Поделиться через

Автоматизируйте и запускайте плейбуки Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сценарий может помочь автоматизировать и оркестровать ваш ответ и можно настроить для автоматического выполнения при создании конкретных оповещений или при создании или обновлении инцидентов, присоединяя его к правилу автоматизации. Он также может выполняться вручную по запросу по конкретным инцидентам, оповещениям или сущностям.

В этой статье описывается, как подключить сборники схем к правилам аналитики или правилам автоматизации или запускать сборники схем вручную для конкретных инцидентов, оповещений или сущностей.

Замечание

Сценарии в Microsoft Sentinel основаны на рабочих процессах, построенных в Azure Logic Apps, что означает, что вы получаете все возможности, настраиваемость и встроенные шаблоны Logic Apps. Дополнительная плата может взиматься. Дополнительные сведения см. на странице цен Azure Logic Apps .

Это важно

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Предпосылки

Перед началом работы убедитесь, что у вас есть сборник схем, доступный для автоматизации или запуска, с заданными триггером, условиями и действиями. Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".

Обязательные роли Azure для запуска плейбуков

Чтобы запустить плейбуки, вам потребуются следующие роли Azure:

Должность Описание
Владелец Позволяет предоставить доступ к сборникам схем в группе ресурсов.
Участник Microsoft Sentinel Присоединение сборника схем к правилу аналитики или правилу автоматизации
Microsoft Sentinel Responder Получите доступ к инциденту, чтобы запустить плейбук вручную. Чтобы запустить план действий, вам также потребуются следующие роли:

- Оператор сборника схем Microsoft Sentinel для запуска сборника схем вручную
- Роль участника службы автоматизации Microsoft Sentinel позволяет правилам автоматизации запускать сборники схем.

Дополнительные сведения см. в предварительных требованиях плейбука.

Дополнительные разрешения, необходимые для запуска сборников схем для инцидентов

Microsoft Sentinel использует учетную запись службы для запуска сборников схем в инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, инициируемых инцидентом, или при запуске сборника схем вручную в определенном инциденте.

Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel . После того как Microsoft Sentinel имеет эту роль, она может запускать любую сборник схему в соответствующей группе ресурсов вручную или из правила автоматизации.

Чтобы предоставить Microsoft Sentinel необходимые разрешения, необходимо иметь роль владельца или администратора доступа пользователям. Чтобы запускать плейбуки, вам также потребуется роль участника Logic App в группе ресурсов, содержащей плейбуки, которые вы хотите запустить.

Настройка прав доступа плейбука для инцидентов в мультитенантном развертывании

В мультитенантном развертывании, если сборник схем, который вы хотите запустить, находится в другом клиенте, необходимо предоставить учетную запись службы Microsoft Sentinel с разрешением на запуск сборника схем в клиенте сборника схем.

  1. В меню навигации Microsoft Sentinel в клиенте плейбуков выберите «Параметры».

  2. На странице "Параметры" выберите вкладку "Настройки", а затем блок разрешений плейбука.

  3. Нажмите кнопку "Настройка разрешений" , чтобы открыть панель "Управление разрешениями ".

  4. Пометьте флажки групп ресурсов, содержащих плейбуки, которые требуется запустить, и выберите Применить. Рассмотрим пример.

    Снимок экрана: раздел действий с выбранным сборником схем run.

У вас должны быть разрешения Owner для любой группы ресурсов, в которой вы хотите предоставить разрешения Microsoft Sentinel, и у вас должна быть роль Microsoft Sentinel Playbook Operator в любой группе ресурсов, содержащей сценарии, которые вы хотите запустить.

Если в сценарии MSSP необходимо запустить сборник схем в клиенте клиента из правила автоматизации, созданного при входе в клиент поставщика услуг, необходимо предоставить Microsoft Sentinel разрешение на запуск сборника схем в обоих клиентах:

  • В клиентском тенанте следуйте стандартным инструкциям по развертыванию многопользовательской среды.

  • В клиенте поставщика услуг добавьте приложение Azure Security Insights в шаблон подключения Azure Lighthouse следующим образом:

    1. На портале Azure перейдите к идентификатору Microsoft Entra и выберите корпоративные приложения.
    2. Выберите тип приложения и фильтр в приложениях Майкрософт.
    3. В поле поиска введите Azure Security Insights.
    4. Скопируйте поле идентификатора объекта . Вам необходимо добавить дополнительную авторизацию к вашему существующему делегированию в Azure Lighthouse.

Роль Участника службы автоматизации Microsoft Sentinel имеет фиксированный GUID f4c81013-99ee-4d62-a7ee-b3f1f648599a. Пример авторизации Azure Lighthouse будет выглядеть следующим образом в шаблоне параметров:

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

Автоматизация реагирования на инциденты и оповещения

Чтобы автоматически реагировать на все инциденты или отдельные оповещения с помощью сборника схем, создайте правило автоматизации, которое выполняется при создании или обновлении инцидента или при создании оповещения. Это правило автоматизации включает шаг, вызывающий сборник схем, который вы хотите использовать.

Чтобы создать правило автоматизации, выполните приведенные действия.

  1. На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать " в верхнем меню, а затем правило автоматизации. Рассмотрим пример.

    Снимок экрана: добавление нового правила автоматизации.

  2. Откроется панель Создать новое правило автоматизации. Введите имя правила. Параметры различаются в зависимости от того, подключена ли рабочая область к порталу Microsoft Defender. Рассмотрим пример.

  3. Триггер: Выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации— при создании инцидента, при обновлении инцидента или при создании оповещения.

  4. Условия:

    1. Если рабочая область еще не подключена к порталу Defender, инциденты могут иметь два возможных источника:

      Если вы выбрали один из триггеров инцидентов и хотите, чтобы правило автоматизации действовало только на инциденты, поступающие из Microsoft Sentinel или Microsoft Defender XDR, укажите источник в условии Если поставщик инцидентов равен.

      Это условие отображается только в том случае, если выбран триггер инцидента, и ваша рабочая область не подключена к порталу Defender.

    2. Для всех типов триггеров, если вы хотите, чтобы правило автоматизации действовало только на определенные правила аналитики, укажите, какие именно, изменив условие Если имя правила аналитики содержит.

    3. Добавьте любые другие условия, которые вы хотите определить, чтобы правило автоматизации выполнялось. Выберите +Добавить и выберите условия или группы условий из раскрывающегося списка. Список условий заполняется сведениями о предупреждении и полями идентификаторов сущностей.

  5. Действия:

    1. Так как вы используете это правило автоматизации для запуска плейбука, выберите действие Запустить плейбук из раскрывающегося списка. Вас затем попросят выбрать из второго раскрывающегося списка, где отображаются доступные планы действий. Правило автоматизации может запускать только те сборники схем, которые начинаются с того же триггера (инцидент или оповещение), что и триггер, определенный в правиле, поэтому в списке отображаются только те сборники схем.

      Если плейбук отображается серым в раскрывающемся списке, это означает, что Microsoft Sentinel не имеет разрешения на группу ресурсов этого плейбука. Выберите Управление правами доступа плейбука, чтобы назначить права доступа.

      На открывающейся панели разрешений "Управление разрешениями " установите флажки групп ресурсов, содержащих сборники схем, которые требуется запустить, и нажмите кнопку "Применить". Рассмотрим пример.

      Снимок экрана: раздел действий с выбранным сборником схем run.

      У вас должны быть разрешения Owner для любой группы ресурсов, в которой вы хотите предоставить разрешения Microsoft Sentinel, и у вас должна быть роль Microsoft Sentinel Playbook Operator в любой группе ресурсов, содержащей сценарии, которые вы хотите запустить.

      Дополнительные сведения см. в разделе "Дополнительные разрешения, необходимые для запуска плейбуков при инцидентах".

    2. Добавьте другие действия, которые вы хотите выполнить для этого правила. Порядок выполнения действий можно изменить, выбрав стрелки вверх или вниз справа от любого действия.

  6. Задайте дату истечения срока действия правила автоматизации, если это необходимо.

  7. Введите число в разделе "Порядок", чтобы определить, где выполняется это правило в последовательности правил автоматизации.

  8. Нажмите кнопку "Применить" , чтобы завершить автоматизацию.

Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".

Реагирование на оповещения — устаревший метод

Еще один способ автоматического запуска сценариев в ответ на оповещения — это вызов их из правила аналитики. Когда правило создает оповещение, сборник схем запускается.

Этот метод будет объявлен устаревшим с марта 2026 года.

Начиная с июня 2023 года, вы больше не можете добавлять сборники схем в правила аналитики таким образом. Однако вы по-прежнему видите существующие сборники схем, вызываемые из правил аналитики, и эти сборники схем по-прежнему будут работать до марта 2026 года. Мы настоятельно рекомендуем вам создавать правила автоматизации для вызова этих сценариев заранее.

Запустите сценарий вручную, по запросу

Вы также можете вручную запустить плейбук по требованию, будь то в ответ на оповещения, инциденты или сущности. Это может быть полезно в тех ситуациях, когда требуется больше сотрудников для ввода данных и управления процессами оркестрации и реагирования.

Запуск сборника схем в оповещении вручную

Эта процедура не поддерживается на портале Defender.

На портале Azure выберите одну из следующих вкладок, как это необходимо для вашей среды:

  1. На странице "Инциденты" выберите инцидент и откройте страницу сведений об инциденте.

  2. На странице сведений об инциденте в виджете временной шкалы инцидента выберите оповещение, для которого нужно запустить сценарий. Выберите три точки в конце строки оповещения и выберите команду Run playbook в всплывающем меню.

    Снимок экрана: запуск сборника схем по запросу.

  3. Откроется область планов действий для оповещений. Вы увидите список всех плейбуков, настроенных с триггером Logic Apps Microsoft Sentinel Alert, к которому у вас есть доступ.

  4. Нажмите Запустить в строке определенного плейбука, чтобы запустить его немедленно.

Вы можете просмотреть историю запусков плейбуков для оповещения, выбрав вкладку «Запуски» на панели плейбуков оповещений. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Logic Apps.

Запуск сборника схем вручную в инциденте

Эта процедура отличается в зависимости от того, работаете ли вы на портале Azure или на портале Defender. Выберите соответствующую вкладку для вашей среды:

  1. На странице "Инциденты" выберите инцидент.

  2. В панели сведений об инциденте, которая отображается сбоку, выберите Действия > Выполнить плейбук.

    При выборе трех точек в конце строки инцидента в сетке или при выборе инцидента правой кнопкой мыши отображается тот же список, что и при нажатии кнопки «Действие».

  3. Панель Запуск плейбука на инцидент открывается сбоку. Вы увидите список всех сценариев действий, настроенных с помощью триггера Logic Apps Microsoft Sentinel Incident, к которым у вас есть доступ.

    Если вы не видите сборник схем, который вы хотите запустить в списке, это означает, что Microsoft Sentinel не имеет разрешений на запуск сборников схем в этой группе ресурсов.

    Чтобы предоставить эти разрешения, выберите "Параметры>Параметры>Разрешения плейбука>Настроить разрешения". На открывающейся панели разрешений "Управление разрешениями " установите флажки групп ресурсов, содержащих сборники схем, которые требуется запустить, и нажмите кнопку "Применить".

    Дополнительные сведения см. в разделе "Дополнительные разрешения", необходимые для запуска сборников схем для инцидентов.

  4. Нажмите Запустить в строке определенного плейбука, чтобы запустить его немедленно.

    У вас должна быть роль оператора плейбуков Microsoft Sentinel в любой группе ресурсов, содержащей плейбуки, которые вы хотите запустить. Если вы не можете запустить сборник схем из-за отсутствия разрешений, рекомендуется обратиться к администратору, чтобы предоставить вам соответствующие разрешения. Дополнительные сведения см. в разделе о предварительных требованиях плейбука Microsoft Sentinel.

Просмотрите историю выполнения сценариев по инциденту, выбрав вкладку "Запуски" на панели 'Запуск сценария на инциденте'. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Logic Apps.

Запустить плейбук вручную на объекте

Эта процедура не поддерживается на портале Defender.

Выберите сущность одним из следующих способов в зависимости от исходного контекста:

Если вы находитесь на странице сведений об инциденте (новая версия):

На вкладке "Обзор" в мини-приложении "Сущности" найдите сущность и выполните одно из следующих действий:

  • Не выбирайте сущность. Вместо этого выберите три точки справа от сущности, а затем выберите Запустить плейбук. Найдите плейбук, который вы хотите запустить, и выберите Выполнить в строке этого плейбука.

  • Выберите сущность, чтобы открыть вкладку "Сущности " на странице сведений об инциденте. Найдите вашу сущность в списке и выберите кнопку с тремя точками справа. Найдите плейбук, который вы хотите запустить, и выберите Выполнить в строке этого плейбука.

  • Выберите сущность и перейдите на страницу сведений об сущности. Затем нажмите кнопку "Запустить сборник схем " на левой панели. Найдите плейбук, который вы хотите запустить, и выберите Выполнить в строке этого плейбука.

Независимо от контекста, из которого вы пришли, последний шаг в этой процедуре — это из плейбука Run на панели типа<сущностей>. На этой панели показан список всех плейбуков, к которым у вас есть доступ и которые были настроены с триггером Microsoft Sentinel Entity Logic Apps для выбранного типа сущности.

На панели "Запуск плейбука на <типе сущности>" выберите вкладку Запуски, чтобы просмотреть журнал выполнения плейбука для данной сущности. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Logic Apps.

Связанный контент

Дополнительные сведения можно найти здесь