按需运行 playbook

在运行 playbook 之前，可能需要进一步调查在 Contoso 发生的某些事件。通过 Microsoft Sentinel，可以按需运行 playbook 以辅助深入调查。

你可以配置 playbook，使其根据事件详细信息按需运行，以便在调查中触发特定步骤，或执行某些补救措施。

考虑阻止可疑用户访问公司资源的情况。作为 Contoso 的安全管理员，你发现了一个误报事件。 Contoso 的一些用户通过虚拟专用网络连接从远程计算机访问资源，同时连接到办公室计算机。 Microsoft 云安全收到信号，并根据检测到来自非典型到访位置的潜在威胁这一漏洞，将用户标记为中等风险。

可以使用 playbook 在 Microsoft Entra ID 中自动消除此风险用户属性。

GitHub 上的 Microsoft Sentinel 存储库

GitHub 上的 Microsoft Sentinel 存储库包含随时可用的 playbook，可以帮助你自动响应事件。这些 playbook 是通过使用逻辑应用 Microsoft Sentinel 触发器的 Azure 资源管理器 (ARM) 模板定义的。

对于前面描述的场景，你可以使用 GitHub 上 Microsoft Sentinel 存储库中的“Dismiss-AADRiskyUser”playbook，并在你的 Azure 订阅中直接部署它。

对于来自 GitHub 的每个部署，必须首先授权 playbook 中的每个连接，然后才能在逻辑应用设计器中编辑它们。授权将创建与相应连接器的 API 连接，并存储令牌和变量。你可以在创建逻辑应用的资源组中找到该 API 连接。

每个 API 连接的名称都附加了“azuresentinel”前缀。编辑逻辑应用时，还可以在逻辑应用设计器中编辑连接。

描绘 API 连接授权的屏幕截图。

准备好 playbook 后，可以在 Microsoft Sentinel 中打开“事件”页面，然后选择现有事件。在“详细信息”窗格中，可以选择“查看完整详细信息”以浏览事件的属性。从“警报”面板中，你可以选择“查看 playbook”，然后运行一个现有 playbook。

以下屏幕截图描绘了可疑用户活动示例，可以为其附加“Dismiss-AADRiskyUser”playbook。

“事件”页的屏幕截图。

调查事件后，可以选择手动运行 playbook 以响应安全威胁。