi Microsoft Sentinel z uprawnieniami do uruchamiania podręcznika w dzierżawie podręcznika.

  1. W menu nawigacji usługi Microsoft Sentinel w dzierżawie podręczników wybierz pozycję Ustawienia.

  2. Na stronie Ustawienia wybierz kartę Ustawienia, a następnie rozwiń węzeł Uprawnienia podręcznika.

  3. Wybierz przycisk Konfiguruj uprawnienia, aby otworzyć panel Zarządzanie uprawnieniami.

  4. Zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj. Na przykład:

    Zrzut ekranu przedstawiający sekcję akcji z wybranym elementem playbook uruchom.

Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Operator podręcznika usługi Microsoft Sentinel w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

Jeśli w scenariuszu programu MSSP chcesz uruchomić podręcznik w dzierżawie klienta z reguły automatyzacji utworzonej podczas logowania do dzierżawy dostawcy usług, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w obu dzierżawach:

  • W dzierżawie klienta postępuj zgodnie ze standardowymi instrukcjami dotyczącymi wdrożenia wielodostępu.

  • W dzierżawie dostawcy usług dodaj aplikację Azure Security Insights w szablonie dołączania usługi Azure Lighthouse w następujący sposób:

    1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID i wybierz pozycję Aplikacje dla przedsiębiorstw.
    2. Wybierz pozycję Typ aplikacji i filtruj w obszarze Aplikacje firmy Microsoft.
    3. W polu wyszukiwania wprowadź Azure Security Insights.
    4. Skopiuj pole Identyfikator obiektu. Musisz dodać tę dodatkową autoryzację do istniejącego delegowania usługi Azure Lighthouse.

Rola Współautor automatyzacji usługi Microsoft Sentinel ma stały identyfikator GUID .f4c81013-99ee-4d62-a7ee-b3f1f648599a Przykładowa autoryzacja usługi Azure Lighthouse wygląda następująco w szablonie parametrów:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Automatyzowanie odpowiedzi na zdarzenia i alerty

Aby automatycznie reagować na całe zdarzenia lub poszczególne alerty za pomocą podręcznika, utwórz regułę automatyzacji uruchamianą po utworzeniu lub zaktualizowaniu zdarzenia lub wygenerowaniu alertu. Ta reguła automatyzacji zawiera krok, który wywołuje podręcznik, którego chcesz użyć.

Aby utworzyć regułę automatyzacji:

  1. Na stronie Automatyzacja w menu nawigacji usługi Microsoft Sentinel wybierz pozycję Utwórz z górnego menu, a następnie pozycję Reguła usługi Automation. Na przykład:

    Zrzut ekranu przedstawiający sposób dodawania nowej reguły automatyzacji.

  2. Zostanie otwarty panel Tworzenie nowej reguły automatyzacji. Wprowadź nazwę reguły. Opcje różnią się w zależności od tego, czy obszar roboczy jest dołączony do portalu usługi Microsoft Defender. Na przykład:

  3. Wyzwalacz: wybierz odpowiedni wyzwalacz zgodnie z okolicznościami, dla których tworzysz regułę automatyzacji — po utworzeniu zdarzenia, zaktualizowaniu zdarzenia lub utworzeniu alertu.

  4. Warunki:

    1. Jeśli obszar roboczy nie został jeszcze dołączony do portalu usługi Defender, zdarzenia mogą mieć dwa możliwe źródła:

      Jeśli wybrano jeden z wyzwalaczy zdarzenia i chcesz, aby reguła automatyzacji weszła w życie tylko na zdarzeniach źródłowych w usłudze Microsoft Sentinel lub alternatywnie w usłudze Microsoft Defender XDR, określ źródło w polu Jeśli dostawca zdarzenia jest równy warunek.

      Ten warunek jest wyświetlany tylko wtedy, gdy wybrano wyzwalacz zdarzenia, a obszar roboczy nie jest dołączany do portalu usługi Defender.

    2. W przypadku wszystkich typów wyzwalaczy, jeśli chcesz, aby reguła automatyzacji obowiązywała tylko dla określonych reguł analizy, określ te, które zmodyfikując nazwę reguły If Analytics zawiera warunek.

    3. Dodaj inne warunki, które chcesz określić, czy ta reguła automatyzacji jest uruchamiana. Wybierz pozycję + Dodaj i wybierz z listy rozwijanej warunki lub grupy warunków. Lista warunków jest wypełniana szczegółami alertu i polami identyfikatora jednostki.

  5. Akcje:

    1. Ponieważ używasz tej reguły automatyzacji do uruchamiania podręcznika, wybierz akcję Uruchom podręcznik z listy rozwijanej. Następnie zostanie wyświetlony monit o wybranie z drugiej listy rozwijanej zawierającej dostępne podręczniki. Reguła automatyzacji może uruchamiać tylko te podręczniki rozpoczynające się od tego samego wyzwalacza (zdarzenia lub alertu) co wyzwalacz zdefiniowany w regule, więc na liście są wyświetlane tylko te podręczniki.

      Jeśli na liście rozwijanej pojawi się element playbook, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do grupy zasobów tego podręcznika. Wybierz link Zarządzaj uprawnieniami podręcznika, aby przypisać uprawnienia.

      W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj. Na przykład:

      Zrzut ekranu przedstawiający sekcję akcji z wybranym elementem playbook uruchom.

      Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Operator podręcznika usługi Microsoft Sentinel w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

      Aby uzyskać więcej informacji, zobacz Dodatkowe uprawnienia wymagane do uruchamiania podręczników dotyczących zdarzeń.

    2. Dodaj inne akcje dla tej reguły. Kolejność wykonywania akcji można zmienić, wybierając strzałki w górę lub w dół po prawej stronie dowolnej akcji.

  6. Ustaw datę wygaśnięcia reguły automatyzacji, jeśli chcesz ją mieć.

  7. Wprowadź liczbę w obszarze Kolejność , aby określić, gdzie w kolejności reguł automatyzacji ta reguła jest uruchamiana.

  8. Wybierz pozycję Zastosuj , aby ukończyć automatyzację.

Aby uzyskać więcej informacji, zobacz Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi.

Reagowanie na alerty — starsza metoda

Innym sposobem automatycznego uruchamiania podręczników w odpowiedzi na alerty jest wywołanie ich z reguły analizy. Gdy reguła wygeneruje alert, podręcznik zostanie uruchomiony.

Ta metoda zostanie wycofana z marca 2026 r.

Od czerwca 2023 r. nie można już dodawać podręczników do reguł analizy w ten sposób. Jednak nadal można zobaczyć istniejące podręczniki wywoływane z reguł analizy, a te podręczniki będą nadal działać do marca 2026 roku. Zdecydowanie zachęcamy do tworzenia reguł automatyzacji w celu wywołania tych podręczników przed tym.

Ręczne uruchamianie podręcznika na żądanie

Możesz również ręcznie uruchomić podręcznik na żądanie, zarówno w odpowiedzi na alerty, zdarzenia, jak i jednostki. Może to być przydatne w sytuacjach, w których potrzebujesz większej ilości danych wejściowych człowieka i kontroli nad procesami aranżacji i odpowiedzi.

Ręczne uruchamianie podręcznika w alercie

Ta procedura nie jest obsługiwana w portalu usługi Defender.

W witrynie Azure Portal wybierz jedną z następujących kart zgodnie z potrzebami środowiska:

  1. Na stronie Incydenty wybierz zdarzenie, a następnie wybierz pozycję Wyświetl pełne szczegóły, aby otworzyć stronę szczegółów zdarzenia.

  2. Na stronie szczegółów zdarzenia w widżecie oś czasu zdarzenia wybierz alert, na którym chcesz uruchomić podręcznik. Wybierz trzy kropki na końcu wiersza alertu i wybierz pozycję Uruchom element playbook z menu podręcznego.

    Zrzut ekranu przedstawiający uruchamianie podręcznika dla alertu na żądanie.

  3. Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps alertów usługi Microsoft Sentinel, do którego masz dostęp.

  4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

Historię uruchamiania podręczników w alercie można wyświetlić, wybierając kartę Uruchomienia w okienku Podręczniki alertów . Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w zdarzeniu

Ta procedura różni się w zależności od tego, czy pracujesz w witrynie Azure Portal, czy w portalu usługi Defender. Wybierz odpowiednią kartę dla środowiska:

  1. Na stronie Incydenty wybierz zdarzenie.

  2. W okienku szczegółów zdarzenia, które jest wyświetlane po stronie, wybierz pozycję Akcje > Uruchom podręcznik.

    Wybranie trzech kropek na końcu wiersza zdarzenia w siatce lub kliknięcie prawym przyciskiem myszy incydentu powoduje wyświetlenie tej samej listy co przycisk Akcja .

  3. Po stronie zostanie otwarty element playbook Run playbook on incident (Uruchamianie elementu playbook na panelu zdarzeń ). Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych za pomocą wyzwalacza usługi Logic Apps zdarzenia usługi Microsoft Sentinel, do którego masz dostęp.

    Jeśli nie widzisz podręcznika, który chcesz uruchomić na liście, oznacza to, że usługa Microsoft Sentinel nie ma uprawnień do uruchamiania podręczników w tej grupie zasobów.

    Aby przyznać te uprawnienia, wybierz pozycję Ustawienia Ustawienia>>Uprawnienia>podręcznika Konfigurowanie uprawnień. W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

    Aby uzyskać informacje, zobacz Dodatkowe uprawnienia wymagane do uruchamiania podręczników dotyczących zdarzeń.

  4. Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.

    Musisz mieć rolę operatora podręcznika usługi Microsoft Sentinel w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić. Jeśli nie możesz uruchomić podręcznika z powodu braku uprawnień, zalecamy skontaktowanie się z administratorem w celu udzielenia Ci odpowiednich uprawnień. Aby uzyskać więcej informacji, zobacz Wymagania wstępne podręcznika usługi Microsoft Sentinel.

Wyświetl historię uruchamiania podręczników dotyczących incydentu, wybierając kartę Uruchomienia na panelu Run playbook on incident (Uruchamianie). Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Ręczne uruchamianie podręcznika w jednostce

Ta procedura nie jest obsługiwana w portalu usługi Defender.

Wybierz jednostkę na jeden z następujących sposobów, w zależności od kontekstu źródłowego:

Jeśli jesteś na stronie szczegółów zdarzenia (nowa wersja):

W widżecie Jednostki na karcie Przegląd znajdź jednostkę i wykonaj jedną z następujących czynności:

  • Nie wybieraj jednostki. Zamiast tego wybierz trzy kropki po prawej stronie jednostki, a następnie wybierz pozycję Uruchom podręcznik. Znajdź element playbook, który chcesz uruchomić, i wybierz pozycję Uruchom w wierszu tego podręcznika.

  • Wybierz jednostkę, aby otworzyć kartę Jednostki na stronie szczegółów zdarzenia. Znajdź jednostkę na liście i wybierz trzy kropki po prawej stronie. Znajdź element playbook, który chcesz uruchomić, i wybierz pozycję Uruchom w wierszu tego podręcznika.

  • Wybierz jednostkę i przejdź do strony szczegółów jednostki. Następnie wybierz przycisk Uruchom podręcznik w panelu po lewej stronie. Znajdź element playbook, który chcesz uruchomić, i wybierz pozycję Uruchom w wierszu tego podręcznika.

Niezależnie od kontekstu, z którego pochodzisz, ostatnim krokiem tej procedury jest panel Run playbook on entity type (Uruchamianie elementu playbook na< panelu typu> jednostki). Ten panel zawiera listę wszystkich podręczników, do których masz dostęp, które zostały skonfigurowane za pomocą wyzwalacza jednostki usługi Microsoft Sentinel dla wybranego typu jednostki.

W okienku *Run playbook on entity type (Uruchamianie elementu playbook w <typie> jednostki) wybierz kartę Uruchomienia, aby wyświetlić historię uruchamiania podręcznika dla danej jednostki. Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.

Aby uzyskać więcej informacji, zobacz: