共用方式為

在 Microsoft Sentinel 中調查或威脅搜捕時回應威脅執行者

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal

本文說明如何在事件調查或威脅搜捕過程中,對現場的威脅執行者採取回應動作,而不需將調查或內容切換出調查或搜捕。 您可以使用以新的實體觸發程式為基礎的劇本來完成這項作業。

實體觸發程式目前支援下列實體類型:

重要

實體觸發程式目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

使用實體觸發程式執行劇本

當您調查事件,並判斷指定的實體 - 用戶帳戶、主機、IP 位址、檔案等 - 代表威脅時,您可以視需要執行劇本,對該威脅採取立即補救動作。 如果您在主動搜捕事件內容以外的威脅時遇到可疑實體,也可以這麼做。

  1. 選取您遇到的內容中的實體,然後選擇適當的方法來執行劇本,如下所示:

    • 在新事件詳細數據頁面 [概觀] 索引標籤的 [實體] 小工具中,或在 [實體] 索引標籤中,從清單中選擇實體,選取實體旁邊的三個點,然後從彈出視窗中選取 [執行劇本(預覽]。

      事件詳細數據頁面的螢幕快照。

      事件詳細數據頁面上實體索引標籤的螢幕快照。

    • 在事件的 [ 實體 ] 索引標籤中,從清單中選擇實體,然後選取 清單中其行尾的 [執行劇本(預覽] 連結。

      從事件詳細數據頁面選取實體以在其中執行劇本的螢幕快照。

    • 從 [ 調查] 圖表中,選取實體,然後選取 實體側面板中的 [執行劇本 ][預覽] 按鈕。

      從調查圖表選取實體以在其中執行劇本的螢幕快照。

    • 從 [ 實體行為] 頁面中,選取實體。 從產生的實體頁面中,選取左側面板中的 [執行劇本 (預覽] 按鈕。

      從實體行為頁面選取實體以在其中執行劇本的螢幕快照。

      在實體上執行劇本之所選實體頁面的螢幕快照。

  2. 這些全都會在實體類型>面板上開啟 [<執行劇本]。

    實體面板上執行劇本的螢幕快照。

    在上述任一面板中,您會看到兩個索引標籤: 劇本執行

  3. 在 [ 劇本] 索引 標籤中,您會看到您有權存取的所有劇本清單,以及針對該實體類型使用 Microsoft Sentinel 實體 觸發程式的清單(在此案例中為使用者帳戶)。 選取您要立即執行劇本的 [ 執行 ] 按鈕。

    如果您沒有看到您想要在清單中執行的劇本,這表示 Microsoft Sentinel 沒有在該資源群組中執行劇本的許可權。

    若要授與這些許可權,請選取 [設定 設定 > > 劇本許可權設定許可權>。 在 [ 管理許可權] 面板中,標記包含您要執行劇本之資源群組的複選框,然後選取 [ 套用]。

    如需詳細資訊,請參閱 Microsoft Sentinel 執行劇本所需的額外許可權。

  4. 您可以在 [執行] 索引標籤中稽核實體觸發程式劇本的活動。您會看到任何劇本在您選取的實體上執行的所有時間清單。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在此清單中。 選取特定回合將會在 Azure Logic Apps 中開啟完整執行記錄檔。

下一步

在本文中,您已瞭解如何手動執行劇本,以在調查事件或搜捕威脅時補救實體的威脅。