Wyzwalanie podręcznika w czasie rzeczywistym

12 min

Podręczniki usługi Microsoft Sentinel można skonfigurować w firmie Contoso w celu reagowania na zagrożenia bezpieczeństwa.

Eksplorowanie strony Podręczniki

Na stronie Podręczniki można zautomatyzować odpowiedzi na zagrożenia. Na tej stronie można obserwować wszystkie podręczniki utworzone za pomocą usługi Azure Logic Apps. W kolumnie Rodzaj wyzwalacza znajdują się informacje o typie łączników używanych w aplikacji logiki.

Jak przedstawiono na poniższym diagramie, za pomocą paska nagłówka można tworzyć nowe podręczniki i włączać lub wyłączać istniejące.

Zrzut ekranu przedstawiający pasek nagłówka.

Na pasku nagłówka dostępne są następujące opcje:

Opcja Dodaj podręcznik umożliwia utworzenie nowego podręcznika.
Opcja Odśwież powoduje odświeżenie ekranu, na przykład po utworzeniu nowego podręcznika.
Za pomocą listy rozwijanej czasu można filtrować stan działania podręczników.
Opcje Włącz, Wyłącz i Usuń są dostępne tylko po wybraniu co najmniej jednej aplikacji logiki.
Opcja Dokumentacja usługi Logic Apps umożliwia wyświetlenie linków do oficjalnej dokumentacji firmy Microsoft zawierającej więcej informacji o aplikacjach logiki.

Firma Contoso chce skorzystać z automatycznych akcji, aby uniemożliwić podejrzanym użytkownikom dostęp do sieci. Jako administrator zabezpieczeń możesz utworzyć podręcznik w celu zaimplementowania tej akcji. Aby utworzyć nowy podręcznik, wybierz pozycję Dodaj podręcznik. Nastąpi przekierowanie do strony, na której należy utworzyć nową aplikację logiki, podając dane wejściowe dla następujących ustawień:

Subskrypcja. Wybierz subskrypcję zawierającą usługę Microsoft Sentinel.
Grupa zasobów. Możesz wybrać istniejącą grupę zasobów lub utworzyć nową.
Nazwa aplikacji logiki. Podaj opisową nazwę aplikacji logiki.
Lokalizacja. Wybierz tę samą lokalizację, w której znajduje się obszar roboczy usługi Log Analytics.
Log Analytics. Jeśli włączysz usługę Log Analytics, możesz uzyskać informacje o zdarzeniach środowiska uruchomieniowego podręcznika.

Po podaniu tych danych wybierz opcję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz.

Projektant usługi Logic Apps

Usługa Microsoft Sentinel tworzy aplikację logiki, a następnie jest kierowana do strony Projektanta aplikacji logiki.

Projektant aplikacji logiki udostępnia kanwę, na której do przepływu pracy możesz dodać wyzwalacz i akcje. Można na przykład skonfigurować wyzwalacz, aby pochodził z łącznika usługi Microsoft Sentinel po utworzeniu nowego zdarzenia zabezpieczeń. Na stronie Projektant aplikacji logiki znajduje się wiele wstępnie zdefiniowanych szablonów, których można użyć. Jednak w celu utworzenia podręcznika należy rozpocząć pracę z szablonem Pusta aplikacja logiki i zaprojektować aplikację logiki od podstaw.

Automatyczne działanie w podręczniku jest inicjowane przez wyzwalacz usługi Microsoft Sentinel. Wyzwalacz usługi Microsoft Sentinel można wyszukać w polu wyszukiwania kanwy projektu, a następnie wybrać jeden z następujących dwóch dostępnych wyzwalaczy:

Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel
Gdy reguła tworzenia zdarzeń usługi Microsoft Sentinel została wyzwolona

Otwarcie łącznika usługi Microsoft Sentinel po raz pierwszy powoduje wyświetlenie monitu o zalogowanie się do dzierżawy przy użyciu konta użytkownika z identyfikatora Entra firmy Microsoft lub jednostki usługi. Spowoduje to nawiązanie połączenia interfejsu API z identyfikatorem entra firmy Microsoft. Połączenia interfejsu API przechowują zmienne i tokeny wymagane do uzyskania dostępu do interfejsu API dla połączenia, takie jak Microsoft Entra ID, Office 365 lub podobne.

Zrzut ekranu przedstawiający logowanie się do dzierżawy firmy Microsoft Entra.

Każdy podręcznik rozpoczyna się od wyzwalacza, po którym następują akcje definiujące automatyczną odpowiedź na incydent zabezpieczeń. Możesz połączyć akcje z łącznika usługi Microsoft Sentinel z innymi akcjami z innych łączników usługi Logic Apps.

Możesz na przykład dodać wyzwalacz z łącznika usługi Microsoft Sentinel po wyzwoleniu zdarzenia, a następnie wykonać akcję identyfikującą jednostki z alertu usługi Microsoft Sentinel, a następnie inną akcję, która wysyła wiadomość e-mail na konto e-mail usługi Office 365. Usługa Microsoft Sentinel tworzy każdą akcję jako nowy krok i definiuje działanie dodawane w aplikacji logiki.

Poniższy zrzut ekranu przedstawia zdarzenie wyzwalane przez łącznik usługi Microsoft Sentinel, który wykrywa podejrzane konto i wysyła wiadomość e-mail do administratora.

Zrzut ekranu przedstawiający aplikację logiki z akcjami.

Każdy krok w projekcie przepływu pracy ma inne pola, które należy wypełnić. Na przykład akcja Jednostki — Pobierz konta wymaga podania listy jednostek z alertu usługi Microsoft Sentinel. Zaletą korzystania z usługi Azure Logic Apps jest możliwość wprowadzenia danych wejściowych z listy Zawartość dynamiczna, która jest wypełniana danymi wyjściowymi z poprzedniego kroku. Na przykład wyzwalacz łącznika usługi Microsoft Sentinel Gdy zostanie wyzwolona odpowiedź na alert usługi Microsoft Sentinel, udostępnia właściwości dynamiczne, takie jak Jednostki, Nazwa wyświetlana alertu, których można użyć do wypełnienia danych wejściowych.

Zrzut ekranu przedstawiający zawartość dynamiczną.

Można również dodać grupę akcji sterowania, dzięki której aplikacja logiki może podejmować decyzje. Grupa akcji sterowania może zawierać warunki logiczne, warunki switch case i pętle.

Akcja warunek to instrukcja if, która umożliwia aplikacji wykonywanie różnych akcji na podstawie przetwarzanych danych. Składa się ona z wyrażenia warunkowego i dwóch akcji. W czasie wykonywania aparat wykonywania ocenia wyrażenie i wybiera akcję na podstawie tego, czy wyrażenie jest prawdziwe (ma wartość true), czy fałszywe (ma wartość false).

Na przykład firma Contoso otrzymuje dużą liczbę alertów, z których wiele ma wzorce cykliczne, których nie można przetworzyć ani zbadać. Korzystając z automatyzacji w czasie rzeczywistym, zespoły SecOps firmy Contoso mogą znacząco zmniejszyć obciążenie, w pełni automatyzując rutynowe odpowiedzi na powtarzające się typy alertów.

Poniższy zrzut ekranu przedstawia podobną sytuację, w której podręcznik może zmienić stan alertu na podstawie danych wejściowych użytkownika. Akcja sterowania przechwytuje dane wejściowe użytkownika i jeśli wyrażenie okaże się prawdziwe, podręcznik zmienia stan alertu. Jeśli w wyniku działania akcji sterowania wyrażenie zostanie ocenione jako fałszywe, podręcznik może uruchomić inne działania, takie jak wysyłanie wiadomości e-mail, co przedstawiono na poniższym zrzucie ekranu.

Zrzut ekranu przedstawiający warunek aplikacji logiki.

Po podaniu wszystkich kroków w Projektancie aplikacji logiki zapisz aplikację logiki, aby utworzyć podręcznik w usłudze Microsoft Sentinel.

Strona usługi Logic Apps w usłudze Microsoft Sentinel

Utworzone podręczniki są wyświetlane na stronie Podręczniki, gdzie można je edytować. Na stronie Podręczniki możesz wybrać istniejący podręcznik, który otworzy stronę usługi Logic Apps dla tego podręcznika w usłudze Microsoft Sentinel.

Korzystając z paska nagłówka usługi Logic Apps, można uruchamiać kilka akcji podręcznika:

Uruchom wyzwalacz. Umożliwia uruchomienie aplikacji logiki w celu przetestowania podręcznika.
Odśwież. Umożliwia odświeżenie stanu aplikacji logiki w celu pobrania stanu działania.
Edytuj. Umożliwia dalszą edycję podręcznika na stronie Projektant aplikacji usługi Logic Apps.
Usuwanie. Użyj polecenia , aby usunąć aplikację logiki, jeśli jej nie potrzebujesz.
Wyłącz. Umożliwia tymczasowe wyłączenie aplikacji logiki, aby zapobiec wykonywaniu akcji nawet po aktywowaniu wyzwalacza.
Aktualizuj schemat. Umożliwia zaktualizowanie schematu aplikacji logiki po dokonaniu znaczącej zmiany logiki.
Klonuj. Umożliwia utworzenie kopii istniejącej aplikacji logiki i użycie jej jako podstawy do dalszej modyfikacji.
Eksportuj. Umożliwia wyeksportowanie aplikacji logiki do usług Microsoft Power Automate i Microsoft Power Apps.

W sekcji Podstawy są wyświetlane opisowe informacje o aplikacji logiki. Na przykład definicja aplikacji logiki zawiera liczbę wyzwalaczy i akcji udostępnianych przez tę aplikację logiki.

Podsumowanie informacji o aplikacji logiki znajduje się w sekcji Podsumowanie. W tej sekcji możesz wybrać link do aplikacji logiki, aby otworzyć ją w Projektancie aplikacji usługi Logic Apps lub przejrzeć historię wyzwalaczy.

W sekcji Historia przebiegów są wyświetlane poprzednie przebiegi aplikacji logiki oraz informacje, czy zakończyły się one powodzeniem.

Automatyzowanie reagowania na zdarzenie w usłudze Microsoft Sentinel

Ostatnim krokiem jest dołączenie podręcznika do reguły analizy w celu zautomatyzowania odpowiedzi na incydenty. Sekcja Automatyczna odpowiedź reguły analizy służy do wybierania podręcznika do automatycznego uruchamiania po wygenerowaniu alertu. Aby uzyskać więcej informacji na temat tworzenia reguły analizy, zobacz moduł "Wykrywanie zagrożeń za pomocą analizy usługi Microsoft Sentinel".

Sprawdź swoją wiedzę

Czym jest zawartość dynamiczna w aplikacji logiki?

Lista dynamicznie wybieranych zagrożeń.

Lista dynamicznych danych wejściowych dla bieżącej akcji.

Lista użytkowników dynamicznych.

Administrator tworzy nowy podręcznik, aby otrzymywać powiadomienie za każdym razem, gdy dla użytkownika jest delegowana rola administratora globalnego. Który łącznik powinien wybrać administrator w aplikacji logiki?

Łącznik Microsoft Entra.

Łącznik dla pakietu Office 365.

Łącznik usługi Microsoft Sentinel.