Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шаблон сборника схем — это предварительно созданный, тестируемый и готовый рабочий процесс автоматизации для Microsoft Sentinel, который можно настроить в соответствии с вашими потребностями. Шаблон также может служить как справочник с рекомендациями при разработке сборника схем с нуля или как источник идей для новых сценариев автоматизации.
Шаблоны плейбуков сами по себе не являются активными плейбуками, и для своих нужд необходимо создать редактируемую копию.
Многие шаблоны сборников схем разрабатываются сообществом Microsoft Sentinel, независимыми поставщиками программного обеспечения (ISV) и собственными экспертами Майкрософт на основе популярных сценариев автоматизации, используемых центрами безопасности по всему миру.
Внимание
Шаблоны сборников схем в настоящее время находятся в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Предварительные требования
Чтобы создавать сборники схем и управлять ими, вам потребуется доступ к Microsoft Sentinel с одной из следующих ролей Azure:
- Сотрудник приложения Logic App для редактирования и управления приложениями логики
- Оператор логического приложения для чтения, включения и отключения логических приложений
Дополнительные сведения см. в статье о предварительных требованиях сборника схем Microsoft Sentinel.
Перед созданием вашего плейбука мы рекомендуем прочитать плейбуки Azure Logic Apps для Microsoft Sentinel.
Доступ к шаблонам плейбуков
Получите доступ к шаблонам плейбуков из следующих источников:
| Расположение | Описание |
|---|---|
| Страница автоматизации Microsoft Sentinel | На вкладке "Шаблоны плейбуков" перечислены все установленные плейбуки. Создайте одну или несколько задействованных плейбуков с помощью одного шаблона. При публикации новой версии шаблона все активные сборники схем, созданные из этого шаблона, имеют дополнительную метку, добавленную на вкладке "Активные сборники схем" , чтобы указать, что обновление доступно. |
| Страница Центра содержимого Microsoft Sentinel | Шаблоны плейбуков доступны в качестве части продуктовых решений или автономного содержимого, установленного из Content hub. Для получения дополнительной информации см. Сведения о содержимом и решениях Microsoft Sentinel Обнаружьте и управляйте готовым содержимым Microsoft Sentinel |
| Сайт GitHub | Репозиторий Microsoft Sentinel GitHub содержит множество других шаблонов плейбуков. Выберите "Развернуть в Azure ", чтобы развернуть шаблон в подписке Azure. |
Технически шаблон сценария — это шаблон Azure Resource Manager (ARM), который состоит из нескольких ресурсов: рабочий процесс Azure Logic Apps и подключений API для каждого соединения.
В этой статье рассматривается развертывание шаблона плейбука на вкладке шаблонов плейбуков на вкладке Автоматизация.
Исследуйте шаблоны плейбуков
Для Microsoft Sentinel на портале Azure выберите страницуцентра содержимого управления >содержимым. Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Управление содержимым>Центр содержимого.
На странице "Центр контента" выберите тип контента, чтобы отфильтровать Плейбук. В этом отфильтрованном представлении перечислены все решения и самостоятельное содержимое, включающее один или несколько шаблонов плейбука. Установите решение или автономное содержимое, чтобы получить шаблон.
Затем выберите вкладку Конфигурация>Автоматизация>Шаблоны плейбуков, чтобы просмотреть установленные шаблоны. Например:
Чтобы найти шаблон сборника схем, соответствующий вашим требованиям, отфильтруйте список по следующим критериям:
| Фильтр | Описание |
|---|---|
| Триггер | Отфильтруйте на основе того, как запускается плейбук, включая инциденты, оповещения или сущности. Дополнительные сведения см. в разделе Поддерживаемые триггеры Microsoft Sentinel. |
| Соединители для Logic Apps | Фильтровать по внешним сервисам, с которыми взаимодействуют плейбуки. Во время процесса развертывания каждый соединитель должен принять идентификацию для аутентификации с внешней службой. |
| Объекты | Фильтруйте по типам сущностей, которые сборник схем ожидает найти в инциденте. Например, сценарий, дающий команду брандмауэру заблокировать IP-адрес, ожидает найти IP-адреса в инциденте. Такие инциденты могут быть созданы правилом аналитики атак brute Force. |
| Теги | Фильтрация по меткам, примененным к сборнику схем, связыванию сборника схем с определенным сценарием или указанием специальных характеристик. Например: - Обогащение — плейбуки, которые извлекают информацию из другого сервиса, чтобы добавить контекст к инциденту. Обычно эти сведения добавляются в качестве комментария к инциденту или отправляются в SOC. - Исправление — планы действий, которые выполняют действия в отношении затронутых сущностей для устранения потенциальной угрозы. - Синхронизация — сборник схем, помогающий сохранить внешнюю службу, например службу управления инцидентами, обновленную с помощью свойств инцидента. - Уведомление — инструкции, отправляющие электронное письмо или сообщение. - Ответ из Teams — сборники схем, которые позволяют аналитикам выполнять ручное действие из Teams с помощью интерактивных карточек. |
Например:
Настройте плейбук из шаблона
В этой процедуре описывается, как развертывать шаблоны плейбуков, и ее можно повторять для создания нескольких плейбуков на основе одного шаблона.
Хотя большинство шаблонов плэйбуков можно использовать в их текущем виде, мы рекомендуем настроить их так, чтобы они соответствовали вашим требованиям SOC.
На вкладке шаблоны плейбуков выберите плейбук, с которого хотите начать.
Если у плейбука имеются предварительные требования, обязательно следуйте инструкциям. Например:
Некоторые сценарии автоматизации вызывают другие сценарии автоматизации в качестве действий. Этот второй план действий называется вложенным планом действий. В таком случае один из предварительных требований — сначала развернуть вложенный сборник схем.
Для некоторых плейбуков требуется развертывание пользовательского коннектора Logic Apps или функции Azure. В таких случаях существует ссылка "Развертывание в Azure ", которая позволяет перейти к общему процессу развертывания шаблона ARM.
Выберите "Создать сборник схем ", чтобы открыть мастер создания сборника схем на основе выбранного шаблона. Мастер содержит четыре вкладки:
Основные: Найдите новый сборник схем, который является ресурсом Logic Apps, и присвойте ему имя. Можно использовать значение по умолчанию. Например:
Параметры: Введите значения для конкретного клиента, которые использует сценарий действий. Например, если сборник схем отправляет сообщение электронной почты в SOC, определите адрес получателя. Если в плейбуке используется настраиваемый соединитель, его необходимо развернуть в той же группе ресурсов. Впоследствии вам потребуется ввести его имя на вкладке Параметры.
Вкладка "Параметры" отображается только в том случае, если сборник схем имеет параметры. Например:
Связи: Разверните каждое действие, чтобы просмотреть существующие подключения, созданные для предыдущих плейбуков. Вы можете использовать существующие подключения или создать новый. Например:
Чтобы создать новое подключение, нажмите кнопку "Создать новое подключение" после развертывания. Этот параметр переводит вас в конструктор Logic Apps после завершения процесса развертывания.
Настраиваемые соединители перечислены по имени настраиваемого соединителя, введенного на вкладке "Параметры ".
Для соединителей, поддерживающих подключение к управляемому удостоверению, например Microsoft Sentinel, управляемое удостоверение является методом подключения по умолчанию.
Дополнительные сведения см. в аутентификации плейбуков для Microsoft Sentinel.
Проверка и создание: Просмотрите сводку процесса и дождитесь проверки входных данных перед созданием сборника схем.
Выполнив действия мастера создания плейбука до конца, вы перейдете к конструированию рабочего процесса нового плейбука в Logic Apps designer. Например:
Для каждого выбранного соединителя создайте новое подключение после развертывания:
В меню навигации выберите подключения API и выберите имя подключения. Например:
Выберите "Изменить подключение API" в меню навигации.
Введите необходимые параметры и нажмите кнопку "Сохранить". Например:
Кроме того, создайте новое подключение из соответствующих шагов в конструкторе Logic Apps:
Для каждого шага, отображающегося с знаком ошибки, выберите его, чтобы развернуть, а затем нажмите кнопку "Добавить".
Выполните проверку подлинности, следуя соответствующим инструкциям. Дополнительные сведения см. в аутентификации плейбуков для Microsoft Sentinel.
При наличии других шагов, использующих этот соединитель, разверните их поля. В появившемся списке подключений выберите только что созданное подключение.
Если вы решили использовать подключение с управляемой идентификацией для Microsoft Sentinel или других поддерживаемых подключений, обязательно предоставьте разрешения новому плейбуку в рабочей области Microsoft Sentinel или на соответствующих целевых ресурсах для других коннекторов.
Сохраните сборник схем. Сборник сценариев появляется на вкладке Активные сборники сценариев.
Чтобы запустить сборник схем, задайте автоматический ответ или запустите его вручную. Дополнительные сведения см. в статье "Реагирование на угрозы" с помощью сборников схем Microsoft Sentinel.
Сообщите о проблеме в шаблоне плейбука
Чтобы сообщить об ошибке или запросить улучшение сборника схем, выберите ссылку "Поддерживается " в области сведений сборника схем. Если это сборник схем, поддерживаемый сообществом, ссылка позволяет открыть проблему GitHub. В противном случае вы направляетесь на страницу сторонника с информацией о том, как отправить отзыв.