Creare ed eseguire attività di eventi imprevisti in Microsoft Sentinel usando playbook

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come usare i playbook per creare e, facoltativamente, eseguire attività impreviste per gestire processi complessi del flusso di lavoro analista in Microsoft Sentinel.

Usare l'azione Aggiungi attività in un playbook, nel connettore Microsoft Sentinel, per aggiungere automaticamente un'attività all'evento imprevisto che ha attivato il playbook. Sono supportati sia i flussi di lavoro Standard che a consumo.

Suggerimento

Le attività degli eventi imprevisti possono essere create automaticamente non solo dai playbook, ma anche dalle regole di automazione e anche manualmente, ad hoc, dall'interno di un evento imprevisto.

Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel.

Prerequisiti

  • Il ruolo Risponditore di Microsoft Sentinel è necessario per visualizzare e modificare gli eventi imprevisti, necessari per aggiungere, visualizzare e modificare le attività.

  • Il ruolo Collaboratore app per la logica è necessario per creare e modificare playbook.

Per altre informazioni, vedere Prerequisiti del playbook di Microsoft Sentinel.

Usare un playbook per aggiungere un'attività ed eseguirla

Questa sezione fornisce una procedura di esempio per l'aggiunta di un'azione playbook che esegue le operazioni seguenti:

  • Aggiunge un'attività all'evento imprevisto, reimpostando la password di un utente compromesso
  • Aggiunge un'altra azione playbook per inviare un segnale a Microsoft Entra ID Protection (AADIP) per reimpostare effettivamente la password
  • Aggiunge un'azione finale del playbook per contrassegnare l'attività nel completamento dell'evento imprevisto.

Per aggiungere e configurare queste azioni, seguire questa procedura:

  1. Dal connettore Microsoft Sentinel aggiungere l'attività Aggiungi all'azione evento imprevisto e quindi:

    1. Selezionare l'elemento di contenuto dinamico dell'ID ARM dell'evento imprevisto per il campo ID ARM dell'evento imprevisto.

    2. Immettere Reimposta password utente come Titolo.

    3. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Screenshot che mostra le azioni del playbook per aggiungere un'attività per reimpostare la password di un utente.

  2. Aggiungere l'azione Entities - Get Accounts (Anteprima). Aggiungere l'elemento contenuto dinamico Entities (dallo schema degli eventi imprevisti di Microsoft Sentinel) al campo elenco Entità. Ad esempio:

    Screenshot che mostra le azioni del playbook per ottenere le entità dell'account nell'evento imprevisto.

  3. Aggiungere un ciclo For each dalla libreria Azioni di controllo . Aggiungere l'elemento contenuto dinamico Account dall'output Entities - Get Accounts (Entità - Ottenere account ) al campo Select an output from previous steps (Selezionare un output dei passaggi precedenti). Ad esempio:

    Screenshot che mostra come aggiungere un'azione ciclo for-each a un playbook per eseguire un'azione su ogni account individuato.

  4. All'interno del ciclo For each selezionare Aggiungi un'azione. Quindi:

    1. Cercare e selezionare il connettore Microsoft Entra ID Protection
    2. Selezionare l'azione Conferma un utente rischioso come compromesso (anteprima).
    3. Aggiungere l'elemento di contenuto dinamico Accounts Microsoft Entra user ID (ID utente Microsoft Entra) al campo userIds Item - 1 (Elemento userIds - 1 ).

    Questa azione imposta i processi in movimento all'interno di Microsoft Entra ID Protection per reimpostare la password dell'utente.

    Screenshot che mostra l'invio di entità ad AADIP per confermare la compromissione.

    Nota

    Il campo Account Microsoft Entra user ID è un modo per identificare un utente in AADIP. Potrebbe non essere necessariamente il modo migliore in ogni scenario, ma viene portato qui proprio come esempio.

    Per assistenza, consultare altri playbook che gestiscono utenti compromessi o la documentazione di Microsoft Entra ID Protection.

  5. Aggiungere l'azione Contrassegna un'attività come completata dal connettore Di Microsoft Sentinel e aggiungere l'elemento contenuto dinamico ID attività evento imprevisto al campo ID ARM attività. Ad esempio:

    Screenshot che mostra come aggiungere un'azione playbook per contrassegnare il completamento di un'attività evento imprevisto.

Usare un playbook per aggiungere un'attività in modo condizionale

Questa sezione fornisce una procedura di esempio per l'aggiunta di un'azione playbook che ricerca un indirizzo IP visualizzato in un evento imprevisto.

  • Se i risultati di questa ricerca sono che l'indirizzo IP è dannoso, il playbook crea un'attività per l'analista per disabilitare l'utente usando tale indirizzo IP.
  • Se l'indirizzo IP non è un indirizzo dannoso noto, il playbook crea un'attività diversa, affinché l'analista contatti l'utente per verificare l'attività.

Per aggiungere e configurare queste azioni, seguire questa procedura:

  1. Dal connettore Microsoft Sentinel aggiungere l'azione Entities - Get IP (Entità - Ottieni indirizzi IP ). Aggiungere l'elemento contenuto dinamico Entities (dallo schema degli eventi imprevisti di Microsoft Sentinel) al campo elenco Entità. Ad esempio:

    Screenshot che mostra le azioni del playbook per ottenere le entità dell'indirizzo IP nell'evento imprevisto.

  2. Aggiungere un ciclo For each dalla libreria Azioni di controllo . Aggiungere l'elemento di contenuto dinamico degli indirizzi IP dal campo Entities - Get IPS output (Ottieni output ip ) nel campo Select an output from previous steps (Selezionare un output dei passaggi precedenti). Ad esempio:

    Screenshot che mostra come aggiungere un'azione ciclo for-each a un playbook per eseguire un'azione su ogni indirizzo IP individuato.

  3. All'interno del ciclo For each selezionare Aggiungi un'azione e quindi:

    1. Cercare e selezionare il connettore Virus Total .
    2. Selezionare l'azione Ottieni un report IP (anteprima).
    3. Aggiungere l'elemento di contenuto dinamico Indirizzo IP dal campo Entities - Get IP output (Entità - Ottenere l'output degli indirizzi IP) al campo Indirizzo IP.

    Ad esempio:

    Screenshot che mostra l'invio della richiesta a Virus Total per il report degli indirizzi IP.

  4. All'interno del ciclo For each selezionare Aggiungi un'azione e quindi:

    1. Aggiungere una condizione dalla libreria delle azioni di controllo .
    2. Aggiungere l'elemento Ultima analisi statistiche Contenuto dinamico dannoso dall'output Ottenere un report IP. Potrebbe essere necessario selezionare Visualizza altro per trovarla.
    3. Selezionare l'operatore maggiore di e immettere 0 come valore.

    Questa condizione pone la domanda "Il rapporto ip totale virus ha avuto risultati?" Per esempio:

    Screenshot che mostra come impostare una condizione true-false in un playbook.

  5. All'interno dell'opzione True selezionare Aggiungi un'azione e quindi:

    1. Selezionare l'azione Aggiungi attività a evento imprevisto dal connettore di Microsoft Sentinel .
    2. Selezionare l'elemento di contenuto dinamico dell'ID ARM dell'evento imprevisto per il campo ID ARM dell'evento imprevisto.
    3. Immettere Contrassegna l'utente come compromesso come Titolo.
    4. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Screenshot che mostra le azioni del playbook per aggiungere un'attività per contrassegnare un utente come compromesso.

  6. All'interno dell'opzione False selezionare Aggiungi un'azione e quindi:

    1. Selezionare l'azione Aggiungi attività a evento imprevisto dal connettore di Microsoft Sentinel .
    2. Selezionare l'elemento di contenuto dinamico dell'ID ARM dell'evento imprevisto per il campo ID ARM dell'evento imprevisto.
    3. Immettere Contatta l'utente per confermare l'attività come Titolo.
    4. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Screenshot che mostra le azioni del playbook per aggiungere un'attività per fare in modo che l'utente conferma l'attività.

Contenuto correlato

Per altre informazioni, vedi: