Автоматизация и запуск сборников схем Microsoft Sentinel
Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответ, и его можно настроить автоматически при создании или обновлении определенных оповещений, при подключении к правилу автоматизации. Он также может выполняться вручную по запросу по конкретным инцидентам, оповещениям или сущностям.
В этой статье описывается, как подключить сборники схем к правилам аналитики или правилам автоматизации или запускать сборники схем вручную для конкретных инцидентов, оповещений или сущностей.
Примечание.
Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps. Это означает, что вы получаете все функции, возможности настройки и встроенные шаблоны Logic Apps. Дополнительные расходы могут применяться. Подробные сведения о ценах см. на странице цен на Azure Logic Apps.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
Перед началом работы убедитесь, что у вас есть сборник схем, доступный для автоматизации или запуска, с заданными триггером, условиями и действиями. Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".
Обязательные роли Azure для запуска сборников схем
Чтобы запустить сборники схем, вам потребуются следующие роли Azure:
Роль | Описание |
---|---|
Ответственное лицо | Позволяет предоставить доступ к сборникам схем в группе ресурсов. |
Участник Microsoft Sentinel | Присоединение сборника схем к правилу аналитики или правилу автоматизации |
Microsoft Sentinel Responder | Доступ к инциденту для запуска сборника схем вручную. Чтобы на самом деле запустить сборник схем, вам также потребуются следующие роли: - Оператор сборника схем Microsoft Sentinel для запуска сборника схем вручную - Роль участника службы автоматизации Microsoft Sentinel позволяет правилам автоматизации запускать сборники схем. |
Дополнительные сведения см. в статье о предварительных требованиях сборника схем.
Дополнительные разрешения, необходимые для запуска сборников схем для инцидентов
Microsoft Sentinel использует учетную запись службы для запуска сборников схем в инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, инициируемых инцидентом, или при запуске сборника схем вручную в определенном инциденте.
Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel. После того как Microsoft Sentinel имеет эту роль, она может запускать любую сборник схему в соответствующей группе ресурсов вручную или из правила автоматизации.
Чтобы предоставить Microsoft Sentinel с необходимыми разрешениями, необходимо иметь роль администратора доступа владельца или пользователя. Чтобы запустить сборники схем, вам также потребуется роль участника приложения логики в группе ресурсов, содержащей сборники схем, которые требуется запустить.
Настройка разрешений сборника схем для инцидентов в мультитенантном развертывании
В мультитенантном развертывании, если сборник схем, который вы хотите запустить, находится в другом клиенте, необходимо предоставить учетную запись службы Microsoft Sentinel с разрешением на запуск сборника схем в клиенте сборника схем.
В меню навигации Microsoft Sentinel в арендаторе сборника схем выберите Параметры.
На странице "Параметры" выберите вкладку "Параметры", а затем расширитель разрешений сборника схем.
Нажмите кнопку "Настройка разрешений", чтобы открыть панель "Управление разрешениями".
Пометьте флажки групп ресурсов, содержащих сборники схем, которые требуется запустить, и нажмите кнопку "Применить". Например:
У вас должны быть разрешения владельца для любой группы ресурсов, в которой требуется предоставить разрешения Microsoft Sentinel, и у вас должна быть роль оператора playbook Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые вы хотите запустить.
Если в сценарии MSSP необходимо запустить сборник схем в клиенте клиента из правила автоматизации, созданного при входе в клиент поставщика услуг, необходимо предоставить Microsoft Sentinel разрешение на запуск сборника схем в обоих клиентах:
В клиенте клиента следуйте стандартным инструкциям по развертыванию мультитенантной среды.
В клиенте поставщика услуг добавьте приложение Azure Security Insights в шаблон подключения Azure Lighthouse следующим образом:
- В портал Azure перейдите к идентификатору Microsoft Entra и выберите корпоративные приложения.
- Выберите тип приложения и фильтр в приложениях Майкрософт.
- В поле поиска введите Azure Security Insights.
- Скопируйте поле Идентификатор объекта. Необходимо добавить эту дополнительную авторизацию в существующее делегирование Azure Lighthouse.
Роль участника службы автоматизации Microsoft Sentinel имеет фиксированный GUID f4c81013-99ee-4d62-a7ee-b3f1f648599a
. Пример авторизации Azure Lighthouse в шаблоне параметров будет иметь следующий вид.
{
"principalId": "<Enter the Azure Security Insights app Object ID>",
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors"
}
Автоматизация реагирования на инциденты и оповещения
Чтобы автоматически реагировать на все инциденты или отдельные оповещения с помощью сборника схем, создайте правило автоматизации, которое выполняется при создании или обновлении инцидента или при создании оповещения. Это правило автоматизации включает шаг, вызывающий сборник схем, который вы хотите использовать.
Чтобы создать правило автоматизации, выполните приведенные действия.
На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать" в верхнем меню, а затем правило автоматизации. Например:
Откроется панель Create new automation rule (Создание правила автоматизации). Введите имя правила. Параметры различаются в зависимости от того, подключена ли рабочая область к порталу Microsoft Defender. Например:
Триггер: выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации— при создании инцидента, при обновлении инцидента или при создании оповещения.
Условия.
Если рабочая область еще не подключена к порталу Defender, инциденты могут иметь два возможных источника:
- Инциденты можно создать внутри Microsoft Sentinel
- Инциденты можно импортировать из — и синхронизировать с — XDR в Microsoft Defender.
Если вы выбрали один из триггеров инцидентов и хотите, чтобы правило автоматизации ввелось только на инциденты, которые были источником в Microsoft Sentinel или в XDR в Microsoft Defender, укажите источник в условии, если поставщик инцидентов равен условию.
Это условие отображается только в том случае, если выбран триггер инцидента, и ваша рабочая область не подключена к порталу Defender.
Для всех типов триггеров, если требуется, чтобы правило автоматизации действовало только в определенных правилах аналитики, укажите, какие из них можно изменить, изменив имя правила If Analytics, содержащее условие.
Добавьте любые другие условия, которые необходимо определить, выполняется ли это правило автоматизации. Выберите +Добавить и выберите условия или группы условий из раскрывающегося списка. Список условий заполняется сведениями о предупреждении и полями идентификаторов сущностей.
Действия:
Так как вы используете это правило автоматизации для запуска сборника схем, выберите действие run playbook из раскрывающегося списка. Затем появится запрос на выбор из второго раскрывающегося списка, где отображаются доступные сборники схем. Правило автоматизации может запускать только те сборники схем, которые начинаются с того же триггера (инцидент или оповещение), что и триггер, определенный в правиле, поэтому в списке отображаются только те сборники схем.
Если сборник схем отображается серым в раскрывающемся списке, это означает, что Microsoft Sentinel не имеет разрешения на группу ресурсов этой сборника схем. Щелкните ссылку Управление разрешениями для сборника схем, чтобы назначить разрешения.
На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить. Например:
У вас должны быть разрешения владельца для любой группы ресурсов, в которой требуется предоставить разрешения Microsoft Sentinel, и у вас должна быть роль оператора playbook Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые вы хотите запустить.
Дополнительные сведения см. в разделе "Дополнительные разрешения", необходимые для запуска сборников схем для инцидентов.
Добавьте другие действия, которые вы хотите выполнить для этого правила. Порядок выполнения действий можно изменить, выбрав стрелки вверх или вниз справа от любого действия.
Задайте дату истечения срока действия правила автоматизации, если это необходимо.
Введите число в разделе "Порядок", чтобы определить, где выполняется это правило в последовательности правил автоматизации.
Нажмите кнопку "Применить" , чтобы завершить автоматизацию.
Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".
Реагирование на оповещения — устаревший метод
Еще одним способом автоматического запуска сборников схем в ответ на оповещения являются вызовы из правила аналитики. Когда правило создает оповещение, сборник схем запускается.
Этот метод будет нерекомендуем по состоянию на март 2026 года.
Начиная с июня 2023 года, вы больше не можете добавлять сборники схем в правила аналитики таким образом. Однако вы по-прежнему видите существующие сборники схем, вызываемые из правил аналитики, и эти сборники схем по-прежнему будут работать до марта 2026 года. Мы настоятельно рекомендуем вам создавать правила автоматизации для вызова этих сборников схем перед этим.
Запуск сборника схем вручную по запросу
Вы также можете вручную запустить сборник схем по запросу, независимо от того, в ответ на оповещения, инциденты или сущности. Это может быть полезно в тех ситуациях, когда требуется больше сотрудников для ввода данных и управления процессами оркестрации и реагирования.
Запуск сборника схем в оповещении вручную
Эта процедура не поддерживается на портале Defender.
В портал Azure выберите одну из следующих вкладок, как это необходимо для вашей среды:
- Страница Сведения об инциденте
- График исследования
На странице "Инциденты" выберите инцидент и откройте страницу сведений об инциденте.
На странице сведений об инциденте в мини-приложении временной шкалы инцидента выберите оповещение, в которое нужно запустить сборник схем. Выберите три точки в конце строки оповещения и выберите команду Run playbook в всплывающем меню.
Откроется область сборников оповещений. Вы увидите список всех сборников схем, настроенных с помощью триггера Microsoft Sentinel Alert Logic Apps, к которому у вас есть доступ.
Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.
Журнал выполнения для сборника схем можно просмотреть в оповещении, выбрав вкладку Запуски в области Сборники схем оповещения. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Logic Apps.
Запуск сборника схем в инциденте вручную
Эта процедура отличается в зависимости от того, работаете ли вы на портал Azure или на портале Defender. Выберите соответствующую вкладку для вашей среды:
На странице Инциденты выберите инцидент.
В области сведений об инциденте, которая отображается на стороне, выберите "Действия > запуска сборника схем".
При выборе трех точек в конце строки инцидента в сетке или правой кнопкой мыши инцидент отображается тот же список, что и кнопка "Действие ".
Сборник схем run на панели инцидентов открывается на стороне. Вы увидите список всех сборников схем, настроенных с помощью триггера Microsoft Sentinel Incident Logic Apps, к которому у вас есть доступ.
Если вы не видите сборник схем, который вы хотите запустить в списке, это означает, что Microsoft Sentinel не имеет разрешений на запуск сборников схем в этой группе ресурсов.
Чтобы предоставить эти разрешения, выберите ">Параметры>параметров>сборника схем", чтобы настроить разрешения. На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить.
Дополнительные сведения см. в разделе "Дополнительные разрешения", необходимые для запуска сборников схем для инцидентов.
Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.
У вас должна быть роль оператора сборника схем Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые требуется запустить. Если вы не можете запустить сборник схем из-за отсутствия разрешений, рекомендуется обратиться к администратору, чтобы предоставить вам соответствующие разрешения. Дополнительные сведения см. в статье о предварительных требованиях сборника схем Microsoft Sentinel.
Просмотрите журнал выполнения сборников схем в инциденте, выбрав вкладку "Запуски " на панели схем запуска на панели инцидентов . На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Logic Apps.
Запуск сборника схем вручную в сущности
Эта процедура не поддерживается на портале Defender.
Выберите сущность одним из следующих способов в зависимости от исходного контекста:
- Страница сведений об инциденте (новая)
- Страница сведений об инциденте (устаревшая версия)
- График исследования
- Проактивная охота
Если вы находитесь на странице сведений об инциденте (новая версия):
На вкладке "Обзор" в мини-приложении "Сущности" найдите сущность и выполните одно из следующих действий:
Не выбирайте сущность. Вместо этого выберите три точки справа от сущности, а затем выберите "Запустить сборник схем". Найдите сборник схем, который вы хотите запустить, и выберите "Выполнить " в строке сборника схем.
Выберите сущность, чтобы открыть вкладку "Сущности" на странице сведений об инциденте. Найдите сущность в списке и выберите три точки справа. Найдите сборник схем, который вы хотите запустить, и выберите "Выполнить " в строке сборника схем.
Выберите сущность и перейдите на страницу сведений об сущности. Затем нажмите кнопку "Запустить сборник схем " на левой панели. Найдите сборник схем, который вы хотите запустить, и выберите "Выполнить " в строке сборника схем.
Независимо от контекста, который вы пришли, последний шаг в этой процедуре — из сборника схем Run на< панели типов> сущностей. На этой панели показан список всех сборников схем, к которым у вас есть доступ к ним с триггером Microsoft Sentinel Entity Logic Apps для выбранного типа сущности.
На панели типов> сущностей *Run playbook< выберите вкладку "Запуски", чтобы просмотреть журнал выполнения сборника схем для определенной сущности. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе определенного запуска откроется полный журнал выполнения в Logic Apps.
Связанный контент
Дополнительные сведения см. в разделе: