Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как принять меры реагирования против злоумышленников немедленно, в ходе расследования инцидента или охоты на угрозы, не отвлекаясь и не переключаясь на другие задачи. Это можно сделать с помощью сценариев, основанных на новом триггере сущности.
Триггер сущности в настоящее время поддерживает следующие типы сущностей:
Это важно
Триггер сущности в настоящее время находится в предварительной версии. См. Дополнительные условия использования для предварительных версий Microsoft Azure, в которых изложены дополнительные юридические условия, применимые к функциям Azure, находящимся в бета-версии, предварительной версии или еще не доступным в общем пользовании.
Запускайте сценарии с триггером сущности
Когда вы расследуете инцидент и определяете, что определенная сущность — учетная запись пользователя, узел, IP-адрес, файл и т. д. — представляет угрозу, вы можете выполнить немедленные действия по исправлению этой угрозы, выполнив сборник схем по запросу. Вы также можете сделать это, если вы столкнулись с подозрительными сущностями при упреждающем поиске угроз за пределами контекста инцидентов.
Выберите сущность в любом контексте, с которым вы столкнетесь, и выберите подходящий способ для запуска плейбука, как показано ниже.
В мини-приложении "Сущности " на вкладке "Обзор " инцидента на новой странице сведений об инциденте (теперь в предварительной версии) или на вкладке "Сущности" выберите сущность из списка, выберите три точки рядом с сущностью и выберите команду Run Playbook (Preview) во всплывающем меню.
На вкладке "Сущности " инцидента выберите сущность из списка и щелкните ссылку run playbook (предварительная версия) в конце строки в списке.
На графике исследования выберите сущность и нажмите кнопку run playbook (предварительная версия) на боковой панели сущности.
На странице поведения сущности выберите сущность. На странице полученной сущности нажмите кнопку Запустить план действий (Предварительный просмотр) в левой панели.
Все они будут открывать панель "Сценарий запуска" для <типа сущности>.
На любой из этих панелей вы увидите две вкладки: плейбуки и запуски.
На вкладке "Плейбуки" вы увидите список всех плейбуков, к которым у вас есть доступ, и которые используют триггер сущности Microsoft Sentinel для этого типа сущности (в данном случае учетные записи пользователей). Нажмите кнопку "Запустить" для плейбука, который вы хотите запустить немедленно.
Если вы не видите сборник схем, который вы хотите запустить в списке, это означает, что Microsoft Sentinel не имеет разрешений на запуск сборников схем в этой группе ресурсов.
Чтобы предоставить эти разрешения, выберите "Настройки > Настройки > права доступа к планам действий", чтобы > настроить разрешения. На панели "Управление разрешениями" установите флажки групп ресурсов, содержащих сборники схем, которые требуется запустить, и нажмите кнопку "Применить".
Для получения дополнительной информации см. Необходимые дополнительные разрешения для выполнения сценариев Microsoft Sentinel.
Вы можете проверить активность сценариев с триггером сущности на вкладке Запуски. Вы увидите список всех запусков любого сценария для выбранной сущности. Для того чтобы недавно завершенный запуск появился в этом списке, может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Azure Logic Apps.
Дальнейшие шаги
В этой статье вы узнали, как вручную запускать сборники схем для устранения угроз от сущностей в середине расследования инцидента или поиска угроз.
- Дополнительные сведения о расследовании инцидентов в Microsoft Sentinel.
- Узнайте, как заранее охотиться на угрозы с помощью Microsoft Sentinel.
- Дополнительные сведения о сущностях в Microsoft Sentinel.
- Дополнительные сведения о плейбуках в Microsoft Sentinel.