Запуск сборников схем по запросу

  • 8 мин

Некоторые инциденты компании Contoso могут потребовать дальнейшего изучения перед запуском сборника схем. Microsoft Sentinel позволяет выполнять сборники схем по запросу, чтобы предоставить возможность глубокого исследования.

Выполнение сборника схем по запросу

Вы можете настроить сборники схем, чтобы они запускались по требованию на основе сведений об инциденте, активировали определенные шаги в ходе исследования или выполнения некоторых действий по исправлению.

Рассмотрим сценарий, при котором подозрительным пользователям запрещается доступ к корпоративным ресурсам. Вы, как администратор безопасности компании Contoso, обнаруживаете один ложноположительный результат для инцидента. Некоторые пользователи в компании Contoso имели доступ к ресурсам через виртуальную частную сеть с удаленных компьютеров при одновременном подключении к компьютерам в офисе. Система безопасности Microsoft Cloud Security получила сигналы и на основе уязвимости, которая обнаруживает потенциальную угрозу от нетипичных расположений в командировках, пометила пользователей как пользователей со средним уровнем риска.

Вы можете использовать сборник схем, который может автоматически закрыть это рискованное свойство пользователя в идентификаторе Microsoft Entra ID.

Репозиторий Microsoft Sentinel на сайте GitHub

Репозиторий Microsoft Sentinel на GitHub содержит готовые к использованию сборники схем, помогающие автоматизировать ответы на инциденты. Эти сборники схем определены с помощью azure Resource Manager (шаблон ARM), использующего триггеры Приложения логики Microsoft Sentinel.

В описанном выше сценарии можно использовать сборник схем Dismiss-AADRiskyUser, который расположен в репозитории Microsoft Sentinel на GitHub, и развернуть его непосредственно в подписке Azure.

Для каждого развертывания из GitHub, прежде чем изменять сборники схем в конструкторе Logic Apps, сначала необходимо авторизовать каждое подключение в таких сборниках схем. Авторизация создаст API-подключение к соответствующему соединителю и сохранит токен и переменные. Вы можете расположить API-подключение в группе ресурсов, в которой было создано приложение логики.

Имя каждого API-подключение добавляется с префиксом azuresentinel. Вы можете также изменить подключение в конструкторе Logic Apps при изменении приложения логики.

Screenshot that depicts the authorization of the API connection.

Подключение сборника схем к существующему инциденту

Подготовив сборник схем, вы можете открыть страницу Инцидент в Microsoft Sentinel, а затем выбрать существующий инцидент. В области сведений можно выбрать Просмотр полных сведений для просмотра свойств инцидента. На панели оповещений можно выбрать Просмотреть сборники схем, а затем запустить один из существующих сборников.

На следующем снимке экрана показан пример подозрительных действий пользователя, к которым можно присоединить сборник схем Dismiss-AADRiskyUser.

Screenshot of the Incident page.

После расследования инцидента можно вручную запустить сборник схем для реагирования на угрозу безопасности.

Проверьте свои знания

1.

Администратор хочет подключить сборник схем к существующему инциденту и начать исследовать инцидент. Какой вариант следует выбрать администратору для подключения сборника схем?

2.

Вы хотите найти подходящий запрос на обнаружение угроз или книгу, которую можно использовать в своих требованиях. Где искать такие элементы?