Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Центры управления безопасностью (SOCS) сталкиваются с постоянным потоком оповещений и инцидентов безопасности. Управление этими средствами крайне важно для обеспечения безопасности вашей организации. Сборники схем Microsoft Sentinel — это автоматизированные рабочие процессы, которые помогают быстро и согласованно реагировать на угрозы. В этой статье показано, как использовать сборники схем в Microsoft Sentinel для автоматизации реагирования на угрозы, сокращения усилий вручную и позволить вашей команде сосредоточиться на более глубоких исследованиях.
Используйте сборники схем Microsoft Sentinel для запуска предварительно настроенных наборов действий по исправлению и автоматизации и оркестрации ответа на угрозы. Автоматически запускайте плейбуки в ответ на определенные оповещения и инциденты, которые триггерят настроенное правило автоматизации, или запускайте их вручную для конкретной сущности или оповещения.
Например, если учетная запись и компьютер скомпрометируются, сборник схем может автоматически изолировать компьютер от сети и заблокировать учетную запись перед уведомлением команды SOC об инциденте.
Примечание.
Поскольку плейбуки используют Azure Logic Apps, могут взиматься дополнительные расходы. Дополнительные сведения см. на странице цен Azure Logic Apps .
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Рекомендуемые варианты использования
В следующей таблице перечислены распространенные варианты использования, в которых сборники схем Microsoft Sentinel помогают автоматизировать реагирование на угрозы:
| Вариант использования | Описание |
|---|---|
| Обогащение | Соберите данные и прикрепите его к инциденту, чтобы ваша команда могли принимать лучшие решения. |
| Двунаправленная синхронизация | Синхронизация инцидентов Microsoft Sentinel с другими системами запросов. Например, создайте правило автоматизации для всех новых инцидентов и вложите сборник схем, который открывает билет в ServiceNow. |
| Оркестрация | Используйте платформу чата команды SOC для управления очередью инцидентов. Например, отправьте сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы аналитики безопасности знали об инциденте. |
| Ответ | Реагирование на угрозы сразу же с минимальным участием человека, например при обнаружении скомпрометированного пользователя или компьютера. Или вручную активируйте автоматические шаги во время исследования или во время охоты. |
Дополнительные сведения см. в рекомендуемых вариантах использования сборников схем, шаблонах и примерах.
Необходимые компоненты
Чтобы создать и запускать плейбуки в Microsoft Sentinel, вам потребуются следующие роли для использования Azure Logic Apps.
| Роль | Описание |
|---|---|
| Владелец | Позволяет предоставить доступ к сборникам схем в группе ресурсов. |
| Участник Microsoft Sentinel | Позволяет подключить сборник схем к правилу аналитики или автоматизации. |
| Microsoft Sentinel Responder | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор плейбука Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать сборники схем. Эта роль не используется для других целей. |
В следующей таблице описаны необходимые роли на основе выбора приложения логики "Потребление" или "Стандартный" для создания сборника схем:
| Приложение логики | Роли в Azure | Описание |
|---|---|---|
| Потребление | Владелец Logic App | Изменение приложений логики и управление ими. Запустите сборники схем. Не позволяет предоставлять доступ к сборникам схем. |
| Потребление | Оператор приложения логики | Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять приложения логики. |
| Стандартные | Стандартный оператор Logic Apps | Включение, повторная отправка и отключение рабочих процессов в приложении логики. |
| Стандартные | Разработчик Logic Apps уровня "Стандартный" | Создание и изменение приложений логики. |
| Стандартные | Участник Logic Apps Standard | Управление всеми аспектами приложения логики. |
На вкладке "Активные сборники схем" на странице автоматизации отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если только вы не предоставьте microsoft Sentinel разрешения группе ресурсов сборника схем.
Дополнительные разрешения, необходимые для запуска сборников схем Microsoft Sentinel
Microsoft Sentinel использует учетную запись службы для запуска сборников схем в инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, инициируемых инцидентом, или при запуске сборника схем вручную в определенном инциденте.
Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel . После того как Microsoft Sentinel имеет эту роль, она может запускать любую сборник схему в соответствующей группе ресурсов вручную или из правила автоматизации.
Чтобы предоставить Microsoft Sentinel необходимые разрешения, необходимо иметь роль владельца или администратора доступа пользователя. Чтобы запустить плейбуки, вам также потребуется роль Logic App Contributor в группе ресурсов, содержащей плейбуки, которые требуется запустить.
Шаблоны сборников схем (предварительная версия)
Внимание
Шаблоны сборников схем сейчас находятся на этапе предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Шаблоны рабочих процессов — это предварительно созданные, протестированные и готовые к использованию процессы, которые сами по себе не могут использоваться в качестве рабочих процессов, но готовы к настройке в соответствии с вашими потребностями. Мы также рекомендуем использовать шаблоны сборников схем в качестве ссылки на рекомендации при разработке сборников схем с нуля или в качестве вдохновения для новых сценариев автоматизации.
Получите шаблоны планов из следующих источников:
| Расположение | Описание |
|---|---|
| Страница автоматизации Microsoft Sentinel | На вкладке "Шаблоны плейбуков" отображаются все установленные плейбуки. Создайте одну или несколько активных сборников схем с помощью одного шаблона. При публикации новой версии шаблона все активные сборники схем, созданные из этого шаблона, получают дополнительную метку на вкладке "Активные сборники схем" , чтобы показать, что обновление доступно. |
| Страница Центра содержимого Microsoft Sentinel | Шаблоны плейбуков являются частью продуктовых решений или автономного содержимого, устанавливаемого из центра контента. Для получения дополнительной информации см. Сведения о содержимом и решениях Microsoft Sentinel Найдите и управляйте готовым содержимым Microsoft Sentinel |
| Сайт GitHub | Репозиторий Microsoft Sentinel GitHub содержит множество других шаблонов плейбуков. Выберите "Развернуть в Azure ", чтобы развернуть шаблон в подписке Azure. |
Шаблон плэйбука — это шаблон Azure Resource Manager (ARM), который включает несколько ресурсов: рабочий процесс Azure Logic Apps и подключения API для каждого задействованного подключения.
Дополнительные сведения см. в разделе:
- Создание и настройка плейбуков Microsoft Sentinel из шаблонов содержания
- Рекомендуемые шаблоны плейбуков
- Сборники схем Azure Logic Apps для Microsoft Sentinel
Рабочий процесс создания и использования сборников схем
Выполните следующие действия, чтобы создать и запустить плейбуки Microsoft Sentinel:
Определите сценарий автоматизации. Ознакомьтесь с рекомендуемыми вариантами использования сборников схем и шаблонами сборников схем, чтобы приступить к работе.
Если вы не используете шаблон, создайте сборник схем и создайте приложение логики. Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".
Протестируйте приложение логики, запустив его вручную. Дополнительные сведения см. в разделе "Запуск сборника схем вручную" по запросу.
Настройте сборник схем для автоматического запуска при создании нового оповещения или инцидента или запускайте его вручную по мере необходимости. Дополнительные сведения см. в статье "Реагирование на угрозы" с помощью сборников схем Microsoft Sentinel.