Dela via


Svara på hotaktörer vid undersökning eller hotjakt i Microsoft Sentinel

Den här artikeln visar hur du vidtar åtgärder mot hotaktörer på plats, under en incidentundersökning eller hotjakt, utan att pivotera eller kontext växla ut från undersökningen eller jakten. Du gör detta med hjälp av spelböcker baserat på den nya entitetsutlösaren.

Entitetsutlösaren stöder för närvarande följande entitetstyper:

Viktigt!

Entitetsutlösaren är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Köra spelböcker med entitetsutlösaren

När du undersöker en incident och du fastställer att en viss entitet – ett användarkonto, en värd, en IP-adress, en fil och så vidare – utgör ett hot, kan du vidta omedelbara åtgärder för att åtgärda hotet genom att köra en spelbok på begäran. Du kan göra på samma sätt om du stöter på misstänkta entiteter när du proaktivt jagar efter hot utanför händelsekontexten.

  1. Välj entiteten i vilken kontext du än stöter på den och välj lämpligt sätt att köra en spelbok på följande sätt:

    • I widgeten Entiteter på fliken Översikt för en incident på sidan med ny incidentinformation (nu i förhandsversion) eller på fliken Entiteter väljer du en entitet i listan, väljer de tre punkterna bredvid entiteten och väljer Kör spelbok (förhandsversion) på popup-menyn.

      Skärmbild av sidan med incidentinformation.

      Skärmbild av fliken entiteter på sidan incidentinformation.

    • På fliken Entiteter i en incident väljer du entiteten i listan och väljer länken Kör spelbok (förhandsversion) i slutet av raden i listan.

      Skärmbild av att välja entitet från sidan incidentinformation för att köra en spelbok på den.

    • I diagrammet Undersökning väljer du en entitet och väljer knappen Kör spelbok (förhandsversion) på entitetspanelen.

      Skärmbild av att välja en entitet från undersökningsdiagrammet för att köra en spelbok på den.

    • På sidan Entitetsbeteende väljer du en entitet. På den resulterande entitetssidan väljer du knappen Kör spelbok (förhandsversion) i den vänstra panelen.

      Skärmbild av att välja en entitet från entitetsbeteendesidan för att köra en spelbok på den.

      Skärmbild av den valda entitetssidan för att köra en spelbok på en entitet.

  2. Alla dessa öppnar spelboken Kör på <entitetstyppanelen> .

    Skärmbild av Kör spelbok på entitetspanelen.

    I någon av dessa paneler visas två flikar: Spelböcker och körningar.

  3. På fliken Spelböcker visas en lista över alla spelböcker som du har åtkomst till och som använder Utlösaren för Microsoft Sentinel-entitet för den entitetstypen (i det här fallet användarkonton). Välj knappen Kör för den spelbok som du vill köra den direkt.

    Om du inte ser den spelbok som du vill köra i listan innebär det att Microsoft Sentinel inte har behörighet att köra spelböcker i den resursgruppen.

    Om du vill bevilja dessa behörigheter väljer du Inställningar > Inställningar > Playbooks-behörigheter > Konfigurera behörigheter. Markera kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra i panelen Hantera behörigheter och välj Tillämpa.

    Mer information finns i Extra behörigheter som krävs för att Microsoft Sentinel ska kunna köra spelböcker.

  4. Du kan granska aktiviteten för dina entitetsutlösarspelböcker på fliken Körningar . Du ser en lista över alla gånger en spelbok har körts på den entitet som du har valt. Det kan ta några sekunder innan en precis slutförd körning visas i den här listan. Om du väljer en specifik körning öppnas den fullständiga körningsloggen i Azure Logic Apps.

Nästa steg

I den här artikeln har du lärt dig hur du kör spelböcker manuellt för att åtgärda hot från entiteter när du undersöker en incident eller letar efter hot.