Поделиться через

Создание и управление плейбуками Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. План действий может помочь автоматизировать и оркестрировать ваш ответ и может быть присоединен к правилу автоматизации для автоматического запуска при генерации определенных оповещений или при создании либо обновлении инцидентов. Сборники схем также можно запускать вручную по запросу по конкретным инцидентам, оповещениям или сущностям.

В этой статье описывается создание сборников схем Microsoft Sentinel и управление ими. Позже эти сборники схем можно подключить к правилам аналитики или правилам автоматизации или запускать их вручную в определенных инцидентах, оповещениях или сущностях.

Примечание.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps, что означает, что вы получаете все возможности, настраиваемость и встроенные шаблоны приложений логики. Дополнительные расходы могут взиматься. Сведения о ценах см. на странице цен Azure Logic Apps.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

  • Учетная запись и подписка Azure. Если у вас нет подписки, зарегистрируйтесь для бесплатной учетной записи Azure.

  • Чтобы создавать сборники схем и управлять ими, вам потребуется доступ к Microsoft Sentinel с одной из следующих ролей Azure:

    Логическое приложение Роли в Azure Описание
    Потребление Сотрудник Logic App Редактирование и управление приложениями логики.
    Потребление Оператор приложения логики Чтение, включение и отключение приложений логики.
    Стандарт Стандартный оператор Logic Apps Включение, повторная отправка и отключение рабочих процессов.
    Стандарт Разработчик Logic Apps уровня "Стандартный" Создание и изменение рабочих процессов.
    Стандарт Участник Logic Apps Standard Управление всеми аспектами рабочего процесса.

    Дополнительные сведения см. в следующей документации:

  • Перед созданием сборника схем рекомендуется прочитать сборники схем Azure Logic Apps для Microsoft Sentinel.

Создайте плейбук

Чтобы создать сборник схем в Microsoft Sentinel, сделайте следующее.

  1. На портале Defender или на портале Azure перейдите в рабочую область Microsoft Sentinel. В меню рабочей области в разделе "Конфигурация" выберите "Автоматизация".

  2. В верхнем меню выберите "Создать", а затем выберите один из следующих параметров:

    • Если вы создаете сборник схем потребления, выберите один из следующих вариантов в зависимости от триггера, который вы хотите использовать, и выполните действия для приложения логики потребления:

      • Руководство с триггером инцидента
      • Сборник схем с триггером генерации оповещений
      • Сборник схем с триггером сущности

      Это руководство продолжает работу с сборником схем с триггером сущности.

    • Если вы создаете стандартныйсборник схем, выберите пустой сборник схем, а затем выполните действия для типа приложения логики "Стандартный".

    Дополнительные сведения см. в статье Поддерживаемые типы приложений логики и Поддерживаемые триггеры и действия в плейбуках Microsoft Sentinel.

Подготовьте логическое приложение вашего плейбука

Выберите одну из следующих вкладок, чтобы узнать, как создать приложение логики для плейбука в зависимости от того, используете ли вы логику приложения в режиме "Consumption" или "Standard". Дополнительные сведения см. в разделе "Поддерживаемые типы приложений логики".

Совет

Если вашим плейбукам требуется доступ к защищённым ресурсам, которые находятся внутри или подключены к виртуальной сети Azure, создайте рабочий процесс логического приложения уровня "Стандартный".

Стандартные рабочие процессы выполняются в Azure Logic Apps с одним клиентом и поддерживают использование частных конечных точек для входящего трафика, чтобы рабочие процессы могли безопасно взаимодействовать с виртуальными сетями. Стандартные рабочие процессы также поддерживают интеграцию виртуальной сети для исходящего трафика. Дополнительные сведения см. в статье "Безопасный трафик между виртуальными сетями и однотенантным Azure Logic Apps с помощью частных конечных точек".

После выбора триггера, включающего инцидент, оповещение или триггер сущности, откроется мастер создания сценария, например:

Снимок экрана мастера создания плейбуков и вкладка

Выполните следующие шаги, чтобы создать плейбук:

  1. На вкладке "Основные сведения" укажите следующие сведения:

    1. Для группы подписок и ресурсов выберите нужные значения из соответствующих списков.

      Значение региона установлено в тот же регион, что и связанная рабочая область Log Analytics.

    2. Для названия плейбука введите имя для вашего плейбука.

    3. Чтобы отслеживать действия этого плейбука для диагностических целей, выберите "Включить журналы диагностики" в Log Analytics, а затем выберите рабочую область Log Analytics, если вы еще не выбрали рабочую область.

  2. Нажмите кнопку "Далее: подключения >".

  3. На вкладке "Подключения" рекомендуется оставить значения по умолчанию, которые настраивают приложение логики для подключения к Microsoft Sentinel с управляемым удостоверением.

    Для получения дополнительной информации см. Аутентификация плейбуков для Microsoft Sentinel.

  4. Чтобы продолжить, нажмите кнопку "Далее: проверка и создание >".

  5. На вкладке Обзор и создание просмотрите параметры конфигурации и выберите Создать плейбук.

    Azure требуется несколько минут, чтобы создать и развернуть ваш плейбук. После завершения развертывания сборник схем откроется в конструкторе рабочих процессов потребления для Azure Logic Apps. Триггер, выбранный ранее, автоматически отображается как первый шаг в рабочем процессе, поэтому теперь можно продолжить создание рабочего процесса.

    Снимок экрана: конструктор рабочих процессов потребления с выбранным триггером.

  6. В конструкторе выберите триггер Microsoft Sentinel, если он еще не выбран.

  7. На панели "Создание подключения " выполните следующие действия, чтобы предоставить необходимые сведения для подключения к Microsoft Sentinel.

    1. Для проверки подлинности выберите из следующих методов, которые влияют на последующие параметры подключения:

      Метод Описание
      OAuth Open Authorization (OAuth) — это стандарт технологии, который позволяет авторизовать приложение или службу для входа в другой без предоставления частной информации, например паролей. OAuth 2.0 является отраслевым протоколом для авторизации и предоставляет ограниченный доступ к защищенным ресурсам. Дополнительные сведения см. в следующих ресурсах:

      - Что такое OAuth?
      - Авторизация OAuth 2.0 с идентификатором Microsoft Entra
      Субъект-служба Субъект-служба представляет сущность, требующую доступа к ресурсам, защищенным клиентом Microsoft Entra. Дополнительные сведения см. в разделе "Объект субъекта-службы".
      Управляемая идентичность Учётная запись, которая автоматически управляется в Microsoft Entra ID. Приложения могут использовать это удостоверение для доступа к ресурсам, поддерживающим проверку подлинности Microsoft Entra, и получать маркеры Microsoft Entra без необходимости управлять учетными данными.

      Для оптимальной безопасности корпорация Майкрософт рекомендует использовать управляемое удостоверение для проверки подлинности по возможности. Этот параметр обеспечивает более высокую безопасность и помогает обеспечить безопасность сведений проверки подлинности, чтобы вам не нужно было управлять этой конфиденциальной информацией. Дополнительные сведения см. в следующих ресурсах:

      - Что такое управляемые удостоверения для ресурсов Azure?
      - Проверка подлинности доступа и подключений к ресурсам Azure с помощью управляемых удостоверений в Azure Logic Apps.

      Дополнительные сведения см. в запросах проверки подлинности.

    2. На основе выбранного параметра проверки подлинности укажите необходимые значения параметров для соответствующего параметра.

      Дополнительные сведения об этих параметрах см. в справочнике по соединителю Microsoft Sentinel.

    3. Для идентификатора клиента выберите идентификатор клиента Microsoft Entra.

    4. По завершении нажмите кнопку "Войти".

  8. Если вы ранее выбрали плейбук с триггером сущности, выберите тип сущности, который вы хотите предоставить в качестве входных данных.

    Снимок экрана показывает плейбук рабочего процесса потребления с триггером сущности и доступными типами сущностей для выбора и настройки схемы плейбука.

Запросы проверки подлинности

При добавлении триггера или последующего действия, требующего проверки подлинности, может потребоваться выбрать доступные типы проверки подлинности, поддерживаемые соответствующим поставщиком ресурсов. В этом примере триггер Microsoft Sentinel — это первая операция, которую вы добавляете в рабочий процесс. Таким образом, поставщик ресурсов — Microsoft Sentinel, который поддерживает несколько вариантов проверки подлинности. Дополнительные сведения см. в следующей документации:

Добавьте действия в свой плейбук

Теперь, когда у вас есть поток работ для вашего плейбука, определите, что происходит при вызове плейбука. Добавьте действия, логические условия, циклы или условия переключения, выбрав знак плюса (+) в конструкторе. Дополнительные сведения см. в статье "Создание рабочего процесса с триггером или действием".

Область «Добавить действие» откроется, где можно просматривать или искать службы, приложения, системы, действия потока управления и многое другое. После ввода условий поиска или выбора нужного ресурса в списке результатов отображаются доступные действия.

В каждом действии при выборе внутри поля вы получите следующие параметры:

Дополнительные сведения см. в статье "Поддерживаемые триггеры и действия" в сборниках схем Microsoft Sentinel.

Динамическое содержимое: сборники схем сущностей без идентификатора инцидента

Плейбуки, созданные с помощью триггера сущности Microsoft Sentinel, часто используют поле идентификатора ARM инцидента, например, для обновления инцидента после выполнения действий с этой сущностью. Если такой сборник схем активируется в сценарии, который не подключен к инциденту, например при поиске угроз, не существует идентификатора инцидента для заполнения этого поля. Вместо этого поле заполняется значением NULL. В результате сборник схем может завершиться сбоем.

Чтобы предотвратить этот сбой, рекомендуется создать условие, которое проверяет значение в поле идентификатора инцидента, прежде чем рабочий процесс принимает любые другие действия. Вы можете назначить другой набор действий, которые необходимо предпринять, если поле имеет нулевое значение, из-за того, что плейбук не запускается от инцидента.

  1. В рабочем процессе перед первым действием, ссылающимся на поле идентификатора ARM инцидента, выполните следующие общие действия, чтобы добавить действие условия.

  2. В области условий в строке условия выберите левое поле "Выбрать значение ", а затем выберите параметр динамического содержимого (значок молнии).

  3. В списке динамического содержимого под инцидентом Microsoft Sentinel используйте поле поиска, чтобы найти и выбрать идентификатор ARM инцидента.

    Совет

    Если выходные данные не отображаются в списке, рядом с именем триггера нажмите кнопку "Дополнительные сведения".

  4. В среднем поле из списка операторов выберите не равно.

  5. В правом поле Выберите значение выберите опцию редактора выражений (значок функции).

  6. В редакторе введите null и нажмите кнопку "Добавить".

После завершения ваше условие будет выглядеть примерно так:

Снимок экрана показывает дополнительное условие, которое нужно добавить перед полем идентификатора ARM инцидента.

Динамическое содержимое: работа с пользовательскими сведениями

В триггере инцидента Microsoft Sentinel выходные данные пользовательских сведений оповещений — это массив объектов JSON, каждый из которых представляет пользовательскую информацию из оповещения. Пользовательские сведения — это пары "ключ-значение", которые позволяют получать сведения о событиях в оповещении, чтобы они могли быть представлены, отслежены и проанализированы как часть инцидента.

Это поле в оповещении настраивается, поэтому его схема зависит от типа события, которое отображается. Чтобы создать схему, которая определяет, как проанализировать выходные данные пользовательских сведений, укажите данные из экземпляра этого события:

  1. В меню рабочей области Microsoft Sentinel в разделе "Конфигурация" выберите "Аналитика".

  2. Выполните действия, чтобы создать или открыть существующее правило запланированного запроса или правило запроса NRT.

  3. На вкладке "Задать логику правила"разверните раздел "Пользовательские сведения", например:

    Снимок экрана показывает пользовательские данные, определенные в правиле аналитики.

    В следующей таблице приведены дополнительные сведения об этих парах ключ/значение.

    Товар Расположение Описание
    Ключ Левый столбец Представляет создаваемые настраиваемые поля.
    Ценность Правый столбец Представляет поля из данных события, заполняющих настраиваемые поля.

  4. Чтобы создать схему, укажите следующий пример кода JSON:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

    В коде показаны имена ключей в виде массивов и значения в виде элементов в массивах. Значения отображаются как фактические значения, а не столбец, содержащий значения.

Чтобы использовать настраиваемые поля для триггеров инцидентов, выполните следующие действия для рабочего процесса:

  1. В конструкторе рабочих процессов в триггере инцидента Microsoft Sentinel добавьте встроенное действие с именем Parse JSON.

  2. Выберите параметр содержимого внутри действия, затем выберите опцию списка динамического содержимого (значок в виде молнии).

  3. В списке в разделе триггера инцидента найдите и выберите "Настраиваемые сведения оповещений", например:

    Снимок экрана: выбор настраиваемых сведений оповещений в списке динамического содержимого.

    Этот выбор автоматически добавляет цикл Для каждого вокруг Parse JSON, так как инцидент содержит массив уведомлений.

  4. В области сведений о анализе JSON выберите "Использовать пример полезных данных для создания схемы", например:

    На снимке экрана показан выбор параметра

  5. В поле "Ввод" или вставьте пример полезных данных JSON, укажите пример полезных данных и нажмите кнопку "Готово".

    Например, найдите пример полезных данных, выполнив поиск в Log Analytics для другого экземпляра этого оповещения, а затем найдите объект пользовательских сведений в Расширенных свойствах и скопируйте его. Чтобы получить доступ к данным Log Analytics, перейдите на страницу "Журналы" на портале Azure или на страницу Расширенное расследование на портале Defender.

    В следующем примере показан предыдущий пример кода JSON:

    Снимок экрана: пример JSON полезной нагрузки.

    По завершении поле схемы теперь содержит созданную схему на основе предоставленного примера. Действие анализа JSON создает настраиваемые поля, которые теперь можно использовать в качестве динамических полей с типом массива в последующих действиях рабочего процесса.

    В следующем примере показан массив и его элементы, как в схеме, так и в списке динамического содержимого для последующего действия с именем Compose:

    Снимок экрана: готово к использованию динамических полей из схемы.

Управление плейбуками

Перейдите на вкладку "Активные плейбуки автоматизации>", чтобы просмотреть все плейбуки, к которым у вас есть доступ, отфильтрованные в соответствии с вашим представлением подписки.

После подключения к порталу Microsoft Defender по умолчанию на вкладке "Активные плейбуки" отображается предопределенный фильтр с подпиской подключенной рабочей области. На портале Azure измените подписки, отображаемые в меню "Каталог + подписка " в заголовке глобальной страницы Azure.

Хотя на вкладке "Активные сборники схем" отображаются все активные сборники схем, доступные в любой выбранной подписке, по умолчанию сборник схем можно использовать только в подписке, к которой она принадлежит, если только вы не предоставляете разрешения Microsoft Sentinel группе ресурсов сборника схем.

На вкладке "Активные плейбуки" отображаются плейбуки со следующими сведениями:

Имя столбца Описание
Статус Указывает, включен или отключен плейбук.
План Указывает, использует ли сценарий Azure Logic Apps тип ресурса Стандартный или Потребление.

Плейбуки стандартного типа используют LogicApp/Workflow правила именования, что отражает, как стандартный плейбук представляет рабочий процесс, который существует наряду с другими рабочими процессами в одном логическом приложении.

Дополнительные сведения см. в плейбуках Azure Logic Apps для Microsoft Sentinel.
Тип триггера Указывает триггер в Azure Logic Apps, который запускает этот сборник схем:

- Инцидент/Оповещение/Сущность Microsoft Sentinel: плейбук запускается с одним из триггеров Sentinel, включая инцидент, оповещение или сущность
- Использование действия Microsoft Sentinel: Плейбук запускается с триггера, который не является Microsoft Sentinel, но использует действие Microsoft Sentinel.
- Другие: сборник схем не включает какие-либо компоненты Microsoft Sentinel
- Не инициализирован: сборник схем был создан, но совершенно не содержит компонентов, ни триггеров, ни действий.

Выберите сборник схем, чтобы открыть страницу Azure Logic Apps, которая содержит дополнительные сведения о сборнике схем. На странице Azure Logic Apps:

  • Просмотр журнала всех запусков плейбука
  • Просмотр результатов выполнения, включая успехи и сбои и другие сведения
  • Если у вас есть соответствующие разрешения, откройте конструктор рабочих процессов в Azure Logic Apps, чтобы изменить сборник схем напрямую.

Связанный контент

После создания сборника схем подключите его к правилам для активации событий в вашей среде или вручную запустите сборники схем для определенных инцидентов, оповещений или сущностей.

Дополнительные сведения см. в разделе:

  • Last updated on