在Azure Sentinel中使用带自动化规则的剧本playbook——看来调查取证和响应是分开的,调查取证使用图谱便于人工来做
可以通过playbook修改事件等级。
教程:在Azure Sentinel中使用带自动化规则的剧本
https://docs.microsoft.com/en-us/azure/sentinel/tutorial-respond-threats-playbook
本教程向您展示如何将PlayBook与自动化规则一起使用,以自动执行Azure Sentinel检测到的事件响应和修复安全威胁。完成本教程时,您将能够:
- 创建自动化规则
- 创建一个playbook
- 为剧本添加操作
- 将PlayBook附加到自动化规则或分析规则以自动化威胁响应
什么是自动化规则和剧本?
自动化规则可帮助您在Azure Sentinel中的分类事件。您可以使用它们自动为合适的人员分配事件,关闭嘈杂的事件或已知误报,更改其严重性,并添加标签。它们也是您可以以响应事件运行Playbook的机制。
Playbooks是可以从Azure Sentinel运行的程序集合,以响应警报或事件。 PlayBook可以帮助自动化和协调您的响应,并且可以在生成特定警报或事件时,通过附加到分析规则或自动化规则,可以设置为自动运行。它也可以手动按需运行。
Azure Sentinel中的剧本基于内置的工作流程Azure Logic Apps.,这意味着您可以获得逻辑应用程序的所有权力,自定义性和内置模板。每个PlayBook都是针对它所属的特定订阅创建的,但是剧本显示屏显示任何选定订阅中可用的所有剧本。
笔记
由于PlayBooks利用Azure Logic应用程序,因此可能适用额外费用。参观Azure Logic Apps.定价页面获取更多详细信息。
例如,如果要停止潜在受损的用户绕过网络和窃取信息,则可以对检测受损用户生成的规则生成的事件创建自动化多方面的响应。您首先创建一个拍摄以下操作的剧本:
-
当通过自动化规则调用Playbook,将其传递IT事件,PlayBook打开票证ServiceNOW.或任何其他IT票务系统。
-
它还将事件中的所有信息发送到高级网络管理员和安全管理员的电子邮件中。电子邮件将包括堵塞和忽略用户选项按钮。
-
PlayBook等待,直到从管理员收到响应,然后继续下一步。
-
如果管理员选择堵塞,它向Azure AD发送命令以禁用用户,然后一个到防火墙以阻止IP地址。
-
如果管理员选择忽略,PlayBook关闭了Azure Sentinel的事件,以及ServiceNow的票。
为了触发PlayBook,然后您将创建一个自动化规则,当生成这些事件时运行。该规则将采用以下步骤:
-
该规则将事件状态更改为积极的。
-
它将事件分配给分析师的任务管理此类事件。
-
它添加了“受损用户”标记。
-
最后,它调用您刚刚创建的剧本。 (此步骤需要特殊权限。)
通过创建调用剧本作为操作的自动化规则,可以自动运行剧本,以响应致新事件。它们也可以通过讲述Analytics规则在生成警报时自动运行一个或多个播放簿的Analytics规则来自动运行。
您还可以选择手动按需运行PlayBook,作为对所选警报的响应。
通过使用更完整和详细的介绍来自动化威胁响应自动化规则和剧本在Azure Sentinel。
重要的
- 自动化规则,以及使用事件触发器对于剧本,目前正在进行中预习。看看Microsoft Azure预览的补充使用条款有关适用于Beta,预览或以其他方式尚未发布的Azure功能的额外法律术语。
创建一个playbook
请按照以下步骤在Azure Sentinel中创建新播放簿:
准备PlayBook和Logic应用程序
-
来自Azure Sentinel.导航菜单,选择自动化。
-
在顶部菜单上,选择创建和添加新的PlayBook.。
一个新的浏览器选项卡将打开并带您到创建一个逻辑应用程序巫师。
-
输入您的订阅和资源集团,并为您的PlayBook提供一个名字逻辑应用程序名称。
-
为了地区,选择要存储逻辑应用信息的Azure区域。
-
如果您想监控此PlayBook的活动以获取诊断目的,请标记启用日志分析复选框,然后输入您的日志Analytics工作区名称。
-
如果要将标记应用于您的PlayBook,请单击下一页:标签>(无需通过自动化规则应用的标签。了解有关标签的更多信息)。否则,请单击点评+创造。确认您提供的详细信息,然后单击创建。
-
虽然您正在创建和部署您的PlayBook(这将需要几分钟),但您将被带到一个呼叫的屏幕Microsoft.emptyWorkflow.。出现“部署完成”消息时,单击去资源。
-
你将被带到你的新比赛簿逻辑应用设计师,您可以在那里开始设计工作流程。您将看到一个带有短介绍视频的屏幕和一些常用的逻辑应用程序触发和模板。了解更多关于创建带逻辑应用程序的剧本。
-
选择空白逻辑应用程序模板。
选择触发器
每个Playbook都必须以触发器开头。触发器定义将启动PlayBook的操作以及PlayBook将期望接收的模式。
-
在搜索栏中,寻找Azure Sentinel。选择Azure Sentinel.当它出现在结果中。
-
在结果中触发选项卡,您将看到Azure Sentinel提供的两个触发器:
- 触发对Azure Sentinel警报的响应时
- 当触发Azure Sentinel事件创建规则时
选择符合您正在创建的播放类型的类型的触发器。
笔记
请记住,只有基于的剧本事件触发器可以通过自动化规则调用。基于的剧本警报触发器必须定义为直接运行分析规则也可以手动运行。
有关要使用的触发器的更多信息,请参阅在Azure Sentinel Playbook中使用触发器和操作
笔记
选择触发器或任何后续操作时,将要求您对您与其交互的资源提供者进行身份验证。在这种情况下,提供者是Azure Sentinel。您可以采取一些不同的方法来进行身份验证。有关详细信息和说明,请参阅将账单验证到Azure Sentinel。
添加动作
现在,您可以定义在您致电剧本时发生的事情。您可以通过选择添加操作,逻辑条件,循环或切换盒条件新步骤。此选择在设计器中打开一个新帧,您可以在其中选择系统或应用程序以与设置或设置的条件进行交互。在框架顶部的搜索栏中输入系统的名称或应用程序,然后从可用的结果中进行选择。
在这些步骤中的每一个步骤中,单击任何字段显示具有两个菜单的面板:动态内容和表达。来自动态内容菜单,您可以添加对传递给PlayBook的警报或事件的属性引用,包括所涉及的所有实体的值和属性。来自表达菜单,您可以从一个大型的函数库中选择,为您的步骤添加其他逻辑。
此屏幕截图显示您在创建在本文档开头的示例中描述的剧本中的操作和条件。唯一的区别是,在这里显示的剧本中,您正在使用警报触发器而不是这一点事件触发器。这意味着您将直接从分析规则调用此播放簿,而不是自动化规则。下面将描述两种调用剧本的方式。
自动化威胁应对
您已创建了您的剧本并定义了触发器,设置条件,并规定了它所需的操作以及它将产生的输出。现在,您需要确定它将运行的标准,并在满足这些标准时将运行它的自动化机制。
回应事件
你使用一个戏剧簿回应事件通过创建一个自动化规则当事件生成时,将运行,然后又将调用剧本。
要创建自动化规则:
-
来自自动化刀片在Azure Sentinel导航菜单中,选择创建从顶部菜单然后添加新规则。
-
这创建新的自动化规则面板打开。输入规则的名称。
-
如果您希望自动化规则仅在某些分析规则上生效,请指定通过修改哪些如果分析规则名称状况。
-
添加您希望此自动化规则激活的任何其他条件依赖。点击添加条件并从下拉列表中选择条件。条件列表由警报详细信息和实体标识符字段填充。
-
选择要采取此自动化规则的操作。可用行动包括分配所有者那改变状态那改变严重程度那添加标签, 和运行PlayBook.。您可以根据您添加尽可能多的操作。
-
如果你添加了一个运行PlayBook.操作,系统将提示您从可用剧本的下拉列表中进行选择。只有与之开始的剧本事件触发器可以从自动化规则运行,因此只有它们将出现在列表中。
重要的
必须授予Azure Sentinel,以便从自动化规则运行Playbook。如果在下拉列表中出现“灰白色”的Playbook,则表示Sentinel没有该播放簿资源组的权限。点击管理PlayBook权限链接分配权限。 在里面管理权限打开的面板,标记包含要运行的播放簿的资源组的复选框,然后单击申请。
-
你自己必须有所有者您要授予Azure Sentinel权限的任何资源组的权限,您必须拥有逻辑应用程序贡献者对包含要运行的播放簿的任何资源组的角色。
-
在多租户部署中,如果您要运行的剧本是在不同的租户中,则必须授予Azure Sentinel权限,以便在PlayBook的租户中运行PlayBook。
- 从PlayBooks租户中的Azure Sentinel导航菜单中,选择设置。
- 在里面设置刀片,选择设置标签,然后是PlayBook权限扩张器。
- 点击配置权限按钮打开管理权限面板上面提到,并继续如那样所述。
-
如果,在一个MSSP.场景,你想要在客户租户中运行一张剧本从签名到服务提供商租户时创建的自动规则中,您必须授予Azure Sentinel权限以运行PlayBook两个租户。在里面顾客租户,请按照前一个子弹点中的多租户部署说明进行操作。在里面服务提供者租户,您必须在Azure Lighthouse onboard模板中添加Azure安全性洞察力应用程序:
- 从Azure门户网站转到Azure Active Directory。
- 点击企业应用程序。
- 选择应用类型并过滤Microsoft应用程序。
- 在搜索框类型中Azure安全见解。
- 复制对象ID场地。您需要将此额外授权添加到现有的Azure Lighthouse委派。
这Azure Sentinel自动化贡献者角色有一个固定的guid,它是
f4c81013-99ee-4d62-a7ee-b3f1f648599a
。样本Azure Lighthouse授权将在您的参数模板中如下所示:
-
-
-
{ "principalId": "<Enter the Azure Security Insights app Object ID>", "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a", "principalIdDisplayName": "Azure Sentinel Automation Contributors" }
-
-
如果您希望它有一个,请为自动化规则设置过期日期。
-
输入数字命令要确定自动化规则序列中的位置,此规则将运行。
-
点击申请。你完成了!
发现其他方式创建自动化规则。
回答警报
你使用一个戏剧簿回应警报通过创建一个分析规则或者编辑现有的,在生成警报时运行,并选择您的PlayBook作为自动响应分析规则向导。
-
来自分析刀片在Azure Sentinel导航菜单中,选择要为其自动执行响应的分析规则,然后单击编辑在细节窗格中。
-
在里面分析规则向导 - 编辑现有规则页面,选择自动响应标签。
-
从下拉列表中选择您的PlayBook。您可以选择多个PlayBook,但只使用使用的剧本警报触发器将可用。
-
在里面审查和创建选项卡,选择节省。
按需运行剧本
您还可以按需运行剧本。
笔记
只有使用纸牌使用警报触发器可以按需运行。
按需运行PlayBook:
-
在里面事件页面,选择事件并单击查看完整详细信息。
-
在里面警报选项卡,单击要运行播放册的警报,并滚动到右侧,然后单击查看剧本并选择一个剧本跑步从订阅中的可用剧本列表中。
下一步
在本教程中,您了解了如何在Azure Sentinel中使用剧本和自动化规则来响应威胁。
学习如何积极寻找威胁使用Azure Sentinel。