Поделиться через

Создание и выполнение задач инцидентов в Microsoft Sentinel с помощью сборников схем

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как использовать сборники схем для создания и при необходимости выполнения задач инцидентов для управления сложными рабочими процессами аналитиков в Microsoft Sentinel.

Используйте действие "Добавить задачу" в сборник схем в соединителе Microsoft Sentinel, чтобы автоматически добавить задачу в инцидент, который активировал сборник схем. Поддерживаются рабочие процессы уровня "Стандартный" и "Потребление".

Совет

Задачи инцидентов можно создавать автоматически не только сборниками схем, но и правилами автоматизации, а также вручную, нерегламентированными в рамках инцидента.

Дополнительные сведения см. в статье "Использование задач для управления инцидентами в Microsoft Sentinel".

Необходимые компоненты

  • Роль ответа Microsoft Sentinel необходима для просмотра и редактирования инцидентов, необходимых для добавления, просмотра и редактирования задач.

  • Роль участника Logic Apps необходима для создания и редактирования сборников схем.

Дополнительные сведения см. в статье о предварительных требованиях сборника схем Microsoft Sentinel.

Использование сборника схем для добавления задачи и ее выполнения

В этом разделе приведен пример процедуры добавления действия сборника схем, который выполняет следующие действия:

  • Добавляет задачу в инцидент, сбросив скомпрометированный пароль пользователя
  • Добавляет другое действие сборника схем для отправки сигнала в Защита идентификации Microsoft Entra (AADIP), чтобы фактически сбросить пароль
  • Добавляет окончательное действие сборника схем, чтобы пометить задачу в результате инцидента.

Чтобы добавить и настроить эти действия, выполните следующие действия:

  1. В соединителе Microsoft Sentinel добавьте задачу "Добавить" в действие инцидента , а затем:

    1. Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.

    2. Введите пароль пользователя в качестве заголовка.

    3. Добавьте необязательное описание.

    Например:

    Снимок экрана: действия сборника схем для добавления задачи для сброса пароля пользователя.

  2. Добавьте действие "Сущности " Получение учетных записей (предварительная версия). Добавьте элемент динамического содержимого сущностей (из схемы инцидента Microsoft Sentinel) в поле списка сущностей. Например:

    Снимок экрана: действия сборника схем для получения сущностей учетной записи в инциденте.

  3. Добавьте цикл для каждого цикла из библиотеки действий элемента управления. Добавьте элемент динамического содержимого учетных записей из сущностей — получение выходных данных учетных записей в поле "Выбор выходных данных из предыдущих шагов". Например:

    Снимок экрана: добавление действия цикла для каждого цикла в сборник схем для выполнения действия для каждой обнаруженной учетной записи.

  4. В каждом цикле выберите "Добавить действие". Затем:

    1. Найдите и выберите соединитель Защита идентификации Microsoft Entra
    2. Выберите действие "Подтвердить рискованного пользователя" как скомпрометированное (предварительная версия).
    3. Добавьте элемент динамического содержимого Идентификатора пользователя Microsoft Entra accounts в поле UserIds — 1.

    Это действие задает процессы перемещения внутри Защита идентификации Microsoft Entra для сброса пароля пользователя.

    Снимок экрана: отправка сущностей в AADIP для подтверждения компрометации.

    Примечание.

    Поле идентификатора пользователя Microsoft Entra accounts является одним из способов идентификации пользователя в AADIP. Это может быть не обязательно лучший способ в каждом сценарии, но приведен здесь так же, как пример.

    Для получения помощи обратитесь к другим сборникам схем, которые обрабатывают скомпрометированных пользователей или документацию по Защита идентификации Microsoft Entra.

  5. Добавьте задачу Mark a как завершенное действие из соединителя Microsoft Sentinel и добавьте элемент динамического содержимого идентификатора задачи инцидента в поле идентификатора ARM задачи. Например:

    Снимок экрана: добавление действия сборника схем для отметки завершения задачи инцидента.

Использование сборника схем для условного добавления задачи

В этом разделе приведен пример процедуры добавления действия сборника схем, которое изучает IP-адрес, отображаемый в инциденте.

  • Если результаты этого исследования являются вредоносным IP-адресом, сборник схем создает задачу для аналитика, чтобы отключить пользователя с помощью этого IP-адреса.
  • Если IP-адрес не является известным вредоносным адресом, сборник схем создает другую задачу, чтобы аналитик связался с пользователем, чтобы проверить действие.

Чтобы добавить и настроить эти действия, выполните следующие действия:

  1. В соединителе Microsoft Sentinel добавьте действие "Сущности — получение IP-адресов ". Добавьте элемент динамического содержимого сущностей (из схемы инцидента Microsoft Sentinel) в поле списка сущностей. Например:

    Снимок экрана: действия сборника схем для получения сущностей IP-адресов в инциденте.

  2. Добавьте цикл для каждого цикла из библиотеки действий элемента управления. Добавьте элемент динамического содержимого IP-адресов из сущностей — получение выходных данных IP-адресов в поле "Выбор выходных данных из предыдущих шагов". Например:

    Снимок экрана: добавление действия цикла для каждого цикла в сборник схем для выполнения действия с каждым обнаруженным IP-адресом.

  3. В каждом цикле выберите "Добавить действие", а затем:

    1. Найдите и выберите соединитель "Итог вируса".
    2. Выберите действие "Получить IP-отчет (предварительная версия").
    3. Добавьте элемент динамического содержимого IP-адреса из сущностей — получение выходных данных IP-адресов в поле IP-адреса.

    Например:

    Снимок экрана: отправка запроса в итоговый объем вирусов для отчета ПО IP-адреса.

  4. В каждом цикле выберите "Добавить действие", а затем:

    1. Добавьте условие из библиотеки действий элемента управления.
    2. Добавьте элемент последнего анализа статистики вредоносного динамического содержимого из выходных данных IP-отчета. Чтобы найти его, может потребоваться выбрать дополнительные сведения.
    3. Выберите оператор больше, чем оператор и введите 0 значение.

    Это условие задает вопрос "Есть ли в отчете общего IP-адреса вируса какие-либо результаты?" Например:

    Снимок экрана: установка условия true-false в сборнике схем.

  5. В параметре True выберите "Добавить действие", а затем:

    1. Выберите задачу "Добавить в действие инцидента" из соединителя Microsoft Sentinel.
    2. Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.
    3. Введите пользователя Mark как скомпрометированный в качестве заголовка.
    4. Добавьте необязательное описание.

    Например:

    Снимок экрана: действия сборника схем для добавления задачи, чтобы пометить пользователя как скомпрометированного.

  6. В параметре False нажмите кнопку "Добавить действие", а затем:

    1. Выберите задачу "Добавить в действие инцидента" из соединителя Microsoft Sentinel.
    2. Выберите элемент динамического содержимого идентификатора ARM инцидента для поля идентификатора ARM инцидента.
    3. Введите "Связаться" пользователю, чтобы подтвердить действие в качестве заголовка.
    4. Добавьте необязательное описание.

    Например:

    Снимок экрана: действия сборника схем для добавления задачи для подтверждения пользователем.

Связанный контент

Дополнительные сведения см. в разделе: