Podręcznik połączeń i okablowania Ge Jb900tk5ww

• Artykuł
01/27/2023
• Czas czytania: 18 min

W tym artykule wyjaśniono, czym są podręczniki usługi Microsoft Sentinel i jak ich używać do implementowania operacji orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR), osiągania lepszych wyników przy jednoczesnym oszczędzaniu czasu i zasobów.

Co to jest podręcznik?

Analitycy SOC są zwykle zapełnieni alertami zabezpieczeń i incydentami regularnie w woluminach tak dużych, że dostępni pracownicy są przytłoczeni. Powoduje to zbyt często w sytuacjach, w których wiele alertów jest ignorowanych, a wiele zdarzeń nie jest badanych, pozostawiając organizację podatną na ataki, które są niezauważone.

Wiele z tych alertów i zdarzeń jest zgodnych z cyklicznymi wzorcami, które mogą być rozwiązywane przez określone i zdefiniowane zestawy akcji korygujących. Analitycy mają również za zadanie podstawowe korygowanie i badanie zdarzeń, którymi zarządzają, aby rozwiązać ten problem. W zakresie, w jakim te działania mogą być zautomatyzowane, SOC może być o wiele bardziej produktywne i wydajne, dzięki czemu analitycy poświęcają więcej czasu i energii na działania dochodzeniowe.

Podręcznik to kolekcja tych akcji korygujących, które można uruchomić z usługi Microsoft Sentinel jako procedurę. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź na zagrożenia; można uruchamiać je ręcznie na żądanie dla jednostek (w wersji zapoznawczej — zobacz poniżej) i alertach lub ustawić automatyczne uruchamianie w odpowiedzi na określone alerty lub zdarzenia, gdy zostanie wyzwolona przez regułę automatyzacji.

Na przykład w przypadku naruszenia zabezpieczeń konta i komputera podręcznik może odizolować maszynę od sieci i zablokować konto przez czas powiadomienia zespołu SOC o zdarzeniu.

Podręczniki mogą być używane w ramach subskrypcji, do której należą, ale karta Podręczniki (w bloku automatyzacji) wyświetla wszystkie podręczniki dostępne we wszystkich wybranych subskrypcjach.

Szablony podręczników

Szablon podręcznika to wstępnie utworzony, przetestowany i gotowy do użycia przepływ pracy, który można dostosować do własnych potrzeb. Szablony mogą również służyć jako dokumentacja najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracja dla nowych scenariuszy automatyzacji.

Szablony podręczników nie są samodzielnie aktywnymi podręcznikami, dopóki nie utworzysz podręcznika (edytowalnej kopii szablonu).

Szablony podręczników można pobrać z następujących źródeł:

• Karta Szablony podręczników (w obszarze Automatyzacja) przedstawia wiodące scenariusze współautora przez społeczność usługi Microsoft Sentinel. Wiele aktywnych podręczników można utworzyć na podstawie tego samego szablonu.

  Po opublikowaniu nowej wersji szablonu aktywne podręczniki utworzone na podstawie tego szablonu (na karcie Podręczniki) zostaną oznaczone powiadomieniem o dostępności aktualizacji.

• Szablony podręczników można również uzyskać w ramach rozwiązania microsoft Sentinel w kontekście określonego produktu. Wdrożenie rozwiązania generuje aktywne podręczniki.

• Repozytorium GitHub usługi Microsoft Sentinel zawiera wiele szablonów podręczników. Można je wdrożyć w subskrypcji platformy Azure, wybierając przycisk Wdróż na platformie Azure.

  Technicznie szablon podręcznika to szablon usługi ARM, który składa się z kilku zasobów: przepływu pracy usługi Azure Logic Apps i połączeń interfejsu API dla każdego zaangażowanego połączenia.

  Podstawowe pojęcia dotyczące usługi Azure Logic Apps

  Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy utworzonych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w systemach w całym przedsiębiorstwie. Oznacza to, że podręczniki mogą korzystać ze wszystkich możliwości i możliwości wbudowanych szablonów w usłudze Azure Logic Apps.

  Usługa Azure Logic Apps komunikuje się z innymi systemami i usługami przy użyciu łączników. Poniżej przedstawiono krótkie wyjaśnienie łączników i niektóre z ich ważnych atrybutów:

• Łącznik zarządzany: Zestaw akcji i wyzwalaczy, które otaczają wywołania interfejsu API do określonego produktu lub usługi. Usługa Azure Logic Apps oferuje setki łączników do komunikowania się zarówno z usługami firmy Microsoft, jak i firm spoza firmy Microsoft. Aby uzyskać więcej informacji, zobacz Łączniki usługi Azure Logic Apps i ich dokumentacja

• Łącznik niestandardowy: Możesz chcieć komunikować się z usługami, które nie są dostępne jako wstępnie utworzone łączniki. Łączniki niestandardowe odpowiadają tej potrzebie, umożliwiając tworzenie łącznika (a nawet udostępnianie) i definiowanie własnych wyzwalaczy i akcji. com/pl-pl/connectors/custom-connectors/create-logic-apps-connector" data-linktype="absolute-path">Tworzenie własnych niestandardowych łączników usługi Azure Logic Apps.

• Łącznik usługi Microsoft Sentinel: Aby utworzyć podręczniki, które wchodzą w interakcje z usługą Microsoft Sentinel, użyj łącznika usługi Microsoft Sentinel. com/pl-pl/connectors/azuresentinel/" data-linktype="absolute-path">dokumentację łącznika usługi Microsoft Sentinel.

• Wyzwalacz: Składnik łącznika, który uruchamia przepływ pracy, w tym przypadku podręcznik. Wyzwalacz usługi Microsoft Sentinel definiuje schemat oczekiwany przez podręcznik po wyzwoleniu. Łącznik usługi Microsoft Sentinel ma obecnie trzy wyzwalacze:

• Wyzwalacz alertu: podręcznik odbiera alert jako dane wejściowe.
• Wyzwalacz jednostki (wersja zapoznawcza): podręcznik odbiera jednostkę jako dane wejściowe. com/pl-pl/connectors/azuresentinel/#triggers" data-linktype="absolute-path">Wyzwalacz zdarzenia: podręcznik odbiera zdarzenie jako dane wejściowe wraz ze wszystkimi dołączonymi alertami i jednostkami.

• Działania: Akcje to wszystkie kroki wykonywane po wyzwoleniu. Mogą być rozmieszczone sekwencyjnie, równolegle lub w macierzy złożonych warunków.

• Pola dynamiczne: Pola tymczasowe określone przez schemat wyjściowy wyzwalaczy i akcji oraz wypełnione rzeczywistymi danymi wyjściowymi, które mogą być używane w kolejnych akcjach.

  Typy aplikacji logiki

  Usługa Microsoft Sentinel obsługuje teraz następujące typy zasobów aplikacji logiki:

• Użycie, które działa w wielodostępnej usłudze Azure Logic Apps i korzysta z klasycznego, oryginalnego aparatu usługi Azure Logic Apps.
• Standardowa, która działa w usłudze Azure Logic Apps z jedną dzierżawą i używa przeprojektowanego aparatu usługi Azure Logic Apps.

Typ aplikacji logiki w warstwie Standardowa oferuje wyższą wydajność, stałą cenę, wiele możliwości przepływu pracy, łatwiejsze zarządzanie połączeniami interfejsu API, natywne funkcje sieci, takie jak obsługa sieci wirtualnych i prywatnych punktów końcowych (patrz uwaga poniżej), wbudowane funkcje ciągłej integracji/ciągłego wdrażania, lepsze Visual Studio Code integracji, zaktualizowany projektant przepływu pracy i inne.

Aby użyć tej wersji aplikacji logiki, utwórz nowe podręczniki w warstwie Standardowa w usłudze Microsoft Sentinel (zobacz uwaga poniżej). Te podręczniki można używać w taki sam sposób, jak podręczniki Zużycie:

• Dołącz je do reguł automatyzacji i/lub reguł analizy.
• Uruchamiaj je na żądanie zarówno zdarzeń, jak i alertów.
• Zarządzaj nimi na karcie Aktywne podręczniki.

Uwaga

• Standardowe przepływy pracy nie obsługują obecnie szablonów podręczników, co oznacza, że nie można utworzyć podręcznika opartego na przepływie pracy w warstwie Standardowa bezpośrednio w usłudze Microsoft Sentinel. Zamiast tego należy utworzyć przepływ pracy w usłudze Azure Logic Apps. Po utworzeniu przepływu pracy zostanie on wyświetlony jako podręcznik w usłudze Microsoft Sentinel.

• Standardowe przepływy pracy usługi Logic Apps obsługują prywatne punkty końcowe, jak wspomniano powyżej, ale usługa Microsoft Sentinel wymaga zdefiniowania zasad ograniczeń dostępu w aplikacjach logiki w celu obsługi korzystania z prywatnych punktów końcowych w podręcznikach opartych na przepływach pracy w warstwie Standardowa.

  Jeśli zasady ograniczeń dostępu nie są zdefiniowane, przepływy pracy z prywatnymi punktami końcowymi mogą być nadal widoczne i wybierane po wybraniu podręcznika z listy w usłudze Microsoft Sentinel (czy należy uruchomić ręcznie, dodać do reguły automatyzacji lub w galerii podręczników) i będzie można je wybrać, ale ich wykonanie zakończy się niepowodzeniem.

• Wskaźnik identyfikuje standardowe przepływy pracy jako stanowe lub bezstanowe. Usługa Microsoft Sentinel nie obsługuje obecnie bezstanowych przepływów pracy. Dowiedz się więcej o różnicach między stanowymi i bezstanowymi przepływami pracy.

  Istnieje wiele różnic między tymi dwoma typami zasobów, z których niektóre wpływają na niektóre sposoby ich użycia w podręcznikach w usłudze Microsoft Sentinel. W takich przypadkach dokumentacja wskaże, co musisz wiedzieć. com/pl-pl/azure/logic-apps/logic-apps-overview#resource-environment-differences" data-linktype="relative-path">Różnice w typie zasobów i środowisku hosta w dokumentacji usługi Azure Logic Apps.

  Wymagane uprawnienia

  Aby umożliwić zespołowi SecOps korzystanie z usługi Azure Logic Apps do tworzenia i uruchamiania podręczników w usłudze Microsoft Sentinel, przypisz role platformy Azure do zespołu ds. operacji zabezpieczeń lub do określonych użytkowników w zespole. Poniżej opisano różne dostępne role i zadania, do których mają być przypisane:

  Role platformy Azure dla usługi Azure Logic Apps

• Współautor aplikacji logiki umożliwia zarządzanie aplikacjami logiki i uruchamianie podręczników, ale nie można zmienić dostępu do nich (dla tego potrzebujesz roli Właściciel).
• Operator aplikacji logiki umożliwia odczytywanie, włączanie i wyłączanie aplikacji logiki, ale nie można ich edytować ani aktualizować.

Role platformy Azure dla usługi Microsoft Sentinel

• Rola Współautor usługi Microsoft Sentinel umożliwia dołączenie podręcznika do reguły analizy lub automatyzacji.
• Rola osoby odpowiadającej usłudze Microsoft Sentinel umożliwia dostęp do zdarzenia w celu ręcznego uruchomienia podręcznika. Ale aby rzeczywiście uruchomić podręcznik, potrzebujesz również...
• Rola operatora podręcznika usługi Microsoft Sentinel umożliwia ręczne uruchamianie podręcznika.
• Współautor automatyzacji usługi Microsoft Sentinel umożliwia regułom automatyzacji uruchamianie podręczników. Nie jest używany do żadnego innego celu.

Więcej tutaj

• Dowiedz się więcej o rolach platformy Azure w usłudze Azure Logic Apps. com/pl-pl/azure/sentinel/roles" data-linktype="relative-path">Dowiedz się więcej o rolach platformy Azure w usłudze Microsoft Sentinel.

Kroki tworzenia podręcznika

• Zdefiniuj scenariusz automatyzacji.

• Skompiluj aplikację logiki.

• Przetestuj aplikację logiki.

• Dołącz podręcznik do reguły automatyzacji lub reguły analizy albo uruchom ręcznie, jeśli jest to wymagane.

  Przypadki użycia podręczników

  Platforma Azure Logic Apps oferuje setki akcji i wyzwalaczy, więc można utworzyć niemal każdy scenariusz automatyzacji. Usługa Microsoft Sentinel zaleca rozpoczęcie od następujących scenariuszy SOC, dla których gotowe szablony podręczników są dostępne w pudełku:

  Wzbogacanie

  Zbieranie danych i dołączanie ich do zdarzenia w celu podejmowania mądrzejszych decyzji.

  Przykład:

  Zdarzenie usługi Microsoft Sentinel zostało utworzone na podstawie alertu przez regułę analizy, która generuje jednostki adresów IP.

  Zdarzenie wyzwala regułę automatyzacji, która uruchamia podręcznik, wykonując następujące kroki:

• Rozpocznij od utworzenia nowego zdarzenia usługi Microsoft Sentinel. Jednostki reprezentowane w zdarzeniu są przechowywane w polach dynamicznych wyzwalacza zdarzenia.

• Dla każdego adresu IP wykonaj zapytanie względem zewnętrznego dostawcy analizy zagrożeń, takiego jak suma wirusów, aby pobrać więcej danych.

• Dodaj zwrócone dane i szczegółowe informacje jako komentarze zdarzenia.

  Synchronizacja dwukierunkowa

  Podręczniki mogą służyć do synchronizowania zdarzeń usługi Microsoft Sentinel z innymi systemami obsługi biletów.

  Utwórz regułę automatyzacji dla wszystkich tworzenia zdarzeń i dołącz podręcznik, który otwiera bilet w usłudze ServiceNow:

• Rozpocznij od

• Utwórz nowy bilet w usłudze ServiceNow.

• Dołącz do biletu nazwę zdarzenia, ważne pola i adres URL zdarzenia usługi Microsoft Sentinel, aby ułatwić przestawienie.

  Aranżacja

  Użyj platformy czatu SOC, aby lepiej kontrolować kolejkę zdarzeń.

  Zdarzenie usługi Microsoft Sentinel zostało utworzone na podstawie alertu przez regułę analizy, która generuje jednostki nazwy użytkownika i adresu IP.

• Wyślij wiadomość do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack, aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

• Wyślij wszystkie informacje w alercie pocztą e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail będzie zawierać przyciski opcji Blokuj i Ignoruj użytkownika.

• Poczekaj na odebranie odpowiedzi od administratorów, a następnie kontynuuj uruchamianie.

• Jeśli administratorzy wybrali pozycję Blokuj, wyślij polecenie do zapory, aby zablokować adres IP w alercie, a drugi do Azure AD, aby wyłączyć użytkownika.

  Reakcja

  Natychmiastowe reagowanie na zagrożenia z minimalnymi zależnościami ludzkimi.

  Dwa przykłady:

  Przykład 1: Odpowiedz na regułę analizy, która wskazuje naruszonego użytkownika wykrytego przez usługę Azure AD Identity Protection:

• Dla każdej jednostki użytkownika w zdarzeniu podejrzanym o naruszenie zabezpieczeń:

• Wyślij wiadomość usługi Teams do użytkownika z żądaniem potwierdzenia, że użytkownik podjął podejrzane działania.

• Sprawdź usługę Azure AD Identity Protection, aby potwierdzić stan użytkownika jako naruszony. Azure AD Identity Protection oznaczy użytkownika jako ryzykownego i zastosuje wszystkie już skonfigurowane zasady wymuszania — na przykład w celu wymagania od użytkownika używania uwierzytelniania wieloskładnikowego podczas następnego logowania.

  Ta konkretna akcja Azure AD nie inicjuje żadnych działań wymuszania na użytkowniku ani nie inicjuje żadnej konfiguracji zasad wymuszania. Informuje tylko Azure AD Identity Protection o zastosowaniu wszystkich już zdefiniowanych zasad zgodnie z potrzebami. Wymuszanie zależy całkowicie od odpowiednich zasad zdefiniowanych w usłudze Azure AD Identity Protection.

  Przykład 2: Odpowiedz na regułę analizy, która wskazuje naruszoną maszynę, wykrytą przez Ochrona punktu końcowego w usłudze Microsoft Defender:

• Użyj akcji Jednostki — Pobierz hosty w usłudze Microsoft Sentinel, aby przeanalizować podejrzane maszyny uwzględnione w jednostkach zdarzeń.

• Wydaj polecenie, aby Ochrona punktu końcowego w usłudze Microsoft Defender w celu odizolowania maszyn w alercie.

  Ręczna odpowiedź podczas badania lub podczas wyszukiwania zagrożeń

  Reagowanie na zagrożenia w trakcie aktywnej działalności dochodzeniowej bez przestawiania się poza kontekstem.

  Dzięki nowemu wyzwalaczowi jednostki (teraz w wersji zapoznawczej) możesz podjąć natychmiastowe działania dotyczące poszczególnych podmiotów zagrożeń wykrytych podczas badania, po jednym naraz, bezpośrednio w ramach badania. Ta opcja jest również dostępna w kontekście wyszukiwania zagrożeń, bez połączenia z żadnym konkretnym zdarzeniem. Możesz wybrać jednostkę w kontekście i wykonać na niej akcje bezpośrednio, zaoszczędzić czas i zmniejszyć złożoność.

  Akcje, które można wykonać na jednostkach przy użyciu tego typu podręcznika, obejmują:

• Blokowanie naruszonego użytkownika.
• Blokowanie ruchu ze złośliwego adresu IP w zaporze.
• Izolowanie naruszonego hosta w sieci.
• Dodawanie adresu IP do listy obserwowanych bezpiecznych/niebezpiecznych adresów lub do zewnętrznej bazy danych CMDB.
• Pobieranie raportu skrótu pliku z zewnętrznego źródła analizy zagrożeń i dodawanie go do zdarzenia jako komentarza.

Jak uruchomić podręcznik

Podręczniki można uruchamiać ręcznie lub automatycznie.

Są one przeznaczone do automatycznego uruchamiania i najlepiej, aby były uruchamiane w normalnym przebiegu operacji. Podręcznik jest uruchamiany automatycznie, definiując go jako automatyczną odpowiedź w regule analizy (w przypadku alertów) lub jako akcję w regule automatyzacji (w przypadku zdarzeń).

Istnieją jednak okoliczności, które wymagają ręcznego uruchamiania podręczników. Przykład:

• Podczas tworzenia nowego podręcznika należy go przetestować przed wprowadzeniem go do środowiska produkcyjnego.

• Mogą wystąpić sytuacje, w których warto mieć większą kontrolę i dane wejściowe człowieka, kiedy i czy określony podręcznik jest uruchamiany.

  Podręcznik jest uruchamiany ręcznie przez otwarcie zdarzenia, alertu lub jednostki oraz wybranie i uruchomienie skojarzonego podręcznika. Obecnie ta funkcja jest ogólnie dostępna dla alertów i w wersji zapoznawczej dla zdarzeń i jednostek.

  Ustawianie automatycznej odpowiedzi

  Zespoły ds. operacji zabezpieczeń mogą znacząco zmniejszyć obciążenie, automatyzując rutynowe odpowiedzi na cykliczne typy zdarzeń i alertów, co pozwala skupić się bardziej na unikatowych zdarzeniach i alertach, analizowaniu wzorców, wyszukiwania zagrożeń i nie tylko.

  Ustawienie automatycznej odpowiedzi oznacza, że za każdym razem, gdy reguła analizy zostanie wyzwolona, oprócz utworzenia alertu, reguła uruchomi podręcznik, który będzie otrzymywać jako dane wejściowe alertu utworzonego przez regułę.

  Jeśli alert utworzy zdarzenie, zdarzenie wyzwoli regułę automatyzacji, która może z kolei uruchomić podręcznik, który otrzyma jako dane wejściowe zdarzenie utworzone przez alert.

  Automatyczna odpowiedź na tworzenie alertów

  W przypadku podręczników wyzwalanych przez tworzenie alertów i odbierania alertów jako danych wejściowych (ich pierwszym krokiem jest "Alert usługi Microsoft Sentinel"), dołącz podręcznik do reguły analizy:

  1. Edytuj regułę analizy, która generuje alert, dla którego chcesz zdefiniować automatyczną odpowiedź.

  2. W obszarze Automatyzacja alertów na karcie Automatyczna odpowiedź wybierz podręcznik lub podręczniki, które ta reguła analizy zostanie wyzwolona po utworzeniu alertu.

  Automatyczna odpowiedź na tworzenie zdarzeń

  W przypadku podręczników wyzwalanych przez tworzenie zdarzeń i odbierania zdarzeń jako danych wejściowych (ich pierwszym krokiem jest "Zdarzenie usługi Microsoft Sentinel"), utwórz regułę automatyzacji i zdefiniuj w niej akcję Uruchom element playbook. Można to zrobić na 2 sposoby:

• Edytuj regułę analizy, która generuje zdarzenie, dla którego chcesz zdefiniować automatyczną odpowiedź. W obszarze Automatyzacja zdarzeń na karcie Automatyczna odpowiedź utwórz regułę automatyzacji. Spowoduje to utworzenie automatycznej odpowiedzi tylko dla tej reguły analizy.

• Na karcie Reguły automatyzacji w bloku Automatyzacja utwórz nową regułę automatyzacji i określ odpowiednie warunki i żądane akcje. Ta reguła automatyzacji zostanie zastosowana do dowolnej reguły analizy, która spełnia określone warunki.

  Usługa Microsoft Sentinel wymaga uprawnień do uruchamiania podręczników wyzwalacza zdarzeń.

  Aby uruchomić podręcznik na podstawie wyzwalacza zdarzenia, niezależnie od tego, czy ręcznie, czy z reguły automatyzacji, usługa Microsoft Sentinel używa konta usługi specjalnie autoryzowanego do tego celu. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi i umożliwia interfejsowi API reguł automatyzacji obsługę przypadków użycia ciągłej integracji/ciągłego wdrażania.

  To konto musi mieć przyznane jawne uprawnienia (w formie roli Współautor automatyzacji usługi Microsoft Sentinel) w grupie zasobów, w której znajduje się podręcznik. W tym momencie będzie można uruchomić dowolny element playbook w tej grupie zasobów ręcznie lub z dowolnej reguły automatyzacji.

  Po dodaniu akcji run playbook do reguły automatyzacji zostanie wyświetlona lista rozwijana podręczników do wyboru. Podręczniki, do których usługa Microsoft Sentinel nie ma uprawnień, będą wyświetlane jako niedostępne ("wyszarane"). Możesz udzielić uprawnień usłudze Microsoft Sentinel na miejscu, wybierając link Zarządzaj uprawnieniami podręcznika.

  W scenariuszu z wieloma dzierżawami (Lighthouse) należy zdefiniować uprawnienia w dzierżawie, w której znajduje się podręcznik, nawet jeśli reguła automatyzacji wywołująca podręcznik znajduje się w innej dzierżawie. Aby to zrobić, musisz mieć uprawnienia właściciela do grupy zasobów podręcznika.

  Istnieje unikatowy scenariusz, w którym dostawca usług zabezpieczeń zarządzanych (MSSP), w którym dostawca usług, po zalogowaniu się do własnej dzierżawy, tworzy regułę automatyzacji w obszarze roboczym klienta przy użyciu usługi Azure Lighthouse. Ta reguła automatyzacji wywołuje podręcznik należący do dzierżawy klienta. W takim przypadku usługa Microsoft Sentinel musi mieć przyznane uprawnienia do obu dzierżaw. W dzierżawie klienta udzielasz ich w panelu Zarządzanie uprawnieniami podręcznika, podobnie jak w przypadku zwykłego scenariusza z wieloma dzierżawami. Aby udzielić odpowiednich uprawnień w dzierżawie dostawcy usług, należy dodać dodatkowe delegowanie usługi Azure Lighthouse, które przyznaje prawa dostępu do aplikacji Azure Security Insights z rolą Współautor automatyzacji usługi Microsoft Sentinel, w grupie zasobów, w której znajduje się podręcznik. com/pl-pl/azure/sentinel/tutorial-respond-threats-playbook#permissions-to-run-playbooks" data-linktype="relative-path">Dowiedz się, jak dodać to delegowanie.

  Zapoznaj się z pełnymi instrukcjami dotyczącymi tworzenia reguł automatyzacji.

  Ręczne uruchamianie podręcznika

  Pełna automatyzacja to najlepsze rozwiązanie w przypadku wielu zadań związanych z obsługą zdarzeń, badaniem i ograniczaniem ryzyka w miarę komfortu automatyzowania. Mimo to, może istnieć dobre powody dla rodzaju automatyzacji hybrydowej: używanie podręczników do konsolidowania ciągu działań w wielu systemach w jednym poleceniu, ale uruchamianie podręczników tylko wtedy, gdy i gdzie zdecydujesz. Przykład:

• Wolisz, aby analitycy SOC mieli więcej ludzkich danych wejściowych i kontrolę nad niektórymi sytuacjami.

• Możesz również chcieć, aby mogli podejmować działania przeciwko określonym podmiotom zagrożeń (podmiotom) na żądanie, w trakcie badania lub polowania na zagrożenia, w kontekście bez konieczności przestawienia się na inny ekran. (Ta możliwość jest teraz dostępna w wersji zapoznawczej).

• Inżynierowie SOC mogą pisać podręczniki, które działają na określonych jednostkach (teraz w wersji zapoznawczej) i które mogą być uruchamiane tylko ręcznie.

• Prawdopodobnie chcesz, aby twoi inżynierowie mogli przetestować podręczniki, które piszą przed pełnym wdrożeniem ich w regułach automatyzacji.

  Z tych i innych powodów usługa Microsoft Sentinel umożliwia ręczne uruchamianie podręczników na żądanie dla jednostek i zdarzeń (zarówno w wersji zapoznawczej), jak i alertów.

• Aby uruchomić podręcznik dla określonego zdarzenia, wybierz incydent z siatki w bloku Incydenty. Wybierz pozycję Akcje w okienku szczegółów zdarzenia, a następnie wybierz pozycję Uruchom element playbook (wersja zapoznawcza) z menu kontekstowego.

  Spowoduje to otwarcie elementu playbook Run na panelu incydentu.

• Aby uruchomić podręcznik dla alertu, wybierz zdarzenie, wprowadź szczegóły zdarzenia, a następnie na karcie Alerty wybierz alert i wybierz pozycję Wyświetl podręczniki.

  Spowoduje to otwarcie panelu Podręczniki alertów.

• Aby uruchomić element playbook w jednostce, wybierz jednostkę w dowolny z następujących sposobów:

• Na karcie Jednostki zdarzenia wybierz jednostkę z listy i wybierz link Uruchom element playbook (wersja zapoznawcza) na końcu wiersza na liście.
• Na wykresie Badanie wybierz jednostkę i wybierz przycisk Uruchom element playbook (wersja zapoznawcza) w panelu bocznym jednostki.
• W obszarze Zachowanie jednostki wybierz jednostkę i na stronie jednostki wybierz przycisk Uruchom element playbook (wersja zapoznawcza) w panelu po lewej stronie.

Wszystkie te elementy będą otwierać element playbook Run na <panelu typu> jednostki.

W każdym z tych paneli zobaczysz dwie karty: Podręczniki i Uruchomienia.

• Na karcie Podręczniki zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, i które korzystają z odpowiedniego wyzwalacza — zarówno zdarzenia usługi Microsoft Sentinel, alertu usługi Microsoft Sentinel, jak i jednostki usługi Microsoft Sentinel. Każdy element playbook na liście ma przycisk Uruchom, który umożliwia natychmiastowe uruchomienie podręcznika.
  Jeśli chcesz uruchomić podręcznik wyzwalacza zdarzeń, którego nie widzisz na liście, zobacz notatkę dotyczącą uprawnień usługi Microsoft Sentinel powyżej.

• Na karcie Uruchomienia zostanie wyświetlona lista wszystkich przypadków uruchomienia dowolnego podręcznika dla wybranego zdarzenia lub alertu. Wyświetlenie wszystkich ukończonych przebiegów na tej liście może potrwać kilka sekund. Wybranie określonego przebiegu spowoduje otwarcie pełnego dziennika przebiegu w usłudze Azure Logic Apps.

  Zarządzanie podręcznikami

  Na karcie Aktywne podręczniki zostanie wyświetlona lista wszystkich podręczników, do których masz dostęp, odfiltrowanych według subskrypcji, które są obecnie wyświetlane na platformie Azure. Filtr subskrypcji jest dostępny w menu Katalog i subskrypcja w nagłówku strony globalnej.

  Kliknięcie nazwy podręcznika spowoduje przekierowanie do strony głównej podręcznika w usłudze Azure Logic Apps. Kolumna Stan wskazuje, czy jest włączona, czy wyłączona.

  Kolumna Plan wskazuje, czy podręcznik używa typu zasobu Standard lub Consumption w usłudze Azure Logic Apps. Listę można filtrować według typu planu, aby wyświetlić tylko jeden typ podręcznika. Zauważysz, że podręczniki typu Standard używają LogicApp/Workflow konwencji nazewnictwa. Ta konwencja odzwierciedla fakt, że podręcznik w warstwie Standardowa reprezentuje przepływ pracy, który istnieje wraz z innymi przepływami pracy w jednej aplikacji logiki.

  Rodzaj wyzwalacza reprezentuje wyzwalacz usługi Azure Logic Apps, który uruchamia ten podręcznik.

  Rodzaj wyzwalacza	Wskazuje typy składników w podręczniku
  Zdarzenie/alert/jednostka usługi Microsoft Sentinel	Podręcznik jest uruchamiany z jednym z wyzwalaczy usługi Sentinel (zdarzenie, alert, jednostka)	Korzystanie z akcji usługi Microsoft Sentinel	Podręcznik jest uruchamiany z wyzwalaczem spoza usługi Sentinel, ale używa akcji usługi Microsoft Sentinel	Inne	Podręcznik nie zawiera żadnych składników usługi Sentinel	Nie zainicjowano	Podręcznik został utworzony, ale nie zawiera żadnych składników (wyzwalaczy lub akcji).

  Na stronie usługi Azure Logic Apps podręcznika można zobaczyć więcej informacji o podręczniku, w tym dziennik wszystkich uruchomionych operacji oraz wynik (powodzenie lub niepowodzenie i inne szczegóły). Możesz również otworzyć projektanta przepływu pracy w usłudze Azure Logic Apps i edytować podręcznik bezpośrednio, jeśli masz odpowiednie uprawnienia.

  Połączenia interfejsu API

  Połączenia interfejsu API służą do łączenia usługi Azure Logic Apps z innymi usługami. Za każdym razem, gdy jest tworzone nowe uwierzytelnianie dla łącznika w usłudze Azure Logic Apps, tworzony jest nowy zasób typu połączenie interfejsu API i zawiera informacje podane podczas konfigurowania dostępu do usługi.

  Aby wyświetlić wszystkie połączenia interfejsu API, wprowadź połączenia interfejsu API w polu wyszukiwania nagłówka Azure Portal. Zwróć uwagę na interesujące kolumny:

• Nazwa wyświetlana — przyjazna nazwa nadana połączeniu za każdym razem, gdy je utworzysz.
• Stan — wskazuje stan połączenia: błąd, połączono.
• Grupa zasobów — połączenia interfejsu API są tworzone w grupie zasobów zasobu podręcznika (Azure Logic Apps).

Innym sposobem wyświetlania połączeń interfejsu API jest przejście do bloku Wszystkie zasoby i filtrowanie go według typu połączenie interfejsu API. Dzięki temu można jednocześnie zaznaczać, oznaczać i usuwać wiele połączeń.

Aby zmienić autoryzację istniejącego połączenia, wprowadź zasób połączenia i wybierz pozycję Edytuj połączenie interfejsu API.

Zalecane podręczniki

W repozytorium GitHub usługi Microsoft Sentinel są dostępne następujące zalecane podręczniki i inne podobne podręczniki:

• Podręczniki powiadomień są wyzwalane po utworzeniu alertu lub zdarzenia i wysłaniu powiadomienia do skonfigurowanego miejsca docelowego:

• Publikowanie wiadomości w kanale usługi Microsoft Teams
• Wysyłanie powiadomienia e-mail programu Outlook
• Publikowanie wiadomości w kanale usługi Slack

• Blokowanie podręczników jest wyzwalane po utworzeniu alertu lub zdarzenia, zebraniu informacji o jednostkach, takich jak konto, adres IP i host, i blokuje je z dalszych akcji:

• Monituj o zablokowanie adresu IP.
• Blokowanie użytkownika Azure AD
• Resetowanie hasła użytkownika Azure AD
• Monitowanie o izolowanie maszyny

• Tworzenie, aktualizowanie lub zamykanie podręczników może tworzyć, aktualizować lub zamykać zdarzenia w usługach zabezpieczeń microsoft Sentinel, Microsoft 365 lub innych systemach biletów:

• Zmienianie ważności zdarzenia
• Tworzenie zdarzenia usługi ServiceNow

Następne kroki

• Samouczek: automatyzowanie odpowiedzi na zagrożenia w usłudze Microsoft Sentinel przy użyciu podręczników
• Tworzenie i wykonywanie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników