Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie mit Playbooks Aufgaben für Incidents erstellen und optional ausführen, um komplexe Workflowprozesse von Analysten in Microsoft Sentinel zu verwalten.
Verwenden Sie die Aktion Aufgabe hinzufügen in einem Playbook im Microsoft Sentinel Connector, um dem Incident, der das Playbook ausgelöst hat, automatisch eine Aufgabe hinzuzufügen. Sowohl Standard- als auch Verbrauchsworkflows werden unterstützt. Bevor Sie beginnen, stellen Sie sicher, dass Sie die Voraussetzungen erfüllen, einschließlich der erforderlichen Rollenzuweisungen.
Tipp
Incident-Aufgaben können nicht nur automatisch durch Playbooks, sondern auch durch Automatisierungsregeln sowie manuell ad hoc innerhalb eines Incidents erstellt werden.
Weitere Informationen finden Sie unter Verwenden von Aufgaben zum Verwalten von Incidents in Microsoft Sentinel.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die folgenden Rollen und Berechtigungen verfügen:
Die Rolle "Microsoft Sentinel Responder" ist erforderlich, um Incidents anzuzeigen und zu bearbeiten. Dies ist zum Hinzufügen, Anzeigen und Bearbeiten von Aufgaben erforderlich.
Die Rolle Mitwirkender bei Logic Apps ist erforderlich, um Playbooks zu erstellen und zu bearbeiten.
Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Sentinel Playbook.
Verwenden Sie ein Playbook, um eine Aufgabe hinzuzufügen und auszuführen
Das folgende Beispielverfahren zeigt, wie Playbookaktionen hinzugefügt werden, mit denen das Kennwort eines kompromittierten Benutzers zurückgesetzt wird:
- Fügt dem Incident eine Aufgabe hinzu und setzt das Kennwort eines kompromittierten Benutzers zurück.
- Fügt eine weitere Playbookaktion hinzu, um ein Signal an Microsoft Entra ID Protection (AADIP) zu senden, um das Kennwort tatsächlich zurückzusetzen.
- Fügt eine letzte Playbook-Aktion hinzu, um die Aufgabe im Vorfall als abgeschlossen zu markieren.
Führen Sie die folgenden Schritte aus, um die Aufgabenerstellungs-, Kennwortzurücksetzungs- und Aufgabenvervollständigungsaktionen hinzuzufügen und zu konfigurieren:
Fügen Sie über den Microsoft Sentinel Connector die Aktion Aufgabe zu Incident hinzufügen hinzu, und führen Sie dann Folgendes aus:
Wählen Sie das dynamische Inhaltselement Incident ARM ID für das Feld Incident ARM ID aus.
Geben Sie Benutzerkennwort zurücksetzen als Titel ein.
Fügen Sie eine optionale Beschreibung hinzu.
Zum Beispiel:
Fügen Sie die Aktion Entitäten – Konten abrufen (Vorschau) hinzu. Fügen Sie das dynamische Inhaltselement Entitäten (aus dem Microsoft Sentinel Incidentschema) zum Listenfeld Entitäten hinzu. Zum Beispiel:
Fügen Sie eine For each-Schleife aus der Steuerelement-Aktionsbibliothek hinzu. Fügen Sie das dynamische Inhaltselement Konten aus der Ausgabe Entitäten – Konten abrufen zum Feld Ausgabe aus vorherigen Schritten auswählen hinzu. Zum Beispiel:
Wählen Sie in der For each-SchleifeAktion hinzufügen aus. Gehen Sie dann wie folgt vor:
- Suchen Sie nach dem Connector Microsoft Entra ID Protection, und wählen Sie ihn aus.
- Wählen Sie die Aktion Benutzer mit Risiko als kompromittiert bestätigen (Vorschau) aus.
- Fügen Sie das dynamische Inhaltselement Benutzer-ID von Accounts Microsoft Entra zum Feld userIds Item - 1 hinzu.
Die Aktion Einen riskanten Benutzer als kompromittiert bestätigen setzt in Microsoft Entra ID Protection Prozesse in Gang, um das Kennwort des Benutzers zurückzusetzen.
Hinweis
Das Feld Benutzer-ID für Microsoft Entra-Konten ist eine Möglichkeit, einen Benutzer in AADIP zu identifizieren. Es ist möglicherweise nicht unbedingt der beste Weg in jedem Szenario, wird aber hier nur als Beispiel genannt.
Weitere Informationen finden Sie in anderen Playbooks, die mit kompromittierten Benutzern umgehen, oder in der Microsoft Entra ID Protection-Dokumentation.
Fügen Sie die Aktion Aufgabe als abgeschlossen markieren aus dem Microsoft Sentinel-Connector hinzu, und fügen Sie das dynamische Inhaltselement Incident task ID dem Feld Task ARM id hinzu. Zum Beispiel:
Mit einem Playbook eine Aufgabe unter bestimmten Bedingungen hinzufügen
Das folgende Beispielverfahren zeigt, wie Sie eine Playbook-Aktion hinzufügen, die eine IP-Adresse recherchiert, die in einem Vorfall angezeigt wird.
- Wenn die Ergebnisse dieser Untersuchung sind, dass die IP-Adresse böswillig ist, erstellt das Playbook eine Aufgabe für den Analysten, den Benutzer mit dieser IP-Adresse zu deaktivieren.
- Wenn es sich bei der IP-Adresse nicht um eine bekannte schädliche Adresse handelt, erstellt das Playbook eine andere Aufgabe, damit der Analyst den Benutzer kontaktieren kann, um die Aktivität zu überprüfen.
Führen Sie die folgenden Schritte aus, um die IP-Recherchebedingung und die bedingten Aufgabenerstellungsaktionen hinzuzufügen und zu konfigurieren:
Fügen Sie aus dem Microsoft Sentinel Connector die Aktion Entitäten – IP-Adressen abrufen hinzu. Fügen Sie das dynamische Inhaltselement Entitäten (aus dem Microsoft Sentinel Incidentschema) zum Listenfeld Entitäten hinzu. Zum Beispiel:
Fügen Sie eine For each-Schleife aus der Steuerelement-Aktionsbibliothek hinzu. Fügen Sie das dynamische Inhaltselement IP-Adressen aus der Ausgabe Entitäten – Abrufen von IP-Adressen zum Feld Select an output from previous steps (Ausgabe aus vorherigen Schritten auswählen) hinzu . Zum Beispiel:
Wählen Sie innerhalb der For each-Schleife Add an action aus, und dann:
- Suchen Sie nach dem Connector Virus Total und wählen Sie ihn aus.
- Wählen Sie die Aktion IP-Bericht abrufen (Vorschau) aus.
- Fügen Sie das dynamische Inhaltselement IP-Adresse aus der Ausgabe Entitäten – Ip-Adressen abrufen zum Feld IP-Adresse hinzu.
Zum Beispiel:
Innerhalb der For each-Schleife wählen Sie Aktion hinzufügen aus und gehen dann wie folgt vor:
- Fügen Sie eine Bedingung aus der Steuerelementaktionsbibliothek hinzu.
- Fügen Sie das Element Letzte Analysestatistik Schädlicher dynamischer Inhalt aus der Ausgabe Abrufen eines IP-Berichts hinzu. Möglicherweise müssen Sie mehr anzeigen auswählen, um es zu finden.
- Wählen Sie den Operator ist größer als aus und geben Sie
0als Wert ein.
Die Bedingung Statistik der letzten Analyse: „Malicious“ ist größer als 0 prüft, ob der VirusTotal-IP-Bericht bösartige Ergebnisse zurückgegeben hat. Zum Beispiel:
Wählen Sie in der Option Truedie Option Aktion hinzufügen aus, und wählen Sie dann Folgendes aus:
- Wählen Sie die Aktion Aufgabe zu einem Incident hinzufügen aus dem Microsoft Sentinel-Konnektor aus.
- Wählen Sie das dynamische Inhaltselement Incident ARM ID für das Feld Incident ARM ID aus.
- Geben Sie Benutzer als gefährdet markieren als den Titel ein.
- Fügen Sie eine optionale Beschreibung hinzu.
Zum Beispiel:
Wählen Sie in der Option False die Option Aktion hinzufügen aus, und wählen Sie dann Folgendes aus:
- Wählen Sie im Microsoft Sentinel Connector die Aktion Aufgabe zu Incident hinzufügen aus.
- Wählen Sie das dynamische Inhaltselement Incident ARM ID für das Feld Incident ARM ID aus.
- Geben Sie Kontaktieren Sie den Benutzer, um die Aktivität zu bestätigen als Titel ein.
- Fügen Sie eine optionale Beschreibung hinzu.
Zum Beispiel: