你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Sentinel playbook 阻止潜在遭入侵的用户
本文介绍了一个使用 playbook 和自动化规则自动执行事件响应和修正安全威胁的示例方案。 自动化规则可帮助你在 Microsoft Sentinel 中对事件进行会审,它还用于运行 playbook 来响应事件或警报。 有关详细信息,请参阅 Microsoft Sentinel 中的自动化:安全业务流程、自动化和响应 (SOAR)。
本文中介绍的示例方案介绍了如何使用自动化规则和 playbook 在创建事件时阻止潜在遭入侵的用户。
注意
由于 playbook 使用 Azure 逻辑应用,因此可能要额外收费。 有关更多详细信息,请访问 Azure 逻辑应用定价页。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
先决条件
若要使用 Azure 逻辑应用在 Microsoft Sentinel 中创建和运行 playbook,需要以下角色。
| 角色 | 描述 |
|---|---|
| 所有者 | 允许你授予对资源组中 playbook 的访问权限。 |
| Microsoft Sentinel 参与者 | 允许将 playbook 附加到分析或自动化规则。 |
| Microsoft Sentinel 响应者 | 允许访问事件以手动运行 playbook,但不允许运行 playbook。 |
| Microsoft Sentinel Playbook 操作员 | 允许手动运行 playbook。 |
| Microsoft Sentinel 自动化参与者 | 允许自动化规则运行 playbook。 此角色不用于任何其他目的。 |
下表根据是选择消耗型还是标准型逻辑应用来创建 playbook 描述了所需的角色:
| 逻辑应用 | Azure 角色 | 说明 |
|---|---|---|
| 消耗 | 逻辑应用参与者 | 编辑和管理逻辑应用。 运行 playbook。 不允许向 playbook 授予访问权限。 |
| 消耗 | 逻辑应用操作员 | 读取、启用和禁用逻辑应用。 不允许编辑或更新逻辑应用。 |
| Standard | 标准型逻辑应用操作者 | 在逻辑应用中启用、重新提交和禁用工作流。 |
| Standard | 标准型逻辑应用开发者 | 创建和编辑逻辑应用。 |
| Standard | 标准型逻辑应用参与者 | 管理逻辑应用的各个方面。 |
“自动化”页上的“活动 playbook”选项卡会显示任何所选订阅中可用的所有活动 playbook。 默认情况下,playbook 只能在所属的订阅中使用,除非你专门向 playbook 的资源组授予 Microsoft Sentinel 权限。
对事件运行 playbook 所需的额外权限
Microsoft Sentinel 使用服务帐户对事件运行 playbook,以增添安全性并使自动化规则 API 支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或者对特定事件手动运行 playbook 时。
除了你自己的角色和权限外,此 Microsoft Sentinel 服务帐户还必须对 playbook 所在的资源组拥有自己的权限集,其形式为 Microsoft Sentinel 自动化参与者角色。 Microsoft Sentinel 具有此角色后,可以手动或通过自动化规则运行相关资源组中的任何 playbook。
若要向 Microsoft Sentinel 授予所需权限,你必须具有“所有者”或“用户访问管理员”角色。 若要运行 playbook,还需要对包含要运行的 playbook 的资源组具有逻辑应用参与者角色。
阻止潜在遭入侵的用户
SOC 团队希望确保潜在遭入侵的用户无法在其网络中移动并窃取信息。 我们建议你创建一个自动化的多面响应,针对由检测遭入侵用户的规则生成的事件,以处理此类场景。
将自动化规则和 playbook 配置为使用以下流:
为潜在遭入侵的用户创建事件,并触发自动化规则来调用 playbook。
playbook 会在你的 IT 票证系统中开启票证,例如 ServiceNow。
playbook 还会向 Microsoft Teams 或 Slack 中的安全运营频道发送一条消息,确保安全分析师注意到此事件。
playbook 还会将事件中的所有信息通过电子邮件发送给高级网络管理员和安全管理员。该电子邮件会包含“阻止”和“忽略”用户选项按钮。
playbook 将等待,直到从管理员收到响应,然后继续执行后续步骤。
如果管理员选择“阻止”,playbook 会将命令发送到 Microsoft Entra ID 以禁用该用户,并将一个命令发送到防火墙以阻止 IP 地址。
如果管理员选择“忽略”,playbook 会关闭 Microsoft Sentinel 中的事件,并关闭 ServiceNow 中的票证。
以下屏幕截图显示了你在创建此示例 playbook 时要添加的操作和条件:
