Condividi tramite

Creare ed eseguire attività impreviste in Microsoft Sentinel usando playbook

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo illustra come usare i playbook per creare e, facoltativamente, eseguire attività impreviste per gestire processi complessi del flusso di lavoro degli analisti in Microsoft Sentinel.

Usare l'azione Aggiungi attività in un playbook, nel connettore Microsoft Sentinel, per aggiungere automaticamente un'attività all'evento imprevisto che ha attivato il playbook. Sono supportati sia i flussi di lavoro Standard che i flussi di lavoro a consumo.

Consiglio

Le attività degli eventi imprevisti possono essere create automaticamente non solo dai playbook, ma anche dalle regole di automazione e anche manualmente, ad hoc, dall'interno di un evento imprevisto.

Per altre informazioni, vedere Usare le attività per gestire gli eventi imprevisti in Microsoft Sentinel.

Prerequisiti

  • Il ruolo risponditore Microsoft Sentinel è necessario per visualizzare e modificare gli eventi imprevisti, che è necessario per aggiungere, visualizzare e modificare attività.

  • Il ruolo Collaboratore app per la logica è necessario per creare e modificare playbook.

Per altre informazioni, vedere Microsoft Sentinel prerequisiti del playbook.

Usare un playbook per aggiungere un'attività ed eseguirla

Questa sezione fornisce una procedura di esempio per l'aggiunta di un'azione playbook che esegue le operazioni seguenti:

  • Aggiunge un'attività all'evento imprevisto, reimpostando la password di un utente compromesso
  • Aggiunge un'altra azione playbook per inviare un segnale a Microsoft Entra ID Protection (AADIP) per reimpostare effettivamente la password
  • Aggiunge un'azione finale del playbook per contrassegnare il completamento dell'attività nell'evento imprevisto.

Per aggiungere e configurare queste azioni, seguire questa procedura:

  1. Dal connettore Microsoft Sentinel aggiungere l'azione Aggiungi attività all'evento imprevisto e quindi:

    1. Selezionare l'elemento di contenuto dinamico ID ARM evento imprevisto per il campo ID arm dell'evento imprevisto .

    2. Immettere Reimposta password utente come Titolo.

    3. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Screenshot che mostra le azioni del playbook per aggiungere un'attività per reimpostare la password di un utente.

  2. Aggiungere l'azione Entità - Ottieni account (anteprima). Aggiungere l'elemento contenuto dinamico Entities (dallo schema dell'evento imprevisto Microsoft Sentinel) al campo Elenco entità. Ad esempio:

    Screenshot che mostra le azioni del playbook per ottenere le entità dell'account nell'evento imprevisto.

  3. Aggiungere un ciclo For each dalla libreria azioni Control . Aggiungere l'elemento contenuto dinamico Accounts dall'output Entities - Get Accounts al campo Select an output from previous steps (Selezionare un output dai passaggi precedenti ). Ad esempio:

    Screenshot che mostra come aggiungere un'azione ciclo for-each a un playbook per eseguire un'azione su ogni account individuato.

  4. All'interno del ciclo For each selezionare Aggiungi un'azione. In seguito:

    1. Cercare e selezionare il connettore Microsoft Entra ID Protection
    2. Selezionare l'azione Conferma un utente rischioso come compromesso (anteprima).
    3. Aggiungere l'elemento contenuto dinamico account Microsoft Entra ID utente al campo userIds Item - 1.

    Questa azione imposta i processi in movimento all'interno di protezione Microsoft Entra ID per reimpostare la password dell'utente.

    Screenshot che mostra l'invio di entità ad AADIP per confermare la compromissione.

    Nota

    Il campo Account Microsoft Entra ID utente è un modo per identificare un utente in AADIP. Potrebbe non essere necessariamente il modo migliore in ogni scenario, ma viene portato qui solo come esempio.

    Per assistenza, consultare altri playbook che gestiscono gli utenti compromessi o la documentazione Microsoft Entra ID Protection.

  5. Aggiungere l'azione Contrassegna un'attività come completata dal connettore Microsoft Sentinel e aggiungere l'elemento di contenuto dinamico ID attività evento imprevisto al campo ID arm attività. Ad esempio:

    Screenshot che mostra come aggiungere un'azione playbook per contrassegnare il completamento di un'attività imprevista.

Usare un playbook per aggiungere un'attività in modo condizionale

Questa sezione fornisce una procedura di esempio per l'aggiunta di un'azione playbook che ricerca un indirizzo IP visualizzato in un evento imprevisto.

  • Se i risultati di questa ricerca sono che l'indirizzo IP è dannoso, il playbook crea un'attività per l'analista per disabilitare l'utente usando tale indirizzo IP.
  • Se l'indirizzo IP non è un indirizzo dannoso noto, il playbook crea un'attività diversa per consentire all'analista di contattare l'utente per verificare l'attività.

Per aggiungere e configurare queste azioni, seguire questa procedura:

  1. Dal connettore Microsoft Sentinel aggiungere l'azione Entità - Ottieni INDIRIZZI IP. Aggiungere l'elemento contenuto dinamico Entities (dallo schema dell'evento imprevisto Microsoft Sentinel) al campo Elenco entità. Ad esempio:

    Screenshot che mostra le azioni del playbook per ottenere le entità dell'indirizzo IP nell'evento imprevisto.

  2. Aggiungere un ciclo For each dalla libreria azioni Control . Aggiungere l'elemento di contenuto dinamico degli indirizzi IP dall'output Entities - Get IPs al campo Select an output from previous steps (Selezionare un output dai passaggi precedenti ). Ad esempio:

    Screenshot che mostra come aggiungere un'azione ciclo for-each a un playbook per eseguire un'azione su ogni indirizzo IP individuato.

  3. All'interno del ciclo For each selezionare Aggiungi un'azione e quindi:

    1. Cercare e selezionare il connettore Totale virus .
    2. Selezionare l'azione Recupera un report IP (anteprima).
    3. Aggiungere l'elemento di contenuto dinamico Indirizzo IP dall'output Entities - Get IP al campo Indirizzo IP .

    Ad esempio:

    Screenshot che mostra l'invio di una richiesta a Virus Total per il report dell'indirizzo IP.

  4. All'interno del ciclo For each selezionare Aggiungi un'azione e quindi:

    1. Aggiungere una condizione dalla libreria azioni di controllo .
    2. Aggiungere l'elemento Contenuto dinamico dannoso delle ultime statistiche di analisi dall'output del report Get an IP (Ottieni un report IP ). Potrebbe essere necessario selezionare Visualizza altro per trovarlo.
    3. Selezionare l'operatore è maggiore di e immettere 0 come valore.

    Questa condizione pone la domanda "Il rapporto IP totale virus ha avuto qualche risultato?" Per esempio:

    Screenshot che mostra come impostare una condizione true-false in un playbook.

  5. All'interno dell'opzione True selezionare Aggiungi un'azione e quindi:

    1. Selezionare l'azione Aggiungi attività all'evento imprevisto dal connettore Microsoft Sentinel.
    2. Selezionare l'elemento di contenuto dinamico ID ARM evento imprevisto per il campo ID arm dell'evento imprevisto .
    3. Immettere Contrassegna l'utente come compromesso come titolo.
    4. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Screenshot che mostra le azioni del playbook per aggiungere un'attività per contrassegnare un utente come compromesso.

  6. All'interno dell'opzione False selezionare Aggiungi un'azione e quindi:

    1. Selezionare l'azione Aggiungi attività all'evento imprevisto dal connettore Microsoft Sentinel.
    2. Selezionare l'elemento di contenuto dinamico ID ARM evento imprevisto per il campo ID arm dell'evento imprevisto .
    3. Immettere Contatta l'utente per confermare l'attività come titolo.
    4. Aggiungere una descrizione facoltativa.

    Ad esempio:

    Screenshot che mostra le azioni del playbook per aggiungere un'attività per consentire all'utente di confermare l'attività.

Contenuto correlato

Per altre informazioni, vedere:

  • Last updated on