共用方式為


建立和管理 Microsoft Sentinel 劇本 (部分機器翻譯)

劇本是可從 Microsoft Sentinel 執行以回應整個事件、個別警示或特定實體的程序集合。 劇本可協助自動化及協調您的回應,並可附加至自動化規則,以在產生特定警示或建立或更新事件時自動執行。 劇本也可以在特定事件、警示或實體上手動視需要執行。

本文說明如何建立和管理 Sentinel 劇本Microsoft。 您稍後可以將這些劇本附加至分析規則或自動化規則,或手動在特定事件、警示或實體上執行。

注意

Microsoft Sentinel 中的劇本是以 Azure Logic Apps建的工作流程為基礎,這表示您可以取得邏輯應用程式的所有功能、可自定義性和內建範本。 可能會收取額外費用。 如需定價資訊,請流覽 Azure Logic Apps 定價頁面

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

  • Azure 帳戶和訂用帳戶。 如果您沒有訂用帳戶,請註冊一個免費的 Azure 帳戶

  • 若要建立和管理劇本,您需要使用下列 Azure 角色其中之一來存取 Microsoft Sentinel:

    邏輯應用程式 Azure 角色 描述
    耗用 邏輯應用程式參與者 編輯和管理邏輯應用程式。
    耗用 邏輯應用程式操作員 讀取、啟用和停用邏輯應用程式。
    標準 Logic Apps 標準運算元 啟用、重新提交和停用工作流程。
    標準 Logic Apps 標準開發人員 建立和編輯工作流程。
    標準 Logic Apps 標準參與者 管理工作流程的所有層面。

    如需詳細資訊,請參閱下列文件:

  • 建立劇本之前,建議您先閱讀 適用於 Microsoft Sentinel 劇本的 Azure Logic Apps。

建立劇本

請遵循下列步驟,在 Microsoft Sentinel 中建立新的劇本:

  1. Azure 入口網站 或 Defender 入口網站,移至您的 Microsoft Sentinel 工作區。 在工作區功能表上的 [設定] 底下,選取 [自動化]。

  2. 從頂端功能表中,選取 [建立],然後選取下列其中一個選項:

    • 如果您要建立取用劇本,請根據要使用的觸發程式選取下列其中一個選項,然後遵循取用邏輯應用程式的步驟

      • 事件觸發程式的劇本
      • 具有警示觸發程式的劇本
      • 具有實體觸發程序的劇本

      本指南會繼續進行具有實體觸發程序的劇本。

    • 如果您要建立標準劇本,請選取 [空白劇本],然後遵循標準邏輯應用程式類型的步驟

    如需詳細資訊,請參閱Microsoft Sentinel 劇本中支援的邏輯應用程式類型和支援的觸發程式和動作。

準備劇本的邏輯應用程式

選取下列其中一個索引標籤,以取得如何為劇本建立邏輯應用程式的詳細數據,視您使用使用量或標準邏輯應用程式而定。 如需詳細資訊,請參閱 支援的邏輯應用程式類型

提示

如果您的劇本需要存取內部或連線至 Azure 虛擬網路的受保護資源, 請建立標準邏輯應用程式工作流程

標準工作流程會在單一租使用者 Azure Logic Apps 中執行,並支援使用私人端點進行輸入流量,讓您的工作流程可以私下且安全地與虛擬網路通訊。 標準工作流程也支援輸出流量的虛擬網路整合。 如需詳細資訊,請參閱使用私人端點保護虛擬網路與單一租用戶 Azure Logic Apps 之間的流量

選取包含事件、警示或實體觸發程式的觸發程序之後, [建立劇本 精靈] 隨即出現,例如:

此螢幕快照顯示 [建立劇本精靈] 和 [取用工作流程型劇本] 的 [基本] 索引標籤。

請遵循下列步驟來建立劇本:

  1. 在 [基本概念] 索引標籤中提供下列資訊:

    1. 針對 [ 訂用 帳戶和資源 群組],從其各自的清單中選取您想要的值。

      [ 區域 ] 值會設定為與相關聯 Log Analytics 工作區相同的區域。

    2. 針對劇 本名稱,輸入劇本的名稱。

    3. 若要監視此劇本的活動以進行診斷,請選取 [在Log Analytics 中啟用診斷記錄],然後選取Log Analytics工作區,除非您已選取工作區。

  2. 選取 [Next : Connections >] \(下一步:連線 >\)

  3. 在 [ 連線] 索引標籤上,我們建議保留預設值,以設定邏輯應用程式以使用受控識別連線到Microsoft Sentinel。

    如需詳細資訊,請參閱 向 Microsoft Sentinel 驗證劇本

  4. 若要繼續,請選取 [下一步:檢閱並建立 >]。

  5. 在 [ 檢閱和建立] 索引標籤上,檢閱您的設定選項,然後選取 [ 建立劇本]。

    Azure 需要幾分鐘的時間才能建立和部署您的劇本。 部署完成之後,您的劇本會在 Azure Logic Apps 的取用工作流程設計工具中開啟。 您稍早選取的觸發程式會自動顯示為工作流程的第一個步驟,因此您現在可以從這裡繼續建置工作流程。

    顯示已選取觸發程式的取用工作流程設計工具螢幕快照。

  6. 在設計工具上,如果尚未選取,請選取Microsoft Sentinel 觸發程式。

  7. 在 [ 建立連線 ] 窗格中,遵循下列步驟,提供聯機到 sentinel Microsoft的必要資訊。

    1. 針對 [ 驗證],請從下列會影響後續連線參數的方法中選取:

      方法 描述
      OAuth Open Authorization (OAuth) 是一種技術標準,可讓您授權應用程式或服務登入另一個應用程式,而不需要公開私人資訊,例如密碼。 OAuth 2.0 是授權的產業通訊協定,並授與受保護資源的有限存取權。 如需詳細資訊,請參閱以下資源:

      - 什麼是 OAuth
      - 具有 Microsoft Entra 識別符的 OAuth 2.0 授權
      服務主體 服務主體代表需要存取Microsoft Entra 租使用者所保護之資源的實體。 如需詳細資訊,請參閱 服務主體物件
      受控識別 Microsoft Entra ID 中自動管理的身分識別。 應用程式可以使用此身分識別來存取支援 Microsoft Entra 驗證的資源,並取得Microsoft Entra 令牌,而不需要管理任何認證。

      為了獲得最佳安全性,Microsoft建議盡可能使用受控識別進行驗證。 此選項提供更高的安全性,並協助保護驗證資訊的安全,因此您不需要管理此敏感性資訊。 如需詳細資訊,請參閱以下資源:

      - 什麼是 Azure 資源受控識別?
      - 使用 Azure Logic Apps 中的受控識別來驗證 Azure 資源的存取和連線。

      如需詳細資訊,請參閱 驗證提示

    2. 根據您選取的驗證選項,提供對應選項的必要參數值。

      如需這些參數的詳細資訊,請參閱 Microsoft Sentinel 連接器參考

    3. 針對 [ 租使用者標識符],選取您的 Microsoft Entra 租使用者標識符

    4. 當您完成時,請選取 [ 登入]。

  8. 如果您先前選擇 具有實體觸發程式的劇本,請選取您希望此劇本接收作為輸入的實體類型。

    此螢幕快照顯示具有實體觸發程式的取用工作流程劇本,以及用來設定劇本架構的可用實體類型。

驗證提示

當您新增需要驗證的觸發程式或後續動作時,可能會提示您從對應資源提供者支援的可用驗證類型中選擇。 在此範例中,Microsoft Sentinel 觸發程式是您新增至工作流程的第一個作業。 因此,資源提供者Microsoft Sentinel,其支援數個驗證選項。 如需詳細資訊,請參閱下列文件:

將動作新增至劇本

既然您已擁有劇本的工作流程,請定義呼叫劇本時會發生什麼事。 在設計工具上選取加號 (+) 來新增動作、邏輯條件、迴圈或切換案例條件。 如需詳細資訊,請參閱 使用觸發程式或動作建立工作流程。

此選取項目會開啟 [ 新增動作 ] 窗格,您可以在其中流覽或搜尋服務、應用程式、系統、控制流程動作等等。 輸入搜尋字詞或選取您想要的資源之後,結果清單會顯示可用的動作。

在每個動作中,當您在欄位內選取時,您會取得下列選項:

  • 動態內容 (閃電圖示):從工作流程中上述動作的可用輸出清單中選擇,包括Microsoft Sentinel 觸發程式。 例如,這些輸出可以包含傳遞至劇本的警示或事件屬性,包括警示或事件中所有 對應實體 的值和屬性,以及 警示或事件中的自定義詳細數據 。 您可以選取這些輸出,以新增目前動作的參考。

    如需使用動態內容的範例,請參閱下列各節:

  • 表達式編輯器 (函式圖示):從大型函式連結庫中進行選擇,以將更多邏輯新增至您的工作流程。

如需詳細資訊,請參閱 Microsoft Sentinel 劇本中支援的觸發程式和動作。

動態內容:沒有事件標識碼的實體劇本

使用 Microsoft Sentinel 實體 觸發程式建立的劇本通常會使用 事件 ARM 標識符 字段,例如,在對實體採取動作之後更新事件。 如果在與事件無關的案例中觸發這類劇本,例如當威脅搜捕時,沒有事件標識碼可填入此字段。 相反地,欄位會填入 Null 值。 因此,劇本可能無法執行到完成。

若要防止此失敗,建議您建立條件,在工作流程採取任何其他動作之前,先檢查事件標識符欄位中的值。 如果欄位具有 Null 值,您可以指定一組不同的動作,因為劇本未從事件執行。

  1. 在您的工作流程中,在參照 [事件 ARM 標識符 ] 字段的第一個動作之前, 遵循下列一 般步驟來新增條件 動作

  2. 在 [ 條件 ] 窗格中,選取條件數據列的左側 [選擇值 ] 字段,然後選取動態內容選項 (閃電圖示)。

  3. 從動態內容清單中,在 [Microsoft Sentinel 事件] 底下,使用搜尋方塊來尋找並選取 [事件 ARM 標識符]。

    提示

    如果輸出未出現在清單中,請在觸發程式名稱旁,選取 [查看更多]。

  4. 在中間欄位中,從運算子清單中選取 不等於

  5. 在右側 [選擇值 ] 字段中,然後選取 [表達式編輯器] 選項 (函式圖示)。

  6. 在編輯器中,輸入 null,然後選取 [ 新增]。

當您完成時,您的條件看起來會類似下列範例:

此螢幕快照顯示 [事件 ARM 識別符] 欄位之前要新增的額外條件。

動態內容:使用自定義詳細數據

Microsoft Sentinel 事件觸發程式中,警示自定義詳細數據輸出是 JSON 對象的陣列,其中每個物件都代表警示中的自定義詳細數據。 自定義詳細數據是索引鍵/值組,可讓您在警示中呈現來自事件的資訊,以便在事件中呈現、追蹤和分析它們。

警示中的這個欄位是可自定義的,因此其架構取決於浮出水面的事件類型。 若要產生決定如何剖析自定義詳細資料輸出的架構,請從這個事件的實例提供資料:

  1. 在 [Microsoft Sentinel 工作區] 功能表上的 [組態] 底下,選取 [分析]。

  2. 請遵循步驟來建立或開啟現有的 排程查詢規則NRT 查詢規則

  3. 在 [ 設定規則邏輯 ] 索引標籤上, 展開 [ 自定義詳細數據 ] 區段,例如:

    此螢幕快照顯示分析規則中定義的自定義詳細數據。

    下表提供這些機碼/值組的詳細資訊:

    項目 Location 描述
    索引鍵 左欄 代表您建立的自定義欄位。
    ReplTest1 右欄 代表填入自定義欄位的事件數據中的欄位。
  4. 若要產生架構,請提供下列範例 JSON 程式代碼:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
    

    程式代碼會將索引鍵名稱顯示為陣列,並將值顯示為陣列中的專案。 值會顯示為實際值,而不是包含值的數據行。

若要針對事件觸發程式使用自定義欄位,請針對您的工作流程遵循下列步驟:

  1. 在工作流程設計工具的 Microsoft Sentinel 事件 觸發程式底下,新增名為 Parse JSON 的內建動作。

  2. 在動作的內容參數內選取 ,然後選取動態內容清單選項(閃電圖示)。

  3. 從清單中,在 [事件觸發程式] 區段中,尋找並選取 [警示自定義詳細數據],例如:

    顯示動態內容清單中的已選取 [警示自定義詳細資料] 的螢幕快照。

    因為事件包含警示陣列,因此此選取專案會自動新增 For each 循環 剖析 JSON

  4. 在 [ 剖析 JSON 資訊] 窗格中,選取 [ 使用範例承載來產生架構],例如:

    顯示 [使用範例承載來產生架構連結] 選項的螢幕快照。

  5. 在 [ 輸入或貼上範例 JSON 承載] 方塊中,提供範例承載 ,然後選取 [ 完成]。

    例如,您可以在Log Analytics 中尋找此警示的另一個實例,然後複製自定義詳細數據物件,以尋找範例承載,您可以在 [擴充屬性] 下找到該物件。 若要存取 Log Analytics 數據,請移至 Azure 入口網站 中的 [記錄] 頁面或 Defender 入口網站中的 [進階搜捕] 頁面。

    下列範例顯示先前的範例 JSON 程式代碼:

    顯示範例 JSON 承載的螢幕快照。

    當您完成時,[ 架構 ] 方塊現在會根據您提供的範例包含產生的架構。 [剖析 JSON] 動作會建立自定義欄位,您現在可以在工作流程的後續動作中使用數位類型作為動態字段

    下列範例會針對名為 Compose 的後續動作,顯示架構和動態內容清單中的陣列及其專案:

    螢幕快照顯示已準備好使用架構中的動態欄位。

管理您的劇本

選取 [ 自動化 > 作用中劇本] 索引 卷標,以檢視您有權存取的所有劇本,並依訂用帳戶檢視篩選。

在您上線至 Microsoft Defender 入口網站之後,[使用中劇本] 索引卷標預設會顯示預先定義的篩選,並具有上線工作區的訂用帳戶。 在 Azure 入口網站 中,從全域 Azure 頁面標頭中的 [目錄 + 訂用帳戶] 選單編輯您顯示的訂用帳戶。

雖然 [使用中 劇本] 索引 卷標會顯示任何所選訂用帳戶中可用的所有使用中劇本,但根據預設,劇本只能在其所屬的訂用帳戶內使用,除非您特別授與Microsoft Sentinel 許可權給劇本的資源群組。

[使用中的 劇本] 索引 標籤會顯示您的劇本,其中包含下列詳細數據:

資料行名稱 描述
狀態 指出劇本是否已啟用或停用。
計劃 指出劇本 使用 StandardConsumption Azure Logic Apps 資源類型。

標準類型的劇本會使用LogicApp/Workflow命名慣例,以反映標準劇本如何代表與單一邏輯應用程式中其他工作流程並存的工作流程。

如需詳細資訊,請參閱 適用於 Microsoft Sentinel 劇本的 Azure Logic Apps。
觸發程式種類 指出 Azure Logic Apps 中啟動此劇本的觸發程式:

- Microsoft Sentinel 事件/警示/實體:劇本是以其中一個 Sentinel 觸發程序啟動,包括事件、警示或實體
- 使用 Microsoft Sentinel 動作:劇本是以非Microsoft Sentinel 觸發程序啟動,但使用 Microsoft Sentinel 巨集指令
- 其他:劇本不包含任何Microsoft Sentinel 元件
- 未初始化:劇本已建立,但不包含任何元件,兩者都不會觸發任何動作。

選取劇本以開啟其 Azure Logic Apps 頁面,其中顯示劇本的詳細數據。 在 [Azure Logic Apps] 頁面上:

  • 檢視劇本執行的所有時間記錄
  • 檢視執行結果,包括成功和失敗和其他詳細數據
  • 如果您有相關許可權,請在 Azure Logic Apps 中開啟工作流程設計工具,直接編輯劇本

建立劇本之後,請將它附加至環境中事件所觸發的規則,或手動在特定事件、警示或實體上執行劇本。

如需詳細資訊,請參閱