Konfigurowanie automatyzacji w usłudze Microsoft Sentinel
Co to są reguły automatyzacji i podręczniki?
Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel. Można ich używać do automatycznego przypisywania zdarzeń do odpowiedniego personelu, zamykania hałaśliwych zdarzeń lub znanych wyników fałszywie dodatnich, zmiany ich ważności i dodawania tagów. Są one również mechanizmem, za pomocą którego można uruchamiać podręczniki w odpowiedzi na zdarzenia lub alerty.
Podręczniki to kolekcje procedur, które można uruchamiać z usługi Microsoft Sentinel w odpowiedzi na całe zdarzenie, do pojedynczego alertu lub do określonej jednostki. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź. Można go ustawić tak, aby był uruchamiany automatycznie po wygenerowaniu określonych alertów lub utworzeniu lub zaktualizowaniu zdarzeń przez dołączanie do reguły automatyzacji. Można go również uruchamiać ręcznie na żądanie dla określonych zdarzeń, alertów lub jednostek.
Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, co oznacza, że uzyskasz wszystkie możliwości, możliwości dostosowywania i wbudowane szablony usługi Logic Apps. Każdy podręcznik jest tworzony dla określonej subskrypcji, do której należy, ale na ekranie Podręczniki są wyświetlane wszystkie podręczniki dostępne w dowolnej wybranej subskrypcji.
Jeśli na przykład chcesz zatrzymać potencjalnie naruszone zabezpieczenia użytkowników przed poruszaniem się po sieci i kradzieżą informacji, możesz utworzyć zautomatyzowaną, wielowymiarową odpowiedź na zdarzenia generowane przez reguły, które wykrywają naruszonych użytkowników. Zacznij od utworzenia podręcznika, który wykonuje następujące czynności:
Gdy podręcznik jest wywoływany przez regułę automatyzacji przekazującą zdarzenie, podręcznik otwiera bilet w usłudze ServiceNow lub innym systemie obsługi biletów IT.
Wysyła komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack , aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.
Wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.
Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.
Jeśli administratorzy wybierają pozycję Blokuj, wysyła polecenie do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika, a jeden z nich do zapory w celu zablokowania adresu IP.
Jeśli administratorzy wybiorą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.
Aby wyzwolić podręcznik, utworzysz regułę automatyzacji uruchamianą po wygenerowaniu tych zdarzeń. Ta reguła podejmie następujące kroki:
Reguła zmienia stan zdarzenia na Aktywny.
Przypisuje zdarzenie do analityka, który ma za zadanie zarządzać tym typem zdarzenia.
Dodaje tag "naruszonego użytkownika".
Na koniec wywołuje właśnie utworzony podręcznik. (Do tego kroku są wymagane specjalne uprawnienia).
Podręczniki można uruchamiać automatycznie w odpowiedzi na zdarzenia, tworząc reguły automatyzacji, które nazywają podręczniki jako akcje, jak w powyższym przykładzie. Można je również uruchamiać automatycznie w odpowiedzi na alerty, informując regułę analizy o automatycznym uruchomieniu co najmniej jednego podręcznika po wygenerowaniu alertu.
Możesz również uruchomić podręcznik ręcznie na żądanie jako odpowiedź na wybrany alert.
Uzyskaj bardziej kompletne i szczegółowe wprowadzenie do automatyzacji reagowania na zagrożenia przy użyciu reguł automatyzacji i podręczników w usłudze Microsoft Sentinel.
Tworzenie podręcznika
Wykonaj następujące kroki, aby utworzyć nowy podręcznik w usłudze Microsoft Sentinel:
- W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.
- W górnym menu wybierz pozycję Utwórz.
- Menu rozwijane wyświetlane w obszarze Utwórz daje cztery opcje tworzenia podręczników:
- Jeśli tworzysz podręcznik w warstwie Standardowa (nowy rodzaj — zobacz Typy aplikacji logiki), wybierz pozycję Pusty podręcznik , a następnie postępuj zgodnie z instrukcjami na karcie Logic Apps Standard poniżej.
- Jeśli tworzysz podręcznik Zużycie (oryginalny, klasyczny), w zależności od wyzwalacza jednostki wybierz element Playbook z wyzwalaczem zdarzenia, element Playbook z wyzwalaczem alertu lub element playbook z wyzwalaczem jednostki. Następnie wykonaj poniższe kroki na karcie Użycie usługi Logic Apps.
- Jeśli tworzysz podręcznik w warstwie Standardowa (nowy rodzaj — zobacz Typy aplikacji logiki), wybierz pozycję Pusty podręcznik , a następnie postępuj zgodnie z instrukcjami na karcie Logic Apps Standard poniżej.
Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel. Aby uzyskać więcej informacji na temat wyzwalacza do użycia, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.
Na karcie Podstawy :
Wybierz pozycję Subskrypcja, Grupa zasobów i Region wybranego z odpowiednich list rozwijanych. Wybrany region to miejsce, w którym będą przechowywane informacje o aplikacji logiki.
Wprowadź nazwę podręcznika w obszarze Nazwa podręcznika.
Jeśli chcesz monitorować aktywność tego podręcznika w celach diagnostycznych, zaznacz pole wyboru Włącz dzienniki diagnostyczne w usłudze Log Analytics i wybierz obszar roboczy usługi Log Analytics z listy rozwijanej.
Jeśli podręczniki potrzebują dostępu do chronionych zasobów, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z nimi, może być konieczne użycie środowiska usługi integracji (ISE). Jeśli tak, zaznacz pole wyboru Skojarz ze środowiskiem usługi integracji i wybierz z listy rozwijanej żądane środowisko ISE.
Wybierz pozycję Dalej: Połączenie ions>.
Na karcie Połączenie ions:
Najlepiej pozostawić tę sekcję tak, jak to jest, konfigurując usługę Logic Apps w celu nawiązania połączenia z usługą Microsoft Sentinel przy użyciu tożsamości zarządzanej. Dowiedz się więcej o tych i innych alternatywach uwierzytelniania.
Wybierz pozycję Dalej: Przejrzyj i utwórz>.
Na karcie Przeglądanie i tworzenie:
Przejrzyj dokonane opcje konfiguracji, a następnie wybierz pozycję Utwórz i przejdź do projektanta.
Tworzenie i wdrażanie podręcznika potrwa kilka minut, po czym zostanie wyświetlony komunikat "Wdrożenie zostało ukończone" i nastąpi przekierowanie do nowej aplikacji logiki podręcznika Projektant. Wyzwalacz wybrany na początku zostanie automatycznie dodany jako pierwszy krok i możesz kontynuować projektowanie przepływu pracy.
Jeśli wybrano wyzwalacz jednostki Usługi Microsoft Sentinel (wersja zapoznawcza), wybierz typ jednostki, którą ten podręcznik ma odbierać jako dane wejściowe.
Dodawanie akcji
Teraz możesz zdefiniować, co się stanie po wywołaniu podręcznika. Akcje, warunki logiczne, pętle lub warunki przypadku przełącznika można dodawać, wybierając pozycję Nowy krok. To zaznaczenie otwiera nową ramkę w projektancie, w której można wybrać system lub aplikację do interakcji z lub warunek do ustawienia. Wprowadź nazwę systemu lub aplikacji na pasku wyszukiwania w górnej części ramki, a następnie wybierz spośród dostępnych wyników.
W każdym z tych kroków kliknięcie dowolnego pola powoduje wyświetlenie panelu z dwoma menu: zawartość dynamiczna i wyrażenie. W menu Zawartość dynamiczna można dodawać odwołania do atrybutów alertu lub zdarzenia przekazanego do podręcznika, w tym wartości i atrybuty wszystkich zamapowanych jednostek i szczegółów niestandardowych zawartych w alercie lub incydencie. W menu Wyrażenie możesz wybrać dużą bibliotekę funkcji, aby dodać dodatkową logikę do kroków.
Ten zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia podręcznika opisanego w przykładzie na początku tego dokumentu. Dowiedz się więcej o dodawaniu akcji do podręczników.
Zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel, aby uzyskać szczegółowe informacje o akcjach, które można dodać do podręczników w różnych celach.
W szczególności należy pamiętać o ważnych informacjach dotyczących podręczników opartych na wyzwalaczu jednostki w kontekście niezdarnym.
Automatyzowanie odpowiedzi na zagrożenia
Element playbook został utworzony i zdefiniowany wyzwalacz, ustawił warunki i przepisał akcje, które zostaną wykonane, oraz dane wyjściowe, które zostaną utworzone. Teraz należy określić kryteria uruchamiania i skonfigurować mechanizm automatyzacji, który będzie uruchamiany po spełnieniu tych kryteriów.
Reagowanie na zdarzenia i alerty
Aby użyć podręcznika do automatycznego reagowania na całe zdarzenie lub do pojedynczego alertu, utwórz regułę automatyzacji, która będzie uruchamiana po utworzeniu lub zaktualizowaniu zdarzenia lub wygenerowaniu alertu. Ta reguła automatyzacji będzie zawierać krok, który wywołuje podręcznik, którego chcesz użyć.
Aby utworzyć regułę automatyzacji:
- Na stronie Automatyzacja w menu nawigacji usługi Microsoft Sentinel wybierz pozycję Utwórz z górnego menu, a następnie pozycję Reguła usługi Automation.
- Zostanie otwarty panel Tworzenie nowej reguły automatyzacji. Wprowadź nazwę reguły. Opcje różnią się w zależności od tego, czy obszar roboczy jest dołączony do ujednoliconej platformy operacji zabezpieczeń. Na przykład:
- Wyzwalacz: wybierz odpowiedni wyzwalacz zgodnie z okolicznościami, dla których tworzysz regułę automatyzacji — po utworzeniu zdarzenia, po zaktualizowaniu zdarzenia lub utworzeniu alertu.
- Warunki:
- Jeśli obszar roboczy nie został jeszcze dołączony do ujednoliconej platformy operacji zabezpieczeń, zdarzenia mogą mieć dwa możliwe źródła:
- Zdarzenia można tworzyć w usłudze Microsoft Sentinel
- Zdarzenia można importować z usługi Microsoft Defender XDR i synchronizować z usługą Microsoft Defender.
- Zdarzenia można tworzyć w usłudze Microsoft Sentinel
- Jeśli wybrano jeden z wyzwalaczy zdarzenia i chcesz, aby reguła automatyzacji weszła w życie tylko na zdarzeniach źródłowych w usłudze Microsoft Sentinel lub alternatywnie w usłudze Microsoft Defender XDR, określ źródło w polu Jeśli dostawca zdarzenia jest równy warunek.
- Ten warunek będzie wyświetlany tylko wtedy, gdy zostanie wybrany wyzwalacz zdarzenia, a obszar roboczy nie zostanie dołączony do ujednoliconej platformy operacji zabezpieczeń.
- W przypadku wszystkich typów wyzwalaczy, jeśli chcesz, aby reguła automatyzacji obowiązywała tylko dla określonych reguł analizy, określ te, które zmodyfikując nazwę reguły If Analytics zawiera warunek.
- Dodaj inne warunki, które chcesz określić, czy ta reguła automatyzacji zostanie uruchomiona. Wybierz pozycję + Dodaj i wybierz z listy rozwijanej warunki lub grupy warunków. Lista warunków jest wypełniana szczegółami alertu i polami identyfikatora jednostki.
- Jeśli obszar roboczy nie został jeszcze dołączony do ujednoliconej platformy operacji zabezpieczeń, zdarzenia mogą mieć dwa możliwe źródła:
- Akcje:
- Ponieważ używasz tej reguły automatyzacji do uruchamiania podręcznika, wybierz akcję Uruchom podręcznik z listy rozwijanej. Następnie zostanie wyświetlony monit o wybranie z drugiej listy rozwijanej zawierającej dostępne podręczniki. Reguła automatyzacji może uruchamiać tylko te podręczniki, które zaczynają się od tego samego wyzwalacza (zdarzenia lub alertu), co wyzwalacz zdefiniowany w regule, więc tylko te podręczniki będą wyświetlane na liście.
Ważne
Usługa Microsoft Sentinel musi mieć jawne uprawnienia, aby można było uruchamiać podręczniki, zarówno ręcznie, jak i z reguł automatyzacji. Jeśli element playbook pojawi się na liście rozwijanej "wyszaryzowany", oznacza to, że usługa Sentinel nie ma uprawnień do grupy zasobów tego podręcznika. Kliknij link Zarządzaj uprawnieniami podręcznika, aby przypisać uprawnienia.
W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie kliknij przycisk Zastosuj.
- Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Współautor aplikacji logiki w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.
- W przypadku wdrożenia wielodostępnego, jeśli podręcznik, który chcesz uruchomić, znajduje się w innej dzierżawie, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w dzierżawie podręcznika.
- W menu nawigacji usługi Microsoft Sentinel w dzierżawie podręczników wybierz pozycję Ustawienia.
- W bloku Ustawienia wybierz kartę Ustawienia, a następnie rozwiń pozycję Uprawnienia podręcznika.
- Kliknij przycisk Konfiguruj uprawnienia, aby otworzyć panel Zarządzanie uprawnieniami wymienionymi powyżej i kontynuować zgodnie z opisem.
W scenariuszu programu MSSP chcesz uruchomić podręcznik w dzierżawie klienta z reguły automatyzacji utworzonej podczas logowania do dzierżawy dostawcy usług, musisz przyznać usłudze Microsoft Sentinel uprawnienie do uruchamiania podręcznika w obu dzierżawach. W dzierżawie klienta postępuj zgodnie z instrukcjami dotyczącymi wielodostępnych wdrożeń w poprzednim punkcie punktorowym. W dzierżawie dostawcy usług należy dodać aplikację Azure Security Szczegółowe informacje w szablonie dołączania usługi Azure Lighthouse:
W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID.
Kliknij pozycję Aplikacje dla przedsiębiorstw.
Wybierz pozycję Typ aplikacji i filtruj w obszarze Aplikacje firmy Microsoft.
W polu wyszukiwania wpisz Azure Security Szczegółowe informacje.
Skopiuj pole Identyfikator obiektu. Musisz dodać tę dodatkową autoryzację do istniejącego delegowania usługi Azure Lighthouse.
Rola Współautor automatyzacji usługi Microsoft Sentinel ma stały identyfikator GUID, który jest f4c81013-99ee-4d62-a7ee-b3f1f648599a
.
Dodaj inne akcje dla tej reguły. Kolejność wykonywania akcji można zmienić, wybierając strzałki w górę lub w dół po prawej stronie dowolnej akcji.
Ustaw datę wygaśnięcia reguły automatyzacji, jeśli chcesz ją mieć.
Wprowadź liczbę w obszarze Kolejność , aby określić, gdzie w kolejności reguł automatyzacji ta reguła zostanie uruchomiona.
Wybierz Zastosuj. Wszystko gotowe!
Reagowanie na alerty — starsza metoda
Innym sposobem automatycznego uruchamiania podręczników w odpowiedzi na alerty jest wywołanie ich z reguły analizy. Gdy reguła wygeneruje alert, podręcznik zostanie uruchomiony.
Ta metoda zostanie wycofana z marca 2026 r.
Od czerwca 2023 r. nie można już dodawać podręczników do reguł analizy w ten sposób. Jednak nadal można zobaczyć istniejące podręczniki wywoływane z reguł analizy, a te podręczniki będą nadal działać do marca 2026 roku. Zdecydowanie zachęcamy do tworzenia reguł automatyzacji w celu wywołania tych podręczników przed tym.
Uruchamianie podręcznika na żądanie
Możesz również ręcznie uruchomić podręcznik na żądanie, niezależnie od tego, czy w odpowiedzi na alerty, zdarzenia (w wersji zapoznawczej) lub jednostki (również w wersji zapoznawczej). Może to być przydatne w sytuacjach, w których potrzebujesz większej ilości danych wejściowych człowieka i kontroli nad procesami aranżacji i odpowiedzi.
Ręczne uruchamianie podręcznika w alercie
Uwaga
Ta procedura nie jest obsługiwana na ujednoliconej platformie operacji zabezpieczeń.
W witrynie Azure Portal wybierz jedną z następujących kart zgodnie z potrzebami środowiska:
Na stronie Incydenty wybierz zdarzenie. W witrynie Azure Portal wybierz pozycję Wyświetl pełne szczegóły w dolnej części okienka szczegółów zdarzenia, aby otworzyć stronę szczegółów zdarzenia.
Na stronie szczegółów zdarzenia w widżecie oś czasu zdarzenia wybierz alert, na którym chcesz uruchomić podręcznik. Wybierz trzy kropki na końcu wiersza alertu i wybierz pozycję Uruchom podręcznik z menu podręcznego.
Zostanie otwarte okienko Podręczniki alertów . Zostanie wyświetlona lista wszystkich podręczników skonfigurowanych przy użyciu wyzwalacza usługi Logic Apps usługi Microsoft Sentinel, do którego masz dostęp.
Wybierz pozycję Uruchom w wierszu określonego podręcznika, aby uruchomić go natychmiast.
Historię uruchamiania podręczników w alercie można wyświetlić, wybierając kartę Uruchomienia w okienku Podręczniki alertów . Wyświetlenie dowolnego przebiegu ukończonego na liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Logic Apps.