使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务
本文介绍如何使用 playbook 创建并选择性地执行事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流流程。
在 Microsoft Sentinel 连接器的 playbook 中使用“添加任务”操作,以便将任务自动添加到触发了 playbook 的事件。
提示
事件任务不仅可以通过 playbook 和自动化规则自动创建,还可以在事件中临时手动创建。
有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件。
先决条件
Microsoft Sentinel 响应者角色是查看和编辑事件所必需的,这是添加、查看和编辑任务必要条件。
创建和编辑 playbook 需要逻辑应用参与者角色。
有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件。
使用 playbook 添加并执行任务
本部分提供了一个示例过程,用于添加执行以下操作的 playbook 操作:
- 向事件添加任务,重置被入侵用户的密码
- 添加另一个 playbook 操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号以实际重置密码
- 添加最终的 playbook 操作,以将事件中的任务标记为已完成。
若要添加和配置这些操作,请执行以下步骤:
在 Microsoft Sentinel 连接器中添加“将任务添加到事件”操作,然后执行以下操作:
对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项。
输入“重置用户密码”作为“标题”。
添加可选说明。
例如:
添加“实体 - 获取帐户(预览版)”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:
从控件操作库添加 For each 循环。 将“实体 - 获取帐户”输出中的“帐户”动态内容项添加到“从前面的步骤中选择输出”字段。 例如:
在“For each”循环中,选择“添加操作”。 然后:
- 搜索并选择 Microsoft Entra ID 保护连接器
- 选择“确认风险用户被入侵(预览版)”操作。
- 将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。
此操作在 Microsoft Entra ID 保护中设置将重置用户密码的动态进程。
注意
“帐户 Microsoft Entra 用户 ID”字段是在 AADIP 中标识用户的一种方法。 它不一定是每种场景中的最佳方法,此处只是举例。
如需帮助,请参阅处理被入侵用户的其他 playbook 或 Microsoft Entra ID 标识保护文档。
从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作,并将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。 例如:
相关内容
有关详细信息,请参阅: