使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务
本文介绍如何使用 playbook 创建并选择性地执行事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流流程。
在 Microsoft Sentinel 连接器的 playbook 中使用“添加任务”操作,以便将任务自动添加到触发了 playbook 的事件。 支持标准工作流和消耗工作流。
提示
事件任务不仅可以通过 playbook 和自动化规则自动创建,还可以在事件中临时手动创建。
有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件。
先决条件
Microsoft Sentinel 响应者角色是查看和编辑事件所必需的,这是添加、查看和编辑任务必要条件。
创建和编辑 playbook 需要逻辑应用参与者角色。
有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件。
使用 playbook 添加并执行任务
本部分提供了一个示例过程,用于添加执行以下操作的 playbook 操作:
- 向事件添加任务,重置被入侵用户的密码
- 添加另一个 playbook 操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号以实际重置密码
- 添加最终的 playbook 操作,以将事件中的任务标记为已完成。
若要添加和配置这些操作,请执行以下步骤:
在 Microsoft Sentinel 连接器中添加“将任务添加到事件”操作,然后执行以下操作:
对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
输入“重置用户密码”作为“标题”。
添加可选说明。
例如:
添加“实体 - 获取帐户(预览版)”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:
从控件操作库添加 For each 循环。 将“实体 - 获取帐户”输出中的“帐户”动态内容项添加到“从前面的步骤中选择输出”字段。 例如:
在“For each”循环中,选择“添加操作”。 然后:
- 搜索并选择 Microsoft Entra ID 保护连接器
- 选择“确认风险用户被入侵(预览版)”操作。
- 将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。
此操作在 Microsoft Entra ID 保护中设置将重置用户密码的动态进程。
注意
“帐户 Microsoft Entra 用户 ID”字段是在 AADIP 中标识用户的一种方法。 它不一定是每种场景中的最佳方法,此处只是举例。
如需帮助,请参阅处理被入侵用户的其他 playbook 或 Microsoft Entra ID 标识保护文档。
从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作,并将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。 例如:
使用 playbook 按条件添加任务
本部分提供了一个示例过程,该过程展示了如何添加一个用于研究事件中出现的 IP 地址的 playbook 操作。
- 如果此研究的结果表明 IP 地址是恶意的,则 playbook 会为分析师创建一个任务,以禁用使用该 IP 地址的用户。
- 如果 IP 地址不是已知的恶意地址,playbook 会创建一个不同的任务,供分析师联系该用户以验证相关活动。
若要添加和配置这些操作,请执行以下步骤:
从 Microsoft Sentinel 连接器中,添加“实体 - 获取 IP”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:
从控件操作库添加 For each 循环。 将“实体 - 获取 IP”输出中的“IP”动态内容项添加到“从前面的步骤中选择输出”字段。 例如:
在“For each”循环中选择“添加操作”,然后执行以下操作:
- 搜索并选择 Virus Total 连接器。
- 选择“获取 IP 报告(预览版)”操作。
- 将“实体 - 获取 IP”输出中的“IP 地址”动态内容项添加到“IP 地址”字段。
例如:
在“For each”循环中选择“添加操作”,然后执行以下操作:
- 从控件操作库添加条件。
- 添加“获取 IP 报告”输出中的“上次分析统计信息(恶意)”动态内容项。 可能必须选择“查看更多”才能找到它。
- 选择“大于”运算符并输入
0
作为值。
此条件会询问“Virus Total IP 报告是否有任何结果?”例如:
在“True”选项中选择“添加操作”,然后执行以下操作:
- 在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作。
- 对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
- 输入“将用户标记为被入侵”作为“标题”。
- 添加可选说明。
例如:
在“False”选项中选择“添加操作”,然后执行以下操作:
- 在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作。
- 对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
- 输入“联系用户以确认活动”作为“标题”。
- 添加可选说明。
例如:
相关内容
有关详细信息,请参阅: