Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается пример сценария использования сборника схем и правила автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности. Правила автоматизации помогают сортировать инциденты в Microsoft Sentinel, а также используются для запуска плейбуков в ответ на инциденты или оповещения. Дополнительные сведения см. в разделе автоматизации в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR).
Пример сценария, описанного в этой статье, описывает использование правила автоматизации и сборник схем для остановки потенциально скомпрометированного пользователя при создании инцидента.
Примечание.
Поскольку плейбуки используют Azure Logic Apps, может взиматься дополнительная плата. Дополнительные сведения см. на странице цен Azure Logic Apps .
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Для использования Azure Logic Apps для создания и запуска плейбуков в Microsoft Sentinel требуются следующие роли.
| Роль | Описание |
|---|---|
| Владелец | Позволяет предоставить доступ к плейбукам в группе ресурсов. |
| Сотрудник Microsoft Sentinel | Позволяет подключить сборник схем к правилу аналитики или автоматизации. |
| Microsoft Sentinel Responder | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор плейбуков Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать плейбуки. Эта роль не используется для других целей. |
В следующей таблице описаны необходимые роли в зависимости от того, выбираете ли вы логическое приложение типа "Consumption" или "Standard" для создания плейбука.
| Логическое приложение | Роли в Azure | Описание |
|---|---|---|
| Потребление | Участник Logic App | Редактирование и управление приложениями логики. Запустите плейбуки. Не позволяет предоставлять доступ к плейбукам. |
| Потребление | Оператор приложения логики | Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять логические приложения. |
| Стандарт | Стандартный оператор Logic Apps | Включение, повторная отправка заявок и отключение рабочих процессов в логическом приложении. |
| Стандарт | Разработчик Logic Apps уровня "Стандартный" | Создание и изменение приложений логики. |
| Стандарт | Участник Logic Apps уровня "Стандартный" | Управление всеми аспектами приложения логики. |
На вкладке "Активные сборники схем" на странице автоматизации отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию плейбук можно использовать только в подписке, к которой он принадлежит, если только вы не предоставите Microsoft Sentinel разрешения группе ресурсов.
Дополнительные разрешения требуются для запуска сценариев на инциденты
Microsoft Sentinel использует учетную запись сервиса для запуска плейбуков на инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для плейбуков, триггерируемых инцидентом, или при запуске плейбука вручную на конкретном инциденте.
Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel . Как только Microsoft Sentinel получает эту роль, оно может запускать любой плейбук в соответствующей группе ресурсов вручную или через правило автоматизации.
Чтобы предоставить Microsoft Sentinel необходимые разрешения, необходимо иметь роль владельца или администратора доступа пользователя. Чтобы запустить плейбуки, вам также потребуется роль Logic App Contributor в группе ресурсов, содержащей плейбуки, которые вы хотите запустить.
Остановка потенциально скомпрометированных пользователей
Команды SOC хотят убедиться, что потенциально скомпрометированные пользователи не могут перемещаться по сети и украсть информацию. Рекомендуется создать автоматизированный, многомерный ответ на инциденты, созданные правилами, которые обнаруживают скомпрометированных пользователей для обработки таких сценариев.
Настройте правило автоматизации и сборник схем для использования следующего потока:
Инцидент создается для потенциально скомпрометированного пользователя, и правило автоматизации запускается для вызова сценария действий.
Плейбук открывает заявку в вашей системе управления ИТ-заявками, например, ServiceNow.
Сборник схем также отправляет сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы убедиться, что аналитики безопасности осведомлены об инциденте.
Сборник схем также отправляет всю информацию в инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. В сообщении электронной почты содержатся кнопки "Блокировать " и "Игнорировать параметры пользователя".
Сборник схем ожидает получения ответа от администраторов, а затем переходит к следующим шагам.
Если администраторы выбирают Блокировать, плейбук отправляет команду в Microsoft Entra ID, чтобы отключить пользователя, и другую команду брандмауэру, чтобы заблокировать IP-адрес.
Если администраторы выбирают "Игнорировать", сборник схем закрывает инцидент в Microsoft Sentinel и билет в ServiceNow.
На следующем снимке экрана показаны действия и условия, которые вы добавите при создании этого примера сборника схем:
