你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中使用 playbook 自动响应威胁

SOC 分析师会处理许多安全警报和事件,而庞大的数量可能会使团队不堪重负,导致警报被忽略和事件未经调查。 许多警报和事件可以由相同的预定义修正操作集解决,可以将这些操作自动化,使 SOC 更高效,并将分析人员解放出来进行更深入的调查。

使用 Microsoft Sentinel playbook 运行预配置的修正操作集,以帮助自动执行和协调威胁响应。 自动运行 playbook,以响应触发配置自动化规则的特定警报和事件,或手动按需为特定实体或警报运行。

例如,如果帐户和计算机受到损害,playbook 可以自动将计算机和网络隔离,并在 SOC 团队收到事件通知时阻止帐户。

注意

由于 playbook 使用 Azure 逻辑应用,因此可能要额外收费。 有关更多详细信息,请访问 Azure 逻辑应用定价页。

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

下表列出了建议使用 Microsoft Sentinel playbook 自动执行威胁响应的高级用例:

用例 说明
扩充 收集数据并将其附加到事件,以帮助团队做出更明智的决策。
双向同步 将 Microsoft Sentinel 事件与其他票证系统同步。 例如,为所有事件创建创建自动化规则,并附加一个在 ServiceNow 中打开票证的 playbook。
业务流程 使用 SOC 团队聊天平台更好地控制事件队列。 例如,向 Microsoft Teams 或 Slack 中的安全操作通道发送一条消息,确保你的安全分析师注意到此事件。
响应 立即对威胁做出响应,将人为依赖性降至最低,例如在显示用户或机器受到威胁时。 或者,在调查期间或在搜寻期间手动触发一系列自动化步骤。

有关详细信息,请参阅“推荐的 playbook 用例、模板和示例”。

先决条件

若要使用 Azure 逻辑应用在 Microsoft Sentinel 中创建和运行 playbook,需要以下角色。

角色 描述
所有者 允许你授予对资源组中 playbook 的访问权限。
Microsoft Sentinel 参与者 允许将 playbook 附加到分析或自动化规则。
Microsoft Sentinel 响应者 允许访问事件以手动运行 playbook,但不允许运行 playbook。
Microsoft Sentinel Playbook 操作员 允许手动运行 playbook。
Microsoft Sentinel 自动化参与者 允许自动化规则运行 playbook。 此角色不用于任何其他目的。

下表根据是选择消耗型还是标准型逻辑应用来创建 playbook 描述了所需的角色:

逻辑应用 Azure 角色 说明
消耗 逻辑应用参与者 编辑和管理逻辑应用。 运行 playbook。 不允许向 playbook 授予访问权限。
消耗 逻辑应用操作员 读取、启用和禁用逻辑应用。 不允许编辑或更新逻辑应用。
Standard 标准型逻辑应用操作者 在逻辑应用中启用、重新提交和禁用工作流。
Standard 标准型逻辑应用开发者 创建和编辑逻辑应用。
Standard 标准型逻辑应用参与者 管理逻辑应用的各个方面。

“自动化”页上的“活动 playbook”选项卡会显示任何所选订阅中可用的所有活动 playbook。 默认情况下,playbook 只能在所属的订阅中使用,除非你专门向 playbook 的资源组授予 Microsoft Sentinel 权限。

运行 playbook 所需的额外 Microsoft Sentinel 权限

Microsoft Sentinel 使用服务帐户对事件运行 playbook,以增添安全性并使自动化规则 API 支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或者对特定事件手动运行 playbook 时。

除了你自己的角色和权限外,此 Microsoft Sentinel 服务帐户还必须对 playbook 所在的资源组拥有自己的权限集,其形式为 Microsoft Sentinel 自动化参与者角色。 Microsoft Sentinel 具有此角色后,可以手动或通过自动化规则运行相关资源组中的任何 playbook。

若要向 Microsoft Sentinel 授予所需权限,你必须具有“所有者”或“用户访问管理员”角色。 若要运行 playbook,还需要对包含要运行的 playbook 的资源组具有逻辑应用参与者角色。

Playbook 模板(预览版)

重要

playbook 模板目前以预览版提供 。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Playbook 模板是预先生成、经过测试和随时可用的工作流,它们本身不能用作 playbook 使用,但已准备好供你自定义,以满足你的需求。 我们还建议在从头开始开发 playbook 或作为新自动化方案的灵感时,将 playbook 模板用作最佳做法的参考。

从以下来源访问 paybook 模板:

位置 说明
Microsoft Sentinel “自动化”页 “Playbook 模板”选项卡列出所有已安装的 playbook。 使用同一个模板创建一个或多个活动 playbook。

发布新版模板后,从该模板创建的所有活动 playbook 都会在“活动 playbook”选项卡中额外添加一个标签,指出有可用的更新。
Microsoft Sentinel “内容中心”页 Playbook 模板作为从“内容中心”安装的产品解决方案或独立内容的一部分提供

有关详细信息,请参阅。
关于 Microsoft Sentinel 内容和解决方案
发现和管理 Microsoft Sentinel 现成内容
GitHub Microsoft Sentinel GitHub 存储库包含许多其他 playbook 模板。 选择“部署到 Azure”将模板部署到你的 Azure 订阅

从技术上讲,playbook 模板是一个 Azure 资源管理器 (ARM) 模板,它由多个资源组成:Azure 逻辑应用工作流,以及每个相关连接的 API 连接。

有关详细信息,请参阅:

Playbook 创建和使用工作流

使用以下工作流创建并运行 Microsoft Sentinel playbook:

  1. 定义自动化方案。 建议先查看推荐的 playbook 用例playbook 模板

  2. 如果不使用模板,请创建 playbook 并生成逻辑应用。 有关详细信息,请参阅创建和管理 Microsoft Sentinel playbook

    通过手动运行逻辑应用来测试它。 有关详细信息,请参阅按需手动运行 playbook

  3. 将 playbook 配置为在新警报或事件创建时自动运行,或根据需要手动运行进程。 有关详细信息,请参使用 Microsoft Sentinel playbook 响应威胁