介绍
Microsoft Sentinel playbook 是一组安全过程,你可以运行这些过程来响应警报。
Contoso, Ltd. 是伦敦的一家中型金融服务公司,在纽约设有分支机构。 Contoso 使用几个 Microsoft 产品和服务来实现其资源的数据安全和威胁防护。 这些产品包括:
Microsoft Office 365
Microsoft Entra ID
Microsoft Entra ID 保护
Defender for Cloud Apps
Microsoft Defender for Identity
用于终结点的 Microsoft Defender
Microsoft Defender for Office 365
System Center Endpoint Protection
Microsoft Azure 信息保护
Contoso 使用付费版 Microsoft Defender for Cloud 为其基于 Azure 的资源和本地资源提供威胁防护。 该公司还监视和保护其他非 Microsoft 资产。
Contoso 安全操作 (SecOps) 团队对该组织最近的安全事件反应不够迅速。 Contoso 的 IT 主管希望实现 Microsoft Sentinel playbook,以帮助 SecOps 团队识别和阻止潜在的安全威胁。 作为 Contoso 的首席安全工程师兼 Azure 管理员,你的任务是设置 Microsoft Sentinel playbook 以响应安全事件。
在本模块中,你将了解 Microsoft Sentinel 中的安全业务流程和自动化与响应 (SOAR) 功能。 你将了解如何创建和编辑 Microsoft Sentinel playbook、配置其工作流以及管理它们。
完成本模块后,你将能够在 Microsoft Sentinel 中设置安全 playbook,以帮助 SecOps 团队有效地响应警报。
学习目标
介绍 Microsoft Sentinel SOAR 功能。
探索 Microsoft Sentinel 逻辑应用连接器。
创建 playbook 来自动执行事件响应。
按需运行 playbook 以响应事件。
先决条件
自动化和监视
Azure Monitor 及其 Log Analytics 工作区
Azure 逻辑应用
交互式实验室模拟
注意
选择缩略图来启动实验室模拟。 完成后,请务必返回到此页面,以便可以继续学习。
