Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel

SOC-Analysten befassen sich mit zahlreichen Sicherheitswarnungen und Vorfällen, und das schiere Volumen kann Teams überwältigen, was zu ignorierten Warnungen und nicht investierten Vorfällen führt. Viele Warnungen und Vorfälle können durch die gleichen Gruppen vordefinierter Abhilfemaßnahmen behoben werden, die automatisiert werden können, um das SOC effizienter zu machen und Analysten eingehendere Untersuchungen zu ermöglichen.

Verwenden Sie Microsoft Sentinel-Playbooks, um vorkonfigurierte Sätze von Wartungsaktionen auszuführen und Ihre Bedrohungsreaktion zu automatisieren und zu koordinieren. Führen Sie automatisch Playbooks als Reaktion auf bestimmte Warnungen und Vorfälle aus, die eine konfigurierte Automatisierungsregel auslösen, oder führen Sie sie bei Bedarf manuell für eine bestimmte Entität oder Warnung aus.

Wenn zum Beispiel ein Konto und ein Computer kompromittiert sind, kann ein Playbook den Computer vom Netzwerk automatisch isolieren und das Konto sperren, bis das SOC-Team über den Incident informiert wird.

Hinweis

Da Playbooks Azure Logic Apps nutzen, fallen möglicherweise zusätzliche Gebühren an. Ausführlichere Informationen finden Sie auf der Preisseite von Azure Logic Apps.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

In der folgenden Tabelle sind allgemeine Anwendungsfälle aufgeführt, in denen die Verwendung von Microsoft Sentinel-Playbooks zum Automatisieren Ihrer Bedrohungsreaktion empfohlen wird:

Anwendungsfall Beschreibung
Anreicherung Sammeln Sie Daten und fügen sie an einen Incident an, um Ihr Team dabei zu unterstützen, intelligentere Entscheidungen zu treffen.
Bidirektionale Synchronisierung Synchronisieren Sie Microsoft Sentinel-Incidents mit anderen Ticketausstellungssystemen. Erstellen Sie zum Beispiel eine Automatisierungsregel für die Erstellung aller Incidents, und fügen Sie ein Playbook an, das ein Ticket in ServiceNow öffnet:
Orchestrierung Verwenden Sie die SOC-Chat-Plattform für Teams, um die Warteschlange der Incidents besser zu überwachen. Senden Sie beispielsweise eine Nachricht an Ihren Sicherheitskanal in Microsoft Teams oder Slack, um Ihre Sicherheitsanalysten auf den Vorfall aufmerksam zu machen.
Antwort Reagieren Sie mit minimalen menschlichen Eingriffen sofort auf Bedrohungen, z. B. wenn ein kompromittierter Benutzer oder Computer angezeigt wird. Alternativ können Sie während einer Untersuchung oder während der Suche eine Reihe automatisierter Schritte manuell auslösen.

Weitere Informationen finden Sie unter Empfohlene Anwendungsfälle, Vorlagen und Beispiele für Playbooks.

Voraussetzungen

Folgende Rollen sind erforderlich, um Azure Logic Apps zum Erstellen und Ausführen von Playbooks in Microsoft Sentinel verwenden zu können:

Rolle Beschreibung
Besitzer Ermöglicht Ihnen das Gewähren des Zugriffs auf Playbooks in der Ressourcengruppe.
Microsoft Sentinel-Mitwirkender Ermöglicht das Anfügen eines Playbooks an eine Analyse- oder Automatisierungsregel.
Microsoft Sentinel-Antwortender Ermöglicht den Zugriff auf einen Vorfall, um ein Playbook manuell auszuführen, aber nicht die Ausführung des Playbooks.
Microsoft Sentinel-Playbookoperator Ermöglicht die manuelle Ausführung eines Playbooks.
Microsoft Sentinel Automation-Mitarbeiter Ermöglicht die Ausführung von Playbooks durch Automatisierungsregeln. Diese Regel wird für keinen anderen Zweck genutzt.

In der folgenden Tabelle werden die erforderlichen Rollen beschrieben, je nachdem, ob Sie eine Verbrauchs- oder Standard-Logik-App auswählen, um Ihr Playbook zu erstellen:

Logik-App Azure-Rollen Beschreibung
Verbrauch Logik-App-Mitwirkender Erstellen und Verwalten von Logik-Apps. Ausführen von Playbooks Ermöglicht keine Gewährung von Zugriff auf Playbooks.
Verbrauch Logik-App-Operator Lesen, Aktivieren und Deaktivieren von Logik-Apps. Ermöglicht keine Bearbeitung oder Aktualisierung von Logik-Apps.
Standard Logic Apps-Standard-Operator Aktivieren, erneutes Übermitteln und Deaktivieren von Workflows in einer Logik-App.
Standard Logic Apps-Standard-Entwickler Erstellen und Bearbeiten von Logik-Apps.
Standard Logic Apps-Standard-Mitwirkender Verwalten aller Aspekte einer Logik-App.

Auf der Registerkarte Aktive Playbooks der Seite Automatisierung werden alle aktiven Playbooks angezeigt, die für alle ausgewählten Abonnements verfügbar sind. Standardmäßig kann ein Playbook nur innerhalb des Abonnements verwendet werden, zu dem es gehört, es sei denn, Sie erteilen Microsoft Sentinel-Berechtigungen für die Ressourcengruppe des Playbooks.

Zusätzliche Berechtigungen, die Microsoft Sentinel zum Ausführen von Playbooks benötigt

Microsoft Sentinel verwendet ein Dienstkonto, um Playbooks bei Vorfällen auszuführen, die Sicherheit zu verbessern und die Automatisierungsregeln-API zur Unterstützung von CI/CD-Anwendungsfällen zu aktivieren. Dieses Dienstkonto wird für durch Vorfälle ausgelöste Playbooks sowie beim manuellen Ausführen eines Playbooks für einen bestimmten Vorfall verwendet.

Zusätzlich zu Ihren eigenen Rollen und Berechtigungen muss dieses Microsoft Sentinel-Dienstkonto über einen eigenen Satz von Berechtigungen für die Ressourcengruppe verfügen, in der sich das Playbook befindet. Hierfür wird die Rolle Microsoft Sentinel Automation-Mitarbeiter verwendet. Wenn Microsoft Sentinel über diese Rolle verfügt, kann Sentinel jedes Playbook in der relevanten Ressourcengruppe ausführen – sowohl manuell als auch über eine Automatisierungsregel.

Um Microsoft Sentinel die erforderlichen Berechtigungen zu gewähren, müssen Sie über die Rolle Besitzer oder Benutzerzugriffsadministrator verfügen. Um die Playbooks auszuführen, benötigen Sie auch die Rolle Mitwirkender für Logik-Apps in der Ressourcengruppe mit den Playbooks, die Sie ausführen möchten.

Playbook-Vorlagen (Vorschau)

Wichtig

Playbookvorlagen befinden sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Playbook-Vorlagen sind vorgefertigte, getestete und gebrauchsfertige Workflows, die nicht als Playbooks selbst verwendet werden können, sondern von Ihnen an Ihre Bedürfnisse angepasst werden können. Außerdem wird empfohlen, Playbook-Vorlagen als Referenz für Best Practices bei der Entwicklung von Playbooks von Grund auf oder als Inspiration für neue Automatisierungsszenarien zu verwenden.

Sie können Playbook-Vorlagen aus den folgenden Quellen abrufen:

Standort Beschreibung
Seite „Microsoft Sentinel-Automatisierung“ Auf der Registerkarte Playbook-Vorlagen sind alle installierten Playbooks aufgelistet. Erstellen Sie ein oder mehrere aktive Playbooks mit derselben Vorlage.

Wenn wir eine neue Version einer Vorlage veröffentlichen, verfügen alle aktiven Playbooks, die aus dieser Vorlage erstellt wurden, über eine zusätzliche Kennzeichnung auf der Registerkarte Aktive Playbooks, um anzugeben, dass ein Update verfügbar ist.
Seite „Microsoft Sentinel Content Hub“ Playbook-Vorlagen sind als Teil von Produktlösungen oder eigenständigen Inhalten verfügbar, die Sie über den Content Hub installieren.

Weitere Informationen finden Sie unter
Informationen zu Microsoft Sentinel-Inhalten und -Lösungen
Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
GitHub Das Microsoft Sentinel-GitHub-Repository enthält viele andere Playbook-Vorlagen. Wählen Sie In Azure bereitstellen, um eine Vorlage für Ihr Abonnement bereitzustellen.

Technisch gesehen ist eine Playbook-Vorlage eine ARM-Vorlage (Azure Resource Manager), die aus mehreren Ressourcen besteht: einem Azure Logic Apps-Workflow und API-Verbindungen für jede einbezogene Verbindung.

Weitere Informationen finden Sie unter:

Workflow für Playbook-Erstellung und Nutzung

Verwenden Sie den folgenden Workflow zum Erstellen und Ausführen von Microsoft Sentinel-Playbooks:

  1. Definieren Sie Ihr Automatisierungsszenario. Es wird empfohlen, dass Sie sich zunächst die empfohlenen Playbook-Anwendungsfälle und Playbook-Vorlagen ansehen.

  2. Wenn Sie keine Vorlage verwenden, erstellen Sie Ihr Playbook und Ihre Logik-App. Weitere Informationen finden Sie unter Erstellen und Verwalten von Microsoft Sentinel-Playbooks.

    Testen Sie Ihre Logik-App, indem Sie sie manuell ausführen. Weitere Informationen finden Sie unter Manuelles Ausführen eines Playbooks nach Bedarf.

  3. Konfigurieren Sie Ihr Playbook so, dass es automatisch bei einer neuen Warnungs- oder Vorfallerstellung ausgeführt wird, oder führen Sie es nach Bedarf manuell für Ihre Prozesse aus. Weitere Informationen finden Sie unter Reagieren auf Bedrohungen mit Microsoft Sentinel-Playbooks.