練習 - 建立 Microsoft Sentinel 劇本
身為任職於 Contoso 的安全性作業分析師,您最近發現當某人刪除虛擬機器時產生大量的警示。 您想要分析未來的這種情況,並減少因出現誤判而產生的警示數。
練習:使用 Microsoft Sentinel 劇本進行威脅回應
您決定實作 Microsoft Sentinel 劇本,以將事件的回應自動化。
在本練習中,您將執行下列工作來探索 Microsoft Sentinel 劇本:
設定 Microsoft Sentinel 劇本權限。
建立劇本將事件的回應動作自動化。
叫用事件來測試劇本。
注意
您必須已完成 [練習設定] 單元,才能夠完成此練習。 如果您尚未這麼做,請先完成該單元,然後再繼續進行練習步驟。
工作 1: 設定 Microsoft Sentinel 劇本權限
在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。
在 [Microsoft Sentinel] 頁面中,在功能表列上,選取 [設定] 區段中的 [設定]。
在 [設定] 頁面中,選取 [設定] 索引標籤,然後向下捲動並展開 [劇本權限]
在 [劇本權限] 中,選取 [設定權限] 按鈕。
在 [瀏覽] 索引標籤下的 [管理權限] 頁面中,選取 Microsoft Sentinel 工作區所屬的資源群組。 選取套用。
您應該會看到 [已完成新增權限] 訊息。
工作 2: 使用 Microsoft Sentinel 劇本
在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。
在 [Microsoft Sentinel] 頁面的功能表列上,選取 [設定] 區段中的 [自動化]。
在頂端功能表上,選取 [建立] 和 [具有事件觸發程序的劇本]。
在 [建立劇本] 頁面中的 [基本] 索引標籤上,指定下列設定:
設定 值 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 Microsoft Sentinel 服務的資源群組。 劇本名稱 ClosingIncident (您可選擇任何名稱) 區域 選取與 Microsoft Sentinel 位置相同的位置。 Log Analytics 工作區 請勿啟用診斷記錄 選取 [下一步: 連線]>,然後選取 [下一步: 檢閱並建立]>
選取 [建立並繼續前往設計工具]
注意
等待部署完成。 部署應該不到 1 分鐘便能完成。 如果持續執行,您可能需要重新整理頁面。
在 [Logic Apps 設計工具] 窗格中,您應該會看到顯示的 [Microsoft Sentinel 事件 (預覽)]。
在 [Microsoft Sentinel 事件 (預覽)] 頁面上,選取 [變更連線] 連結。
在 [連線] 頁面上,選取 [新增新項目]。
在 [Microsoft Sentinel] 頁面上,選取 [登入]。
在 [登入您的帳戶] 頁面上,提供 Azure 訂用帳戶的認證。
返回 [Microsoft Sentinel 事件 (預覽)] 頁面,您應該會看到您已連結到您的帳戶。 選取 + 新步驟。
在 [選擇作業] 視窗的搜尋欄位中,輸入 [Microsoft Sentinel]。
選取 [Microsoft Sentinel] 圖示。
在 [動作] 索引標籤上,尋找並選取 [取得事件 (預覽)]。
在 [取得事件 (預覽)] 視窗中,選取 [事件 ARM 識別碼] 欄位。 [新增動態內容] 視窗會隨即開啟。
提示
當選取欄位時,即會開啟新的視窗來協助您將動態內容填入這些欄位。
在 [動態內容] 索引標籤的搜尋方塊中,您可以開始輸入 [事件 ARM],然後從清單中選取項目,如下列螢幕擷取畫面所示。
![[取得事件] 的螢幕擷取畫面。](../../wwl-sci/threat-response-sentinel-playbooks/media/06-get-incident.png)
選取 + 新步驟。
在 [選擇作業] 視窗的搜尋欄位中,輸入 [Microsoft Sentinel]。
提示
在 [專屬於您] 索引標籤中,[最近的選取項目] 應該會顯示 [Microsoft Sentinel] 圖示。
選取 [Microsoft Sentinel] 圖示。
從 [動作] 索引標籤中,尋找並選取 [更新事件 (預覽)]。
在 [變更事件 (預覽)] 視窗中,提供下列輸入:
設定 值 指定 [事件 ARM 識別碼] 事件 ARM 識別碼 指定 [擁有者物件識別碼 / UPN] 事件擁有者物件識別碼 指定 [指派/取消指派擁有者] 從下拉式功能表中,選取 [取消指派] 嚴重性 您可以保留預設 [事件嚴重性] 指定 [狀態] 從下拉式功能表中,選取 [已關閉]。 指定 [分類原因] 從下拉式功能表中,選取諸如 [未決定] 之類的項目,或選取 [輸入自訂值],然後選取 [IncidentClassification 動態內容]。 關閉原因文字 撰寫描述性文字。 ![[取得事件] 狀態的螢幕擷取畫面。](../../wwl-sci/threat-response-sentinel-playbooks/media/06-change-incident-status.png)
選取 [事件 ARM 識別碼] 欄位。 [新增動態內容] 視窗會隨即開啟,您可以在搜尋方塊中開始輸入 [事件 ARM]。 選取 [事件 ARM 識別碼],然後選取 [擁有者物件識別碼/ UPN] 欄位。
[新增動態內容] 視窗會隨即開啟,您可以在搜尋方塊中開始輸入 [事件擁有者]。 選取 [事件擁有者物件識別碼],然後使用資料表項目填入其餘欄位。
完成後,從 [Logic Apps 設計工具] 功能表列選擇 [儲存],然後關閉 [Logic Apps 設計工具]。
工作 3: 叫用事件並檢閱相關聯的動作
在 Azure 入口網站中,於 [搜尋資源、服務及文件] 文字方塊中輸入 [虛擬機器],然後選取 [輸入]。
在 [虛擬機器] 頁面上,找到並選取 [simple-vm] 虛擬機器,然後在標頭列上選取 [刪除]。
在 [刪除 simple-vm] 頁面上,針對 [OS 磁碟] 和 [網路介面] 選取 [使用 VM 刪除]。
選取方塊以確認 [我已閱讀並瞭解此虛擬機器以及任何選取的資源將會遭到刪除],然後選取 [刪除] 以刪除虛擬機器。
注意
此工作會根據稍早在練習設定單元中建立的分析規則來建立事件。 事件建立最多可能需要花費 15 分鐘的時間。 請先等候完成,再繼續進行下一個步驟。
工作 4: 將劇本指派給現有的事件
在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。
在 [Microsoft Sentinel | 概觀] 頁面的功能表列上,選取 [威脅管理] 區段中的 [事件]。
注意
如先前筆記所述,建立事件最多可能需要 15 分鐘的時間。 重新整理頁面,直到 [事件] 頁面中出現事件為止。
在 [Microsoft Sentinel | 事件] 頁面上,選取已根據虛擬機器刪除而建立的事件。
在詳細資料窗格中,選取 [動作] 和 [執行劇本 (預覽)]。
在 [在事件上執行劇本] 頁面上的 [劇本] 索引標籤 中,您應該會看到 [ClosingIncident] 劇本,選取 [執行]。
確認收到訊息:[已成功觸發劇本]。
關閉 [在事件上執行劇本] 頁面,以返回 [Microsoft Sentinel |事件] 頁面。
在 [Microsoft Sentinel | 事件] 頁面的標頭列上,選取 [重新整理]。 您會發現事件已從窗格中消失。 在 [狀態] 功能表上,選取 [已關閉],然後選取 [確定]。
注意
最多可能需要 5 分鐘的時間,警示才會顯示為 [已關閉]
確認事件再次顯示,並注意 [狀態] 資料行,檢查其是否為 [已關閉]。
清除資源
在 Azure 入口網站中,搜尋資源群組。
選取 [azure-sentinel-rg]。
在標頭列上,選取 [刪除資源群組]。
在 [輸入資源群組名稱:] 欄位中,輸入資源群組名稱 azure-sentinel-rg,然後選取 [刪除]。