Compartir a través de

在 Microsoft Sentinel 中进行调查或威胁搜寻时响应威胁行动者

本文介绍如何在事件调查或威胁搜寻过程中,在不从调查或搜寻中进行转移或上下文切换的情况下,当场对威胁行动者采取响应措施。 请使用基于新实体触发器的 playbook 来完成此操作。

实体触发器目前支持以下实体类型:

重要

实体触发器目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

使用实体触发器运行 playbook

当你调查事件并确定给定实体(用户帐户、主机、IP 地址、文件等)代表威胁时,可以通过运行点播 playbook 针对该威胁采取即时修正措施。 如果在主动搜寻事件上下文之外的威胁时遇到可疑实体,你也可以这样做。

  1. 选择你遇到它的任何上下文中的实体,并选择适当的方式来运行 playbook,如下所示:

    • “新事件详细信息”页(目前提供预览版)中事件的“概述”选项卡上的“实体”小组件中,或在其“实体”选项卡中,从列表中选择一个实体,选择实体旁的三个点,然后从弹出菜单中选择“运行 playbook (预览版)”。

      “事件详细信息”页的屏幕截图。

      “事件详细信息”页上“实体”选项卡的屏幕截图。

    • 在事件的“实体”选项卡中,从列表选择实体,然后选择其在列表中的行末尾的“运行 playbook (预览版)”链接。

      屏幕截图显示如何从事件详细信息页面选择实体以在其上运行 playbook。

    • 在“调查图”中,选择一个实体,然后选择实体侧面板中的“运行 playbook (预览版)”按钮。

      屏幕截图显示如何从调查图中选择实体以在其上运行 playbook。

    • 从“实体行为”页面中选择一个实体。 从生成的实体页面选择左侧面板中的“运行 playbook (预览版)”按钮。

      屏幕截图显示如何从实体行为页面中选择实体以在其上运行 playbook。

      屏幕截图显示用于在实体上运行 playbook 的选定实体页面。

  2. 所有这些操作将打开“对<实体类型>运行 playbook”面板。

    屏幕截图显示“在实体上运行 playbook”面板。

    在任一面板中,你将看到两个选项卡:“Playbook”和“运行”。

  3. 在“Playbook”选项卡中,你会看到一个列表,其中包含你有权访问的、为该实体类型(在本例中为用户帐户)使用“Microsoft Sentinel 实体”触发器的所有 playbook。 选择要立即运行的 playbook 的“运行”按钮。

    如果在列表中看不到要运行的 playbook,这意味着 Microsoft Sentinel 无权运行该资源组中的 playbook。

    若要授予这些权限,请依次选择“设置”>“设置”>“Playbook 权限”>“配置权限”。 在“管理权限”面板中,勾选包含要运行的 playbook 的资源组的复选框,然后选择“应用”

    有关详细信息,请参阅运行 playbook 所需的额外 Microsoft Sentinel 权限

  4. 你可以在“运行”选项卡中审核实体触发器 playbook 的活动。你会看到一个列表,其中包含任何 playbook 在所选实体上运行的所有时间。 任何刚完成的运行都可能需要几秒钟才能出现在此列表中。 选择特定的运行会在 Azure 逻辑应用中打开完整运行日志。

后续步骤

本文介绍了如何在调查事件或搜寻威胁的过程中手动运行 playbook 以修正来自实体的威胁。

  • 详细了解如何在 Microsoft Sentinel 中调查事件
  • 了解如何使用 Microsoft Sentinel 来主动搜寻威胁
  • 详细了解 Microsoft Sentinel 中的实体
  • 详细了解 Microsoft Sentinel 中的 playbook