Créer et personnaliser des playbooks Microsoft Sentinel à partir de modèles

Un modèle de playbook est un flux de travail d’automatisation prédéfini, testé et prêt à l’emploi pour Microsoft Sentinel, qui peut être personnalisé pour répondre à vos besoins. Les modèles peuvent également servir de référence dans les bonnes pratiques pour le développement de règles à partir de zéro ou d’inspiration pour les nouveaux scénarios d’automatisation.

Les modèles de playbook ne sont pas eux-mêmes des playbooks actifs, et vous devez créer une copie modifiable pour vos besoins.

De nombreux modèles de playbooks sont développés par la communauté Microsoft Sentinel, les éditeurs de logiciels indépendants (ISV) et les experts de Microsoft, sur la base de scénarios d’automatisation populaires utilisés par les centres des opérations de sécurité du monde entier.

Important

Les modèles de playbook sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Pour créer et gérer des playbooks, vous devez accéder à Microsoft Sentinel avec l’un des rôles Azure suivants :

  • Contributeur d’application logique, pour modifier et gérer des applications logiques
  • Opérateur d’application logique, pour lire, activer et désactiver des applications logiques

Pour plus d’informations, consultez Prérequis du playbook Microsoft Sentinel.

Nous vous recommandons de lire Azure Logic Apps pour les playbooks Microsoft Sentinel avant de créer votre playbook.

Accéder aux modèles de playbook

Accédez aux modèles de playbook à partir des sources suivantes :

Emplacement Description
Page d’automatisation de Microsoft Sentinel L’onglet Modèles de playbook répertorie tous les playbooks installés. Créez un ou plusieurs playbooks actifs à l’aide du même modèle.

Quand une nouvelle version du modèle est publiée, les playbooks actifs créés à partir de ce modèle apparaissent dans l’onglet Playbooks actifs avec une étiquette supplémentaire indiquant qu’une mise à jour est disponible.
Page du hub de contenu Microsoft Sentinel Les modèles de playbooks sont disponibles dans le cadre de solutions de produits ou de contenu autonome que vous installez à partir du hub de contenu.

Pour plus d'informations, consultez les pages suivantes :
À propos du contenu et des solutions Microsoft Sentinel
Découvrir, puis gérer le contenu Microsoft Sentinel prêt à l’emploi
GitHub Le référentiel GitHub Microsoft Sentinel contient de nombreux autres modèles de playbook. Sélectionnez Déployer sur Azure pour déployer un modèle sur votre abonnement Azure.

Techniquement, un modèle de playbook est un modèle Azure Resource Manager (ARM) composé de plusieurs ressources : un flux de travail Azure Logic Apps et des connexions d’API pour chaque connexion impliquée.

Cet article porte sur le déploiement d’un modèle de playbook à partir de l’onglet Modèles de playbook sous Automatisation.

Explorer les modèles de playbook

Dans Microsoft Sentinel, dans le Portail Azure, sélectionnez Gestion du contenu>Hub de contenu. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Content hub.

Dans la page Hub de contenu, sélectionnez Type de contenu pour appliquer un filtre Playbook. Cette vue filtrée répertorie toutes les solutions et tout le contenu autonome qui incluent un ou plusieurs modèles de playbooks. Installez la solution ou le contenu autonome pour obtenir le modèle.

Ensuite, sélectionnez Configuration>Automatisation>onglet Modèles de playbook pour afficher les modèles installés. Par exemple :

Capture d’écran de la galerie de modèles de playbook.

Pour trouver un modèle de playbook adapté à vos besoins, filtrez la liste selon les critères suivants :

Filter Description
Déclencheur Filtrez par la façon dont le playbook est déclenché, y compris les incidents, les alertes ou les entités. Pour plus d’informations, consultez Déclencheurs Microsoft Sentinel pris en charge.
Connecteurs d’applications logiques Filtrez par services externes avec lesquels les playbooks interagissent. Pendant le processus de déploiement, chaque connecteur doit assumer une identité pour s’authentifier auprès du service externe.
Entités Filtrez par types d’entité que le playbook s’attend à trouver dans l’incident.

Par exemple, un playbook qui indique à un pare-feu de bloquer une adresse IP s’attend à trouver des adresses IP dans l’incident. Ces incidents peuvent être créés par une règle d’analyse d’attaque par force brute.
Balises Filtrez par étiquettes appliquées au playbook pour relier le playbook à un scénario spécifique ou pour indiquer une caractéristique spéciale. Par exemple :

- Enrichissement : les playbooks qui récupèrent des informations d’un autre service pour ajouter des informations de contexte à un incident. Ces informations sont généralement ajoutées sous forme de commentaire à l’incident ou envoyées au centre des opérations de sécurité (SOC).
- Correction : les playbooks qui entreprennent une action sur les entités concernées pour éliminer une menace potentielle.
- Synchronisation : le playbook qui aide à maintenir un service externe, tel qu’un service de gestion des incidents, à jour avec les propriétés de l’incident.
- Notification : les playbooks qui envoient un e-mail ou un message.
- Réponse de Teams : les playbooks qui permettent aux analystes d’effectuer une action manuelle à partir de Teams à l’aide de cartes interactives.

Par exemple :

Capture d’écran montrant comment filtrer la liste des modèles de playbook.

Personnaliser un playbook à partir d’un modèle

Cette procédure décrit comment déployer des modèles de playbook et peut être répétée pour créer plusieurs playbooks à partir du même modèle.

Bien que la plupart des modèles de playbook puissent être utilisés tels quels, nous vous recommandons de les ajuster comme nécessaire pour que votre playbook réponde à vos besoins SOC.

  1. Dans l’onglet Modèles de playbook, sélectionnez un playbook de démarrage.

  2. Si le playbook a des conditions préalables, veillez à suivre les instructions. Par exemple :

    • Certains playbooks appellent d’autres playbooks en tant qu’actions. Ce deuxième playbook est appelé un playbook imbriqué. Dans ce cas, l’une des conditions préalables est de déployer d’abord le playbook imbriqué.

    • Certains playbooks nécessitent le déploiement d’un connecteur Logic Apps personnalisé ou d’une fonction Azure. Dans ces cas, un lien Déployer vers Azure s’affiche pour vous permettre d’accéder au processus général de déploiement du modèle ARM.

  3. Sélectionnez Créer un playbook pour ouvrir l’Assistant de création de playbook basé sur le modèle sélectionné. L’Assistant comporte quatre onglets :

    • Informations de base : localisez votre nouveau playbook, qui est une ressource Logic Apps, et donnez-lui un nom. Vous pouvez utiliser les valeurs par défaut. Par exemple :

      Capture d’écran de l’onglet Informations de base de l’Assistant Création d’un playbook.

    • Paramètres : entrez les valeurs spécifiques au client que le playbook utilise. Par exemple, si le playbook envoie un e-mail au SOC, définissez l’adresse du destinataire. Si un connecteur personnalisé est utilisé dans ce playbook, il doit être déployé dans le même groupe de ressources et vous êtes invité à entrer son nom dans l’onglet Paramètres.

      L’onglet Paramètres s’affiche uniquement si le playbook a des paramètres. Par exemple :

      Capture d’écran de l’onglet Paramètres de l’Assistant Création d’un playbook.

    • Connexions : Développez chaque action pour voir les connexions existantes que vous avez créées pour les playbooks précédents. Vous pouvez choisir d’utiliser des connexions existantes ou d’en créer une nouvelle. Par exemple :

      Capture d’écran de l’onglet Connexions de l’Assistant Création d’un playbook.

      • Pour créer une connexion, sélectionnez Créer une connexion après le déploiement. Cette option vous permet d’accéder au concepteur Logic Apps une fois le processus de déploiement terminé.

      • Les connecteurs personnalisés sont répertoriés par le nom du connecteur personnalisé entré dans l’onglet Paramètres.

      • Pour les connecteurs qui prennent en charge la connexion avec une identité managée, comme Microsoft Sentinel, il s’agit de la méthode de connexion par défaut.

      Pour plus d’informations, consultez Authentifier des playbooks auprès de Microsoft Sentinel.

    • Vérifier et créer : Affichez un résumé du processus et attendez la validation de vos entrées avant de créer le playbook.

  4. Après avoir suivi les étapes de l’Assistant de création de playbook jusqu’au bout, vous accédez à la conception du workflow du nouveau playbook dans le concepteur Logic Apps. Par exemple :

    Capture d’écran du playbook dans le concepteur Logic Apps.

  5. Pour chaque connecteur que vous avez choisi, créez une connexion pour après le déploiement :

    1. Dans le menu de navigation, sélectionnez Connexions d’API, puis sélectionnez le nom de la connexion. Par exemple :

      Capture d’écran montrant comment afficher les connexions A P I.

    2. Sélectionnez Modifier la connexion d’API dans le menu de navigation.

    3. Renseignez les paramètres requis et sélectionnez Enregistrer. Par exemple :

      Capture d’écran montrant comment modifier les connexions d’API.

    Vous pouvez également créer une connexion à partir des étapes appropriées dans le concepteur Logic Apps :

    1. Pour chaque étape qui s’affiche avec un signe d’erreur, sélectionnez-la pour la développer, puis sélectionnez Ajouter nouveau.

    2. Authentifiez-vous conformément aux instructions pertinentes. Pour plus d’informations, consultez Authentifier des playbooks auprès de Microsoft Sentinel.

    3. Si d’autres étapes utilisent ce même connecteur, développez leurs zones. Dans la liste des connexions qui s’affiche, sélectionnez la connexion que vous venez de créer.

  6. Si vous avez choisi d’utiliser une connexion d’identité managée pour Microsoft Sentinel, ou pour d’autres connexions prises en charge, accordez des autorisations au nouveau playbook sur l’espace de travail Microsoft Sentinel ou sur les ressources cibles pertinentes pour les autres connecteurs.

  7. Enregistrez le playbook. Le playbook apparaît dans l’onglet Playbooks actifs.

Pour exécuter ce playbook, définissez une réponse automatisée ou exécutez-le manuellement. Pour plus d’informations, consultez Répondre aux menaces avec les playbooks Microsoft Sentinel.

Signaler un problème dans un modèle de playbook

Pour signaler un bogue ou demander une amélioration pour un playbook, sélectionnez le lien Pris en charge par dans le volet d’informations du playbook. S’il s’agit d’un playbook pris en charge par la communauté, le lien vous permet d’ouvrir un problème GitHub. Sinon, vous êtes dirigé vers la page de l’organisme concerné, avec des informations sur la façon d’envoyer vos commentaires.