你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从模板创建和自定义 Microsoft Sentinel playbook
Playbook 模板是预生成的、已经过测试且随时可用的 Microsoft Sentinel 自动化工作流,可以根据自己的需求对其进行自定义。 在从头开发 playbook 时,还可以将这些模板作为最佳做法参考;或者,可以通过模板获得灵感以实现新的自动化方案。
Playbook 模板本身并不是活动的 playbook,必须根据需求创建可编辑副本。
许多 playbook 模板是由 Microsoft Sentinel 社区、独立软件供应商 (ISV) 和 Microsoft 专家根据世界各地安全运营中心使用的热门自动化方案开发的。
重要
playbook 模板目前以预览版提供 。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证即可使用。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
先决条件
若要创建和管理 playbook,需要使用以下 Azure 角色之一访问 Microsoft Sentinel:
- 逻辑应用参与者,用于编辑和管理逻辑应用
- 逻辑应用操作员,用于读取、启用和禁用逻辑应用
有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件。
建议在创建 playbook 之前阅读适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用。
访问 playbook 模板
从以下来源 访问 paybook 模板:
位置 | 说明 |
---|---|
Microsoft Sentinel “自动化”页 | “Playbook 模板”选项卡列出所有已安装的 playbook。 使用同一个模板创建一个或多个活动 playbook。 发布新版模板后,从该模板创建的所有活动 playbook 都会在“活动 playbook”选项卡中额外添加一个标签,指出有可用的更新。 |
Microsoft Sentinel “内容中心”页 | Playbook 模板作为从“内容中心”安装的产品解决方案或独立内容的一部分提供。 有关详细信息,请参阅。 关于 Microsoft Sentinel 内容和解决方案 发现和管理 Microsoft Sentinel 现成内容 |
GitHub | Microsoft Sentinel GitHub 存储库包含许多其他 playbook 模板。 选择“部署到 Azure”将模板部署到你的 Azure 订阅。 |
从技术上讲,playbook 模板是一个 Azure 资源管理器 (ARM) 模板,它由多个资源组成:Azure 逻辑应用工作流,以及每个相关连接的 API 连接。
本文重点介绍如何从“自动化”下的“Playbook 模板”选项卡部署 playbook 模板 。
浏览 playbook 模板
对于 Azure 门户中的 Microsoft Sentinel,选择“内容管理”>“内容中心”页面。 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。
在“内容中心”页面上,选择“内容类型”来筛选 Playbook。 此筛选视图列出了所有解决方案和包含一个或多个 playbook 模板的独立内容。 安装解决方案或独立内容以获取模板。
然后,选择“配置”>“自动化”>Playbook 模板”选项卡来查看已安装的模板。 例如:
若要查找符合你要求的 playbook 模板,请按以下条件筛选列表:
Filter | 说明 |
---|---|
触发器 | 按 playbook 的触发方式进行筛选,包括事件、警报或实体。 有关详细信息,请参阅支持的 Microsoft Sentinel 触发器。 |
逻辑应用连接器 | 按 playbook 与之交互的外部服务进行筛选。 在部署过程中,每个连接器都需要采用一个标识来向外部服务进行身份验证。 |
实体 | 按 playbook 预期会在事件中找到的实体类型进行筛选。 例如,告知防火墙阻止某个 IP 地址的 playbook 应在事件中查找 IP 地址。 此类事件可能由暴力攻击分析规则创建。 |
标记 | 按应用于 playbook 以将 playbook 与特定方案相关联或指示特殊特征的标签进行筛选。 例如: - 扩充 - 从另一个服务中提取信息以便将内容添加到事件中的 playbook。 此信息通常作为注释添加到事件或发送到 SOC。 - 修正 - 对受影响的实体采取措施以消除潜在威胁的 playbook。 - 同步 - 帮助通过事件的属性来使外部服务(例如事件管理服务)保持更新状态的 playbook。 - 通知 - 发送电子邮件或消息的 playbook。 - Teams 响应 - 允许分析师使用交互式卡从 Teams 采取手动措施的 playbook。 |
例如:
从模板自定义 playbook
此过程介绍如何部署 playbook 模板,以及如何能够从同一个模板重复创建多个 playbook。
虽然大多数 playbook 模板都可以按原样使用,但建议根据需要对其进行调整,使 playbook 满足你的 SOC 需求。
在“Playbook 模板”选项卡上,选择一个 playbook 从其开始操作。
如果该 playbook 有任何先决条件,请确保按照说明进行操作。 例如:
某些 playbook 将其他 playbook 称为操作。 这第二个 playbook 称为嵌套 playbook。 在这种情况下,先决条件之一是首先部署嵌套 playbook。
某些 playbook 要求部署自定义逻辑应用连接器或 Azure 函数。 在这种情况下,会出现“部署到 Azure”链接,单击该链接会转到常规 ARM 模板部署过程。
选择“创建 playbook”,以基于所选模板打开 playbook 创建向导。 该向导有四个选项卡:
基础信息:找到你的新 playbook(逻辑应用资源)并为其命名。 可以使用默认值。 例如:
参数:输入 playbook 使用的特定于客户的值。 例如,如果该 playbook 向 SOC 发送电子邮件,请定义收件人地址。 如果该 playbook 具有一个已在使用的自定义连接器,则其必须部署在同一资源组中,这样,你就会收到在“参数”选项卡中输入其名称的提示。
只有当 playbook 中有参数时,才会显示“参数”选项卡。 例如:
连接:展开每个操作以查看你为前面的 playbook 创建的现有连接。 可以选择现有连接或新建连接。 例如:
若要创建新连接,请选择“部署后创建新连接”。 部署过程完成后,此选项将转到逻辑应用设计器。
自定义连接器按照其在“参数”选项卡中的输入名称列出。
对于支持使用托管标识进行连接的连接器,如 Microsoft Sentinel,托管标识是默认连接方法。
有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook。
查看并创建:在创建 playbook 之前查看过程摘要,并等待系统验证你的输入。
按照 playbook 创建向导中的步骤完成后,将在逻辑应用设计器中转到新 playbook 的工作流设计。 例如:
对于你选择的每个连接器,请在部署后创建新连接:
从导航菜单中,选择“API 连接”,然后选择连接名称。 例如:
从导航菜单中选择“编辑 API 连接”。
填写必需的参数,然后选择“保存”。 例如:
或者,通过逻辑应用设计器中的相关步骤创建新连接:
对于出现了错误符号的每个步骤,请选择该步骤以将其展开,然后选择“新增”。
按照相关说明进行身份验证。 有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook。
如果还有其他步骤使用此连接器,请展开这些步骤对应的框。 从显示的连接列表中,选择刚刚创建的连接。
如果已选择对 Microsoft Sentinel(或其他受支持的连接)使用托管标识连接,请确保授权新的 playbook 访问 Microsoft Sentinel 工作区或其他连接器的相关目标资源。
保存 playbook。 该 playbook 即会出现在“活动 Playbook”选项卡中。
若要运行你的 playbook,请设置自动响应或手动运行它。 有关详细信息,请参使用 Microsoft Sentinel playbook 响应威胁。
报告 playbook 模板中的问题
若要报告 bug 或请求改进某个 playbook,请在该 playbook 的详细信息窗格中选择“支持者”链接。 如果此 playbook 的支持工作由社区负责,则链接会转到可以提出 GitHub 问题的页面。 否则将会转到支持者的页面,并显示如何发送反馈的相关信息。