配置 Microsoft Sentinel 中的自动化

  • 7 分钟

什么是自动化规则和 playbook?

自动化规则可帮助你在 Microsoft Sentinel 中会审事件。 你可以使用它们自动将事件分配给适当的人员、关闭有干扰的事件或已知误报、更改其严重性并添加标记。 它们也是可用于为响应事件或警报而运行 playbook 的机制。

playbook 是可在 Microsoft Sentinel 中运行以响应整个事件、单个警报或特定实体的一个流程集合。 playbook 可帮助自动处理和编排响应,通过附加到自动化规则,可设置为在生成特定警报时或者在创建或更新事件时自动运行。 还可以针对特定事件、警报或实体按需手动运行。

Microsoft Sentinel 中的 playbook 基于 Azure 逻辑应用内置的工作流,这意味着你可获得逻辑应用的所有功能、自定义能力和内置模板。 每个 playbook 都为它所属的特定订阅而创建,但 Playbook 显示显示所有的 playbook 在所有所选订阅中都可用。

例如,如果想要阻止可能被入侵的用户进入你的网络并偷窃信息,可以针对检测被入侵用户的规则所生成的事件创建自动、多面的响应。 首先,创建一个执行以下操作的 playbook:

  1. 如果 playbook 由自动化规则向其传递事件而受到调用,playbook 将在 ServiceNow 或任何其他 IT 票证系统中打开一个票证。

  2. 它向 Microsoft TeamsSlack 中的安全操作频道发送一条消息,确保安全分析师注意到此事件。

  3. 它还将事件中的所有信息通过电子邮件发送给高级网络管理员和安全管理员。该电子邮件中会包含“阻止”和“忽略”用户选项按钮 。

  4. playbook 将等待,直到从管理员收到响应,然后继续执行后续步骤。

  5. 如果管理员选择“阻止”,它会将命令发送到 Microsoft Entra ID 以禁用该用户,并将一个命令发送到防火墙以阻止 IP 地址。

  6. 如果管理员选择“忽略”,playbook 会关闭 Microsoft Sentinel 中的事件,并关闭 ServiceNow 中的票证。

为了触发 playbook,你将创建一个自动化规则,在这些事件生成时运行。 该规则将执行以下步骤:

  1. 规则将事件状态更改为“活动”。

  2. 它将事件分配给负责管理此类事件的分析人员。

  3. 它添加“被入侵用户”标记。

  4. 最后,它调用刚创建的 playbook。 (此步骤需要特殊权限。)

可以通过创建调用 playbook 的自动化规则来响应事件自动运行 playbook,如上例所示。 还可以通过指示分析规则在警报生成时自动运行一个或多个 playbook 来响应警报自动运行。

也可以选择按需手动运行 playbook,作为对所选警报的响应。

获取更完整和更详细的介绍,了解在 Microsoft Sentinel 中使用自动化规则playbook 自动执行威胁响应。

创建 playbook

按照以下步骤在 Microsoft Sentinel 中创建新的 playbook:

  1. 对于 Azure 门户中的 Microsoft Sentinel,请选择“配置”>“自动化”页面。 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“配置”>“自动化”。
  2. 在顶部菜单中选择“创建”。
  3. “创建”下面的下拉菜单提供了用于创建 playbook 的四个选项:
    • 如果要创建“标准”playbook(新类型 - 请参阅逻辑应用类型),请选择“空白 playbook”,然后按照下面的“逻辑应用 - 标准”选项卡中的步骤操作。

    • 如果要创建消耗 playbook(原始的经典类型),则根据要使用的触发器,可以选择“带有事件触发器的 Playbook”、“带有警报触发器的 Playbook”或“带有实体触发器的 Playbook”。 然后,按照下面的“逻辑应用 - 消耗”选项卡中的步骤继续操作。

有关要使用哪个触发器,请参阅在 Microsoft Sentinel playbook 中使用触发器和操作。 有关要使用哪个触发器,请参阅在 Microsoft Sentinel playbook 中使用触发器和操作

在“基本信息”选项卡中:

  1. 从相应的下拉列表中选择“订阅”、“资源组”和“区域”。 所选区域是存储逻辑应用信息的位置。

  2. 在“Playbook 名称”下输入你的 playbook 名称。

  3. 若要监视此 playbook 的活动以进行诊断,请选中“在 Log Analytics 中启用诊断日志”复选框,然后从下拉列表中选择你的 Log Analytics 工作区。

  4. 如果 playbook 需要访问 Azure 虚拟网络内部或连接到 Azure 虚拟网络的受保护资源,可能需要使用集成服务环境 (ISE)。 如果是这样,请选中“与集成服务环境关联”复选框,然后从下拉列表中选择所需的 ISE。

  5. 选择“下一步”连接>。

在“连接”选项卡中:

最好是将此部分保留原有设置,即,将逻辑应用配置为使用托管标识连接到 Microsoft Sentinel。 了解此身份验证方法和其他替代身份验证方法。

选择“下一步: 查看并创建”。

在“查看并创建”选项卡中:

查看所做的配置选择,然后选择“创建并转到设计器”。

创建和部署 playbook 需要几分钟时间,然后你会看到“部署已完成”消息,并且会转到新 playbook 的逻辑应用设计器。 最初选择的触发器将自动添加为第一个步骤,从中可以继续设计工作流。

如果选择了“Microsoft Sentinel 实体(预览版)”触发器,请选择希望此 playbook 作为输入接收的实体类型。

显示如何选择希望 playbook 作为输入接收的实体类型的示例的屏幕截图。

添加操作

现在可以定义调用 playbook 时的响应。 通过选择新建步骤,可以添加操作、逻辑条件、循环或 switch case 条件。 此选择会在设计器中打开新框架,可在此处选择要交互的系统或应用程序或要设置的条件。 在框架顶部的搜索栏中输入系统或应用程序的名称,然后从可用结果中选择。

在上述每个步骤中,单击任意字段都将显示一个有两个菜单的面板:动态内容和表达式。 从“动态内容”菜单中,可以添加对传递给 playbook 的警报或事件属性的引用,包括所有映射实体的值和属性以及警报或事件中包含的自定义详细信息。 从表达式菜单中,可以在大型函数库中选择,将其他逻辑添加到步骤。

此屏幕截图显示了在创建本文档开头的示例中描述的 playbook 时要添加的操作和条件。 详细了解如何将操作添加到 playbook

显示在创建 playbook 时要添加的操作和条件的屏幕截图。

请参阅在 Microsoft Sentinel playbook 中使用触发器和操作,了解可添加到 playbook 以用于不同目的的操作的详细信息。

特别是,请注意有关非事件上下文中基于实体触发器的 playbook 的重要信息

自动响应威胁

创建了 playbook 并定义了触发器,设置了条件,规定了要执行的操作以及将生成的输出。 现在,需要确定其运行的条件,并设置在满足这些条件时使其运行的自动化机制。

响应事件和警报

若要使用 playbook 自动响应整个事件或单个警报,请创建一个自动化规则,该规则会在创建或更新事件时,或者在生成警报时运行。 此自动化规则将包含调用要使用的 playbook 的步骤。

创建自动化规则:

  1. 从 Microsoft Sentinel 导航菜单的“自动化”页中,从顶部菜单中选择“创建”,然后选择“自动化规则”
  2. 创建新自动化规则面板开启。 输入规则的名称。 根据工作区是否已加入统一安全操作平台,此处的选项会有所不同。 例如:
  3. 触发器:根据要为其创建自动化规则的情形(创建事件时、更新事件时或创建警报时)选择适当的触发器。
  4. 条件:
    • 如果工作区尚未加入到统一的安全操作平台,则事件可以有两个可能的来源:
    • 如果选择了其中一个事件触发器,并且希望自动化规则仅对源于 Microsoft Sentinel 或 Microsoft Defender XDR 的事件生效,请在“如果事件提供程序等于”条件中指定来源。
    • 仅当选择了事件触发器并且工作区未加入到统一的安全操作平台时,才会显示此条件。
    • 对于所有触发器类型,如果希望自动化规则仅对某些分析规则生效,可通过修改“如果分析规则名称包含”条件来指定。
    • 添加要用于确定此自动化规则是否运行的任何其他条件。 选择“+ 添加”,然后从下拉列表中选择条件或条件组。 条件列表由警报详细信息和实体标识符字段填充。
  5. 操作
    • 由于是使用此自动化规则运行 playbook,因此请从下拉列表中选择“运行 playbook”操作。 然后,系统会提示你从显示可用 playbook 的第二个下拉列表中进行选择。 自动化规则只能运行那些以与规则中定义的触发器相同的触发器(事件或警报)开头的 playbook,因此列表中只会显示这些 playbook。

重要

必须向 Microsoft Sentinel 授予显式权限以运行 playbook(无论是手动还是通过自动化规则运行)。 如果 playbook 在下拉列表中为"灰显"状态,则表示 Sentinel 无权访问该 playbook 的资源组。 单击管理 playbook 权限链接以分配权限。

在打开的管理权限面板中,标记包含要运行的 playbook 的资源组的复选框,然后单击 应用

  • 你必须对要授予 Microsoft Sentinel 权限的任何资源组具有所有者权限,并且必须对包含要运行的 playbook 的任何资源组具有逻辑应用参与者角色。
  • 在多租户部署中,如果要运行的 playbook 位于其他租户中,则必须授予 Microsoft Sentinel 权限才能在 playbook 的租户中运行 playbook。
  • 从 playbook 的租户中的 Microsoft Sentinel 导航菜单中,选择“设置”。
  • 设置边栏选项卡中,选择设置选项卡,然后选择 playbook 权限扩展器。
  • 单击“配置权限”按钮,打开上面提到的“管理权限”面板,然后继续执行所述操作

在 MSSP 方案中,你希望从登录到服务提供商租户时创建的自动化规则中在客户租户中运行 playbook,你必须授予 Microsoft Sentinel 权限才能在两个租户中运行 playbook。 在“客户”租户中,按照上述项目符号点中的多租户部署的说明进行操作。 在服务提供商租户中,必须在 Azure Lighthouse 加入模板中添加 Azure Security Insights 应用:

  1. 在“Azure 门户”中,转到“Microsoft Entra ID”

  2. 单击“企业应用程序”。

  3. 选择“应用程序类型”,并根据“Microsoft 应用程序”进行筛选。

  4. 在搜索框中,键入 Azure Security Insights。

  5. 复制“对象 ID”字段。 需要将此附加授权添加到现有的 Azure Lighthouse 委派。

“Microsoft Sentinel 自动化参与者”角色具有固定的 GUID,即 f4c81013-99ee-4d62-a7ee-b3f1f648599a

  1. 为此规则添加所需的任何其他操作。 可以通过选择任何操作右侧的向上或向下箭头来更改操作的执行顺序。

  2. 如果想自动化规则有到期日期,可以设置一个。

  3. 顺序下输入一个数字,以确定此规则在自动化规则序列中运行的位置。

  4. 选择“应用”。 大功告成!

响应警报 - 旧方法

自动运行 playbook 以响应警报的另一种方法是通过分析规则调用它们。 该规则生成警报时,playbook 将运行。

此方法将于 2026 年 3 月弃用。

从 2023 年 6 月开始,你将无法再以这种方式将 playbook 添加到分析规则。 但是,你仍可以查看从分析规则调用的现有 playbook,这些 playbook 在 2026 年 3 月前仍将运行。 强烈建议在那之前先创建自动化规则来调用这些 playbook

按需运行 playbook

还可以按需手动运行 playbook,以响应警报、事件(预览版)或者实体(也是预览版)。 这在需要更多人工输入和控制业务流程和响应过程的情况下非常有用。

对警报手动运行 playbook

注意

统一安全操作平台不支持此过程。

在“Azure 门户”中,根据需要为环境选择以下选项卡之一

  1. 在“事件”页中,选择一个事件。 在 Azure 门户中,选择事件详细信息窗格底部的查看完整详细信息,打开事件详细信息页。

  2. 在事件详细信息页上的“事件时间线”小组件中,选择要运行 playbook 的警报。 选择警报行末尾的三个点,然后从弹出菜单中选择“运行 playbook”。

显示 Microsoft Sentinel 中事件时间线详细信息页示例的屏幕截图。

  1. “警报 playbook”窗格随即打开。 你将看到一个列表,其中列出了配置了你有权访问的“Microsoft Sentinel 警报”逻辑应用触发器的所有 playbook。

  2. 在特定 playbook 行上选择“运行”可立即运行该 playbook。

可以通过选择“警报 playbook”窗格上的“运行”选项卡来查看警报 playbook 的运行历史记录。 任何刚完成的运行都可能需要几秒钟才会出现在列表中。 选择特定的运行会在逻辑应用中打开完整运行日志。