从模板创建和自定义 Microsoft Sentinel playbook

Playbook 模板是预生成的、已经过测试且随时可用的 Microsoft Sentinel 自动化工作流,可以根据自己的需求对其进行自定义。 在从头开发 playbook 时,还可以将这些模板作为最佳做法参考;或者,可以通过模板获得灵感以实现新的自动化方案。

Playbook 模板本身并不是活动的 playbook,必须根据需求创建可编辑副本。

许多 playbook 模板是由 Microsoft Sentinel 社区、独立软件供应商 (ISV) 和 Microsoft 专家根据世界各地安全运营中心使用的热门自动化方案开发的。

重要

playbook 模板目前以预览版提供 。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

若要创建和管理 playbook,需要使用以下 Azure 角色之一访问 Microsoft Sentinel:

  • 逻辑应用参与者,用于编辑和管理逻辑应用
  • 逻辑应用操作员,用于读取、启用和禁用逻辑应用

有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件

建议在创建 playbook 之前阅读适用于 Microsoft Sentinel playbook 的 Azure 逻辑应用

访问 playbook 模板

从以下来源 访问 paybook 模板:

位置 说明
Microsoft Sentinel “自动化”页 “Playbook 模板”选项卡列出所有已安装的 playbook。 使用同一个模板创建一个或多个活动 playbook。

发布新版模板后,从该模板创建的所有活动 playbook 都会在“活动 playbook”选项卡中额外添加一个标签,指出有可用的更新。
Microsoft Sentinel “内容中心”页 Playbook 模板作为从“内容中心”安装的产品解决方案或独立内容的一部分提供

有关详细信息,请参阅。
关于 Microsoft Sentinel 内容和解决方案
发现和管理 Microsoft Sentinel 现成内容
GitHub Microsoft Sentinel GitHub 存储库包含许多其他 playbook 模板。

从技术上讲,playbook 模板是一个 Azure 资源管理器 (ARM) 模板,它由多个资源组成:Azure 逻辑应用工作流,以及每个相关连接的 API 连接。

本文重点介绍如何从“自动化”下的“Playbook 模板”选项卡部署 playbook 模板 。

浏览 playbook 模板

对于 Azure 门户中的 Microsoft Sentinel,选择“内容管理”>“内容中心”页面。

在“内容中心”页面上,选择“内容类型”来筛选 Playbook。 此筛选视图列出了所有解决方案和包含一个或多个 playbook 模板的独立内容。 安装解决方案或独立内容以获取模板。

然后,选择“配置”>“自动化”>Playbook 模板”选项卡来查看已安装的模板。 例如:

Playbook 模板库的屏幕截图。

若要查找符合你要求的 playbook 模板,请按以下条件筛选列表:

Filter 说明
触发器 按 playbook 的触发方式进行筛选,包括事件、警报或实体。 有关详细信息,请参阅支持的 Microsoft Sentinel 触发器
逻辑应用连接器 按 playbook 与之交互的外部服务进行筛选。 在部署过程中,每个连接器都需要采用一个标识来向外部服务进行身份验证。
实体 按 playbook 预期会在事件中找到的实体类型进行筛选。

例如,告知防火墙阻止某个 IP 地址的 playbook 应在事件中查找 IP 地址。 此类事件可能由暴力攻击分析规则创建。
标记 按应用于 playbook 以将 playbook 与特定方案相关联或指示特殊特征的标签进行筛选。 例如:

- 扩充 - 从另一个服务中提取信息以便将内容添加到事件中的 playbook。 此信息通常作为注释添加到事件或发送到 SOC。
- 修正 - 对受影响的实体采取措施以消除潜在威胁的 playbook。
- 同步 - 帮助通过事件的属性来使外部服务(例如事件管理服务)保持更新状态的 playbook。
- 通知 - 发送电子邮件或消息的 playbook。

例如:

如何筛选 playbook 模板列表的屏幕截图。

从模板自定义 playbook

此过程介绍如何部署 playbook 模板,以及如何能够从同一个模板重复创建多个 playbook。

虽然大多数 playbook 模板都可以按原样使用,但建议根据需要对其进行调整,使 playbook 满足你的 SOC 需求。

  1. 在“Playbook 模板”选项卡上,选择一个 playbook 从其开始操作

  2. 如果该 playbook 有任何先决条件,请确保按照说明进行操作。 例如:

    • 某些 playbook 将其他 playbook 称为操作。 这第二个 playbook 称为嵌套 playbook。 在这种情况下,先决条件之一是首先部署嵌套 playbook。

    • 某些 playbook 要求部署自定义逻辑应用连接器或 Azure 函数。

  3. 选择“创建 playbook”,以基于所选模板打开 playbook 创建向导。 该向导有四个选项卡:

    • 基础信息:找到你的新 playbook(逻辑应用资源)并为其命名。 可以使用默认值。 例如:

      Playbook 创建向导中“基本信息”选项卡的屏幕截图。

    • 参数:输入 playbook 使用的特定于客户的值。 例如,如果该 playbook 向 SOC 发送电子邮件,请定义收件人地址。 如果该 playbook 具有一个已在使用的自定义连接器,则其必须部署在同一资源组中,这样,你就会收到在“参数”选项卡中输入其名称的提示

      只有当 playbook 中有参数时,才会显示“参数”选项卡。 例如:

      Playbook 创建向导中“参数”选项卡的屏幕截图。

    • 连接:展开每个操作以查看你为前面的 playbook 创建的现有连接。 可以选择现有连接或新建连接。 例如:

      Playbook 创建向导中“连接”选项卡的屏幕截图。

      • 若要创建新连接,请选择“部署后创建新连接”。 部署过程完成后,此选项将转到逻辑应用设计器。

      • 自定义连接器按照其在“参数”选项卡中的输入名称列出

      • 对于支持使用托管标识进行连接的连接器,如 Microsoft Sentinel,托管标识是默认连接方法。

      有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook

    • 查看并创建:在创建 playbook 之前查看过程摘要,并等待系统验证你的输入。

  4. 按照 playbook 创建向导中的步骤完成后,将在逻辑应用设计器中转到新 playbook 的工作流设计。 例如:

    逻辑应用设计器中的 playbook 的屏幕截图。

  5. 对于你选择的每个连接器,请在部署后创建新连接:

    1. 从导航菜单中,选择“API 连接”,然后选择连接名称。 例如:

      显示如何查看 API 连接的屏幕截图。

    2. 从导航菜单中选择“编辑 API 连接”。

    3. 填写必需的参数,然后选择“保存”。 例如:

      显示如何编辑 API 连接的屏幕截图。

    或者,通过逻辑应用设计器中的相关步骤创建新连接:

    1. 对于出现了错误符号的每个步骤,请选择该步骤以将其展开,然后选择“新增”

    2. 按照相关说明进行身份验证。 有关详细信息,请参阅向 Microsoft Sentinel 验证 playbook

    3. 如果还有其他步骤使用此连接器,请展开这些步骤对应的框。 从显示的连接列表中,选择刚刚创建的连接。

  6. 如果已选择对 Microsoft Sentinel(或其他受支持的连接)使用托管标识连接,请确保授权新的 playbook 访问 Microsoft Sentinel 工作区或其他连接器的相关目标资源。

  7. 保存 playbook。 该 playbook 即会出现在“活动 Playbook”选项卡中

若要运行你的 playbook,请设置自动响应或手动运行它。 有关详细信息,请参使用 Microsoft Sentinel playbook 响应威胁

报告 playbook 模板中的问题

若要报告 bug 或请求改进某个 playbook,请在该 playbook 的详细信息窗格中选择“支持者”链接。 如果此 playbook 的支持工作由社区负责,则链接会转到可以提出 GitHub 问题的页面。 否则将会转到支持者的页面,并显示如何发送反馈的相关信息。