在 Microsoft Sentinel 中使用 playbook 自动响应威胁
SOC 分析师会处理许多安全警报和事件,而庞大的数量可能会使团队不堪重负,导致警报被忽略和事件未经调查。 许多警报和事件可以由相同的预定义修正操作集解决,可以将这些操作自动化,使 SOC 更高效,并将分析人员解放出来进行更深入的调查。
使用 Microsoft Sentinel playbook 运行预配置的修正操作集,以帮助自动执行和协调威胁响应。 自动运行 playbook,以响应触发配置自动化规则的特定警报和事件,或手动按需为特定实体或警报运行。
例如,如果帐户和计算机受到损害,playbook 可以自动将计算机和网络隔离,并在 SOC 团队收到事件通知时阻止帐户。
注意
由于 playbook 使用 Azure 逻辑应用,因此可能要额外收费。 有关更多详细信息,请访问 Azure 逻辑应用定价页。
推荐用例
下表列出了建议使用 Microsoft Sentinel playbook 自动执行威胁响应的高级用例:
| 用例 | 说明 |
|---|---|
| 扩充 | 收集数据并将其附加到事件,以帮助团队做出更明智的决策。 |
| 双向同步 | 将 Microsoft Sentinel 事件与其他票证系统同步。 例如,为所有事件创建创建自动化规则,并附加一个在 ServiceNow 中打开票证的 playbook。 |
| 业务流程 | 使用 SOC 团队聊天平台更好地控制事件队列。 例如,向安全操作通道发送一条消息,确保你的安全分析师注意到此事件。 |
| 响应 | 立即对威胁做出响应,将人为依赖性降至最低,例如在显示用户或机器受到威胁时。 或者,在调查期间或在搜寻期间手动触发一系列自动化步骤。 |
先决条件
若要使用 Azure 逻辑应用在 Microsoft Sentinel 中创建和运行 playbook,需要以下角色。
| 角色 | 描述 |
|---|---|
| 所有者 | 允许你授予对资源组中 playbook 的访问权限。 |
| Microsoft Sentinel 参与者 | 允许将 playbook 附加到分析或自动化规则。 |
| Microsoft Sentinel 响应者 | 允许访问事件以手动运行 playbook,但不允许运行 playbook。 |
| Microsoft Sentinel Playbook 操作员 | 允许手动运行 playbook。 |
| Microsoft Sentinel 自动化参与者 | 允许自动化规则运行 playbook。 此角色不用于任何其他目的。 |
下表描述了选择标准逻辑应用来创建 Playbook 时所需的角色:
| 逻辑应用 | Azure 角色 | 说明 |
|---|---|---|
| 标准 | 标准型逻辑应用操作者 | 在逻辑应用中启用、重新提交和禁用工作流。 |
| Standard | 标准型逻辑应用开发者 | 创建和编辑逻辑应用。 |
| Standard | 标准型逻辑应用参与者 | 管理逻辑应用的各个方面。 |
“自动化”页上的“活动 playbook”选项卡会显示任何所选订阅中可用的所有活动 playbook。 默认情况下,playbook 只能在所属的订阅中使用,除非你专门向 playbook 的资源组授予 Microsoft Sentinel 权限。
运行 playbook 所需的额外 Microsoft Sentinel 权限
Microsoft Sentinel 使用服务帐户对事件运行 playbook,以增添安全性并使自动化规则 API 支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或者对特定事件手动运行 playbook 时。
除了你自己的角色和权限外,此 Microsoft Sentinel 服务帐户还必须对 playbook 所在的资源组拥有自己的权限集,其形式为 Microsoft Sentinel 自动化参与者角色。 Microsoft Sentinel 具有此角色后,可以手动或通过自动化规则运行相关资源组中的任何 playbook。
若要向 Microsoft Sentinel 授予所需权限,你必须具有“所有者”或“用户访问管理员”角色。 若要运行 playbook,还需要对包含要运行的 playbook 的资源组具有逻辑应用参与者角色。
Playbook 创建和使用工作流
使用以下工作流创建并运行 Microsoft Sentinel playbook:
定义自动化方案。
创建剧本并构建逻辑应用。 有关详细信息,请参阅创建和管理 Microsoft Sentinel playbook。
通过手动运行逻辑应用来测试它。 有关详细信息,请参阅按需手动运行 playbook。
将 playbook 配置为在新警报或事件创建时自动运行,或根据需要手动运行进程。 有关详细信息,请参使用 Microsoft Sentinel playbook 响应威胁。