你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营中心(SOC)面临持续的安全警报和事件流。 有效地管理这些管理对于保持组织的安全性至关重要。 Microsoft Sentinel playbook 是自动化的工作流,可帮助你快速一致地响应威胁。 本文介绍如何在 Microsoft Sentinel 中使用 playbook 来自动执行威胁响应、减少手动工作量,并使团队专注于更深入的调查。
使用 Microsoft Sentinel playbook 运行预配置的修正操作集,并自动处理和协调威胁响应。 自动运行 playbook,以响应触发配置自动化规则的特定警报和事件,或手动按需为特定实体或警报运行。
例如,如果帐户和计算机遭到入侵,playbook 可以自动将计算机与网络隔离,并在 SOC 团队收到事件通知之前阻止该帐户。
注意
由于 playbook 使用 Azure 逻辑应用,因此可能会收取额外的费用。 有关更多详细信息,请转到 Azure 逻辑应用 定价页。
重要
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
推荐用例
下表列出了 Microsoft Sentinel playbook 帮助自动处理威胁响应的常见用例:
| 用例 | 说明 |
|---|---|
| 扩充 | 收集数据并将其附加到事件,以便团队能够做出更好的决策。 |
| 双向同步 | 将 Microsoft Sentinel 事件与其他票证系统同步。 例如,为所有新事件创建自动化规则,并附加一个在 ServiceNow 中开具工单的 playbook。 |
| 业务流程 | 使用 SOC 团队的聊天平台管理事件队列。 例如,在 Microsoft Teams 或 Slack 中向安全作通道发送消息,以便安全分析人员知道该事件。 |
| 响应 | 立即以最少的人工参与(例如检测到遭到入侵的用户或计算机时)响应威胁。 或者,在调查或搜寻期间手动触发自动化步骤。 |
有关详细信息,请参阅“推荐的 playbook 用例、模板和示例”。
先决条件
需要以下角色才能使用 Azure 逻辑应用程序在 Microsoft Sentinel 中创建和运行剧本。
| 角色 | 说明 |
|---|---|
| 所有者 | 允许你授予对资源组中 playbook 的访问权限。 |
| Microsoft Sentinel 参与者 | 允许将 playbook 附加到分析或自动化规则。 |
| Microsoft Sentinel 响应者 | 允许访问事件以手动运行 playbook,但不允许运行 playbook。 |
| Microsoft Sentinel Playbook 操作员 | 允许手动运行 playbook。 |
| Microsoft Sentinel 自动化参与者 | 允许自动化规则运行 playbook。 此角色不用于任何其他目的。 |
下表根据是选择消耗型还是标准型逻辑应用来创建 playbook 描述了所需的角色:
| 逻辑应用 | Azure 角色 | 说明 |
|---|---|---|
| 消耗 | 逻辑应用参与者 | 编辑和管理逻辑应用。 运行 playbook。 不允许向 playbook 授予访问权限。 |
| 消耗 | 逻辑应用操作员 | 读取、启用和禁用逻辑应用。 不允许编辑或更新逻辑应用。 |
| 标准 | 标准型逻辑应用操作者 | 在逻辑应用中启用、重新提交和禁用工作流。 |
| 标准 | 标准型逻辑应用开发者 | 创建和编辑逻辑应用。 |
| 标准 | 标准型逻辑应用参与者 | 管理逻辑应用的各个方面。 |
“自动化”页上的“活动 playbook”选项卡会显示任何所选订阅中可用的所有活动 playbook。 默认情况下,playbook 只能在所属的订阅中使用,除非你专门向 playbook 的资源组授予 Microsoft Sentinel 权限。
运行 playbook 所需的额外 Microsoft Sentinel 权限
Microsoft Sentinel 使用服务帐户对事件运行 playbook,以增添安全性并使自动化规则 API 支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或者对特定事件手动运行 playbook 时。
除了你自己的角色和权限外,此 Microsoft Sentinel 服务帐户还必须对 playbook 所在的资源组拥有自己的权限集,其形式为 Microsoft Sentinel 自动化参与者角色。 Microsoft Sentinel 具有此角色后,可以手动或通过自动化规则运行相关资源组中的任何 playbook。
若要向 Microsoft Sentinel 授予所需权限,你必须具有“所有者”或“用户访问管理员”角色。 若要运行 playbook,还需要对包含要运行的 playbook 的资源组具有逻辑应用参与者角色。
Playbook 模板(预览版)
重要
playbook 模板目前以预览版提供 。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Playbook 模板是预先生成、经过测试和随时可用的工作流,它们本身不能用作 playbook 使用,但已准备好供你自定义,以满足你的需求。 我们还建议在从头开始开发 playbook 或作为新自动化方案的灵感时,将 playbook 模板用作最佳做法的参考。
请从以下来源获取操作手册模板:
| 位置 | 说明 |
|---|---|
| Microsoft Sentinel “自动化”页 | “Playbook 模板”选项卡显示所有已安装的 playbook。 使用同一个模板创建一个或多个活动 playbook。 发布新版模板时,从该模板创建的任何活动剧本在“活动剧本”选项卡中获得一个额外标签,以指示有更新可用。 |
| Microsoft Sentinel “内容中心”页 | Playbook 模板是从“内容中心”安装的产品解决方案或独立内容的一部分。 有关详细信息,请参阅。 关于 Microsoft Sentinel 内容和解决方案 发现和管理 Microsoft Sentinel 现成内容 |
| GitHub | Microsoft Sentinel GitHub 存储库包含许多其他剧本模板。 选择“部署到 Azure”将模板部署到你的 Azure 订阅。 |
playbook 模板是一个 Azure 资源管理器 (ARM) 模板,它包含多个资源:Azure 逻辑应用工作流,以及每个相关连接的 API 连接。
有关详细信息,请参阅:
- 从内容模板创建和自定义 Microsoft Sentinel playbook
- 建议的 playbook 模板
- 适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用
Playbook 创建和使用工作流
请按照以下步骤创建和运行 Microsoft Sentinel 剧本:
如果不使用模板,请创建 playbook 并生成逻辑应用。 有关详细信息,请参阅创建和管理 Microsoft Sentinel playbook。
通过手动运行逻辑应用来测试它。 有关详细信息,请参阅按需手动运行 playbook。
将 playbook 设置为在新警报或事件创建时自动运行,或根据需要手动运行进程。 有关详细信息,请参使用 Microsoft Sentinel playbook 响应威胁。