Automatisera och kör Microsoft Sentinel-spelböcker
Spelböcker är samlingar av procedurer som kan köras från Microsoft Sentinel som svar på en hel incident, till en enskild avisering eller till en specifik entitet. En spelbok kan hjälpa dig att automatisera och samordna ditt svar och kan ställas in att köras automatiskt när specifika aviseringar genereras eller när incidenter skapas eller uppdateras genom att kopplas till en automatiseringsregel. Det kan också köras manuellt på begäran på specifika incidenter, aviseringar eller entiteter.
Den här artikeln beskriver hur du kopplar spelböcker till analysregler eller automatiseringsregler, eller kör spelböcker manuellt på specifika incidenter, aviseringar eller entiteter.
Kommentar
Spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps, vilket innebär att du får all kraft, anpassningsbarhet och inbyggda mallar för Logic Apps. Ytterligare avgifter kan tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps .
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
Innan du börjar kontrollerar du att du har en spelbok tillgänglig för att automatisera eller köra, med en utlösare, villkor och åtgärder definierade. Mer information finns i Skapa och hantera Microsoft Sentinel-spelböcker.
Nödvändiga Azure-roller för att köra spelböcker
Om du vill köra spelböcker behöver du följande Azure-roller:
Roll | Beskrivning |
---|---|
Ägare | Gör att du kan ge åtkomst till spelböcker i resursgruppen. |
Microsoft Sentinel-deltagare | Koppla en spelbok till en analysregel eller automatiseringsregel |
Microsoft Sentinel-svarare | Få åtkomst till en incident för att kunna köra en spelbok manuellt. För att kunna köra spelboken behöver du även följande roller: - Microsoft Sentinel-spelboksoperatör för att köra en spelbok manuellt - Rollen Microsoft Sentinel Automation-deltagare för att tillåta automatiseringsregler att köra spelböcker. |
Mer information finns i förutsättningar för spelböcker.
Extra behörigheter som krävs för att köra spelböcker på incidenter
Microsoft Sentinel använder ett tjänstkonto för att köra spelböcker på incidenter, för att lägga till säkerhet och göra det möjligt för API:et för automatiseringsregler att stödja CI/CD-användningsfall. Det här tjänstkontot används för incidentutlösta spelböcker eller när du kör en spelbok manuellt vid en specifik incident.
Förutom dina egna roller och behörigheter måste det här Microsoft Sentinel-tjänstkontot ha en egen uppsättning behörigheter för resursgruppen där spelboken finns, i form av rollen Microsoft Sentinel Automation-deltagare . När Microsoft Sentinel har den här rollen kan den köra valfri spelbok i relevant resursgrupp, manuellt eller från en automatiseringsregel.
Om du vill bevilja Microsoft Sentinel de behörigheter som krävs måste du ha rollen Ägare eller Administratör för användaråtkomst. Om du vill köra spelböckerna behöver du även rollen Logic App-deltagare i resursgruppen som innehåller de spelböcker som du vill köra.
Konfigurera spelboksbehörigheter för incidenter i en distribution med flera klientorganisationer
Om spelboken som du vill köra finns i en annan klientorganisation i en distribution med flera klienter måste du ge Microsoft Sentinel-tjänstkontot behörighet att köra spelboken i spelbokens klientorganisation.
Välj Inställningar i microsoft Sentinel-navigeringsmenyn i spelböckernas klientorganisation.
På sidan Inställningar väljer du fliken Inställningar och sedan expanderaren Spelboksbehörigheter.
Välj knappen Konfigurera behörigheter för att öppna panelen Hantera behörigheter.
Markera kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och välj Använd. Till exempel:
Du måste själv ha ägarbehörigheter för alla resursgrupper som du vill bevilja Microsoft Sentinel-behörigheter till, och du måste ha rollen Microsoft Sentinel-spelboksoperatör för alla resursgrupper som innehåller spelböcker som du vill köra.
Om du i ett MSSP-scenario vill köra en spelbok i en kundklientorganisation från en automatiseringsregel som skapats när du är inloggad i tjänstleverantörens klientorganisation, måste du ge Microsoft Sentinel behörighet att köra spelboken i båda klientorganisationer:
I kundklientorganisationen följer du standardanvisningarna för multitenantdistributionen.
Lägg till Azure Security Insights-appen i din Azure Lighthouse-registreringsmall på följande sätt i tjänstleverantörens klientorganisation:
- Från Azure Portal går du till Microsoft Entra-ID och väljer Företagsprogram.
- Välj Programtyp och filtrera på Microsoft-program.
- I sökrutan anger du Azure Security Insights.
- Kopiera fältet Objekt-ID . Du måste lägga till den här extra auktoriseringen i din befintliga Azure Lighthouse-delegering.
Rollen Microsoft Sentinel Automation-deltagare har ett fast GUID för f4c81013-99ee-4d62-a7ee-b3f1f648599a
. Ett exempel på Azure Lighthouse-auktorisering skulle se ut så här i parametermallen:
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
Automatisera svar på incidenter och aviseringar
Om du vill svara automatiskt på hela incidenter eller enskilda aviseringar med en spelbok skapar du en automatiseringsregel som körs när incidenten skapas eller uppdateras eller när aviseringen genereras. Den här automatiseringsregeln innehåller ett steg som anropar den spelbok som du vill använda.
Så här skapar du en automatiseringsregel:
På sidan Automation i Microsoft Sentinel-navigeringsmenyn väljer du Skapa på den översta menyn och sedan Automation-regeln. Till exempel:
Panelen Skapa ny automatiseringsregel öppnas. Ange ett namn på regeln. Alternativen varierar beroende på om arbetsytan är registrerad i Microsoft Defender-portalen. Till exempel:
Utlösare: Välj lämplig utlösare enligt den omständighet för vilken du skapar automatiseringsregeln – När incidenten skapas, När incidenten uppdateras eller När aviseringen skapas.
Villkor:
Om din arbetsyta ännu inte har registrerats på Defender-portalen kan incidenter ha två möjliga källor:
- Incidenter kan skapas i Microsoft Sentinel
- Incidenter kan importeras från – och synkroniseras med – Microsoft Defender XDR.
Om du valde en av incidentutlösarna och vill att automatiseringsregeln endast ska gälla för incidenter som kommer från Microsoft Sentinel, eller alternativt i Microsoft Defender XDR, anger du källan i om incidentprovidern är lika med villkoret.
Det här villkoret visas endast om en incidentutlösare har valts och din arbetsyta inte har registrerats i Defender-portalen.
Om du vill att automationsregeln endast ska gälla för vissa analysregler för alla utlösartyper anger du vilka genom att ändra if analytics-regelnamnet innehåller villkoret.
Lägg till andra villkor som du vill avgöra om den här automatiseringsregeln körs. Välj + Lägg till och välj villkorsgrupper i listrutan. Listan över villkor fylls i med aviseringsinformations- och entitetsidentifierarfält.
Åtgärder:
Eftersom du använder den här automatiseringsregeln för att köra en spelbok väljer du åtgärden Kör spelbok i listrutan. Sedan uppmanas du att välja från en andra listruta som visar tillgängliga spelböcker. En automatiseringsregel kan bara köra de spelböcker som börjar med samma utlösare (incident eller avisering) som utlösaren som definieras i regeln, så endast dessa spelböcker visas i listan.
Om en spelbok visas nedtonad i listrutan innebär det att Microsoft Sentinel inte har behörighet till spelbokens resursgrupp. Välj länken Hantera spelboksbehörigheter om du vill tilldela behörigheter.
I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och väljer Tillämpa. Till exempel:
Du måste själv ha ägarbehörigheter för alla resursgrupper som du vill bevilja Microsoft Sentinel-behörigheter till, och du måste ha rollen Microsoft Sentinel-spelboksoperatör för alla resursgrupper som innehåller spelböcker som du vill köra.
Mer information finns i Extra behörigheter som krävs för att köra spelböcker på incidenter.
Lägg till andra åtgärder som du vill ha för den här regeln. Du kan ändra ordningen på körningen av åtgärder genom att välja uppåt- eller nedåtpilarna till höger om en åtgärd.
Ange ett förfallodatum för automatiseringsregeln om du vill att den ska ha ett.
Ange ett tal under Order för att avgöra var i sekvensen av automatiseringsregler den här regeln körs.
Välj Använd för att slutföra automatiseringen.
Mer information finns i Skapa och hantera Microsoft Sentinel-spelböcker.
Svara på aviseringar – äldre metod
Ett annat sätt att köra spelböcker automatiskt som svar på aviseringar är att anropa dem från en analysregel. När regeln genererar en avisering körs spelboken.
Den här metoden kommer att vara inaktuell från och med mars 2026.
Från och med juni 2023 kan du inte längre lägga till spelböcker i analysregler på det här sättet. Du kan dock fortfarande se de befintliga spelböckerna som anropas från analysregler, och dessa spelböcker körs fortfarande fram till mars 2026. Vi rekommenderar starkt att du skapar automatiseringsregler för att anropa dessa spelböcker i stället innan dess.
Kör en spelbok manuellt på begäran
Du kan också köra en spelbok manuellt på begäran, oavsett om det är som svar på aviseringar, incidenter eller entiteter. Detta kan vara användbart i situationer där du vill ha mer mänsklig indata till och kontroll över orkestrerings- och svarsprocesser.
Köra en spelbok manuellt i en avisering
Den här proceduren stöds inte i Defender-portalen.
I Azure Portal väljer du någon av följande flikar efter behov för din miljö:
På sidan Incidenter väljer du en incident och väljer sedan Visa fullständig information för att öppna sidan incidentinformation.
På sidan incidentinformation går du till widgeten Incidenttidslinje och väljer den avisering som du vill köra spelboken på. Välj de tre punkterna i slutet av aviseringens rad och välj Kör spelbok på popup-menyn.
Fönstret Aviseringsspelböcker öppnas. Du ser en lista över alla spelböcker som konfigurerats med utlösaren för Aviseringslogikappar för Microsoft Sentinel som du har åtkomst till.
Välj Kör på raden i en specifik spelbok för att köra den omedelbart.
Du kan se körningshistoriken för spelböcker i en avisering genom att välja fliken Körningar i fönstret Aviseringsspelböcker . Det kan ta några sekunder innan en precis slutförd körning visas i listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Logic Apps.
Köra en spelbok manuellt vid en incident
Den här proceduren varierar beroende på om du arbetar i Azure Portal eller i Defender-portalen. Välj relevant flik för din miljö:
På sidan Incidenter väljer du en incident.
I fönstret incidentinformation som visas på sidan väljer du Åtgärder > Kör spelbok.
Om du väljer de tre punkterna i slutet av incidentens rad i rutnätet eller högerklickar på incidenten visas samma lista som knappen Åtgärd .
Spelboken Kör på incidentpanelen öppnas på sidan. Du ser en lista över alla spelböcker som konfigurerats med den Microsoft Sentinel Incident Logic Apps-utlösare som du har åtkomst till.
Om du inte ser den spelbok som du vill köra i listan innebär det att Microsoft Sentinel inte har behörighet att köra spelböcker i den resursgruppen.
Om du vill bevilja dessa behörigheter väljer du Inställningar Inställningar>>Spelboksbehörigheter>Konfigurera behörigheter. I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och väljer Tillämpa.
Mer information finns i Extra behörigheter som krävs för att köra spelböcker på incidenter.
Välj Kör på raden i en specifik spelbok för att köra den omedelbart.
Du måste ha rollen som Microsoft Sentinel-spelboksoperator för alla resursgrupper som innehåller spelböcker som du vill köra. Om du inte kan köra spelboken på grund av saknade behörigheter rekommenderar vi att du kontaktar en administratör för att ge dig relevanta behörigheter. Mer information finns i Krav för Microsoft Sentinel-spelböcker.
Visa körningshistoriken för spelböcker för en incident genom att välja fliken Körningar i spelboken Kör på incidentpanelen . Det kan ta några sekunder innan en precis slutförd körning visas i listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Logic Apps.
Köra en spelbok manuellt på en entitet
Den här proceduren stöds inte i Defender-portalen.
Välj en entitet på något av följande sätt, beroende på din ursprungliga kontext:
Om du är på informationssidan för en incident (ny version):
Leta upp entiteten i widgeten Entiteter på fliken Översikt och gör något av följande:
Välj inte entiteten. Välj i stället de tre punkterna till höger om entiteten och välj sedan Kör spelbok. Leta upp den spelbok som du vill köra och välj Kör på spelbokens rad.
Välj entiteten för att öppna fliken Entiteter på sidan med incidentinformation. Leta upp entiteten i listan och välj de tre punkterna till höger. Leta upp den spelbok som du vill köra och välj Kör på spelbokens rad.
Välj en entitet och öka detaljnivån till sidan med entitetsinformation. Välj sedan knappen Kör spelbok i den vänstra panelen. Leta upp den spelbok som du vill köra och välj Kör på spelbokens rad.
Oavsett vilken kontext du kom från kommer det sista steget i den här proceduren från spelboken Run on entity type (Kör spelbok på <entitetstyppanelen> ). Den här panelen visar en lista över alla spelböcker som du har åtkomst till som har konfigurerats med Utlösaren för Microsoft Sentinel Entity Logic Apps för den valda entitetstypen.
I fönstret *Kör spelbok på <entitetstyp> väljer du fliken Körningar för att se spelbokskörningshistoriken för en viss entitet. Det kan ta några sekunder innan en precis slutförd körning visas i listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Logic Apps.
Relaterat innehåll
Mer information finns i: