你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
推荐的 playbook 用例、模板和示例
本文列出了Microsoft Sentinel playbook 的示例用例,以及示例 playbook 和推荐的 playbook 模板。
推荐的 playbook 用例
建议从以下 SOC 方案开始Microsoft Sentinel playbook,为此,我们提供现 成的 playbook 模板 。
扩充:收集和将数据附加到事件,以便做出更明智的决策
如果Microsoft Sentinel 事件是从生成 IP 地址实体的警报和分析规则创建的,请将事件配置为触发自动化规则来运行 playbook 并收集详细信息。
使用以下步骤配置 playbook:
创建事件时启动 playbook。 事件中表示的实体存储在事件触发器的动态字段中。
对于每个 IP 地址,请将 playbook 配置为查询外部威胁情报提供程序(如 病毒总数)以检索更多数据。
添加返回的数据和见解作为事件的注释来丰富调查。
与其他票证系统Microsoft Sentinel 事件的双向同步
若要将Microsoft Sentinel 事件数据与票证系统(如 ServiceNow)同步:
为所有事件创建创建创建创建自动化规则。
附加创建新事件时触发的 playbook。
配置 playbook 以使用 ServiceNow 连接器在 ServiceNow 中创建新的票证。
通过将 playbook 配置为在 ServiceNow 票证中包含事件名称、重要字段和指向 ServiceNow 票证中Microsoft Sentinel 事件的 URL,确保团队可以轻松地从 ServiceNow 票证跳转回Microsoft Sentinel 事件。
业务流程:从 SOC 聊天平台控制事件队列
如果Microsoft Sentinel 事件是从生成用户名和 IP 地址实体的警报和分析规则创建的,请将事件配置为触发自动化规则来运行 playbook,并通过标准通信渠道与团队联系。
使用以下步骤配置 playbook:
创建事件时启动 playbook。 事件中表示的实体存储在事件触发器的动态字段中。
配置 playbook 以将消息发送到安全操作通信通道,例如在 Microsoft Teams 或 Slack 中,以确保安全分析师知道该事件。
配置 playbook 以通过电子邮件将警报中的所有信息发送给高级网络管理员和安全管理员。电子邮件包括 “阻止 ”和 “忽略 用户”选项按钮。
将 playbook 配置为等待,直到收到来自管理员的响应,然后继续运行。
如果管理员选择“ 阻止”,请配置 playbook 以将命令发送到防火墙以阻止警报中的 IP 地址,另一个用于Microsoft Entra ID 以禁用用户。
使用最少的人类依赖项立即响应威胁
本部分提供了两个示例,用于响应被入侵用户的威胁和遭到入侵的计算机。
如果遭到入侵的用户,例如由Microsoft Entra ID 保护发现:
创建新的Microsoft Sentinel 事件时启动 playbook。
对于涉嫌泄露的事件中的每个用户实体,请将 playbook 配置为:
向用户发送一条 Teams 消息,请求确认用户采取了可疑操作。
检查 Microsoft Entra ID 保护,将用户的状态确认为遭入侵。 Microsoft Entra ID 保护将用户标记为有风险,并应用已配置的任何强制策略-例如,要求用户在下次登录时使用 MFA。
注意
此特定 Microsoft Entra 操作不会对用户启动任何强制活动,也不会启动强制策略的任何配置。 它只会告诉 Microsoft Entra ID 保护根据需要应用任何已定义的策略。 所有强制操作都完全取决于在 Microsoft Entra ID 保护中定义的相应策略。
如果计算机遭到入侵,例如由 Microsoft Defender for Endpoint 发现:
创建新的Microsoft Sentinel 事件时启动 playbook。
使用 “实体 - 获取主机” 操作配置 playbook,以分析事件实体中包含的可疑计算机。
配置 playbook 以发出命令来Microsoft Defender for Endpoint 以 隔离警报中的计算机 。
在调查期间或在不离开上下文的情况下进行搜寻时手动响应
使用实体触发器立即对调查期间发现的各个威胁执行组件立即采取措施,一次一个地从调查内部开始。 该选项也可用于威胁搜寻上下文,与任何特定事件无关。
在上下文中选择一个实体,并在该实体上执行操作,从而节省时间并减少复杂性。
具有实体触发器的 Playbook 支持以下操作:
- 阻止遭到入侵的用户。
- 阻止来自防火墙中恶意 IP 地址的流量。
- 隔离网络上遭到入侵的主机。
- 将 IP 地址添加到安全/不安全的地址监视列表或外部配置管理数据库(CMDB)。
- 从外部威胁情报源获取文件哈希报告,并将其作为注释添加到事件。
建议的 playbook 模板
本部分列出了推荐的 playbook,以及内容中心或 Microsoft Sentinel GitHub 存储库中提供的其他类似 playbook。
通知 playbook 模板
创建警报或事件时会触发通知 playbook,并向配置目标发送通知:
| 演练手册 | 文件夹位于 GitHub 存储库 |
内容中心中的解决方案/ Azure 市场 |
|---|---|---|
| 在 Microsoft Teams 通道中发布消息 | Post-Message-Teams | Sentinel SOAR 概要解决方案 |
| 发送 Outlook 电子邮件通知 | Send-basic-email | Sentinel SOAR 概要解决方案 |
| 在 Slack 通道中发布消息 | Post-Message-Slack | Sentinel SOAR 概要解决方案 |
| 在创建事件时发送 Microsoft Teams 自适应卡片 | Send-Teams-adaptive-card-on-incident-creation | Sentinel SOAR 概要解决方案 |
阻止 playbook 模板
创建警报或事件时,会触发阻止 playbook,收集帐户、IP 地址和主机等实体信息,并阻止它们采取进一步行动:
| 演练手册 | 文件夹位于 GitHub 存储库 |
内容中心中的解决方案/ Azure 市场 |
|---|---|---|
| 在 Azure 防火墙中阻止 IP 地址 | AzureFirewall-BlockIP-addNewRule | 用于 Sentinel 的 Azure 防火墙解决方案 |
| 阻止 Microsoft Entra 用户 | Block-AADUser | Microsoft Entra 解决方案 |
| 重置 Microsoft Entra 用户密码 | Reset-AADUserPassword | Microsoft Entra 解决方案 |
| 使用以下方法隔离或取消隔离设备 用于终结点的 Microsoft Defender |
Isolate-MDEMachine Unisolate-MDEMachine |
Microsoft Defender for Endpoint 解决方案 |
创建、更新或关闭 playbook 模板
创建、更新或关闭 playbook 可以在 Microsoft Sentinel、Microsoft 365 安全服务或其他票证服务中创建、更新和关闭事件:
| 演练手册 | 文件夹位于 GitHub 存储库 |
内容中心中的解决方案/ Azure 市场 |
|---|---|---|
| 使用 Microsoft Forms 创建事件 | CreateIncident-MicrosoftForms | Sentinel SOAR Essentials 解决方案 |
| 将警报关联到事件 | relateAlertsToIncident-basedOnIP | Sentinel SOAR Essentials 解决方案 |
| 创建“立即服务”事件 | Create-SNOW-record | ServiceNow 解决方案 |
常用的 playbook 配置
本部分提供常用 playbook 配置的示例屏幕截图,包括更新事件、使用事件详细信息、向事件添加注释或禁用用户。
更新事件
本部分提供了有关如何使用 playbook 基于新事件或警报更新事件的示例屏幕截图。
基于新事件更新事件 (事件触发器):
基于新警报 更新事件(警报触发器):
在流中使用事件详细信息
本部分提供了示例屏幕截图,说明如何使用 playbook 在流中的其他位置使用事件详细信息:
使用由新事件触发的 playbook 通过电子邮件发送事件详细信息:
使用新警报触发的 playbook 通过电子邮件发送事件详细信息:
向事件添加注释
本部分提供了有关如何使用 playbook 向事件添加注释的示例屏幕截图:
使用由新事件触发的 playbook 向事件添加注释:
使用由新警报触发的 playbook 向事件添加注释:
禁用用户
以下屏幕截图显示了如何使用 playbook 基于 Microsoft Sentinel 实体触发器禁用用户帐户的示例:
