使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务

本文介绍如何使用 playbook 创建并选择性地执行事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流流程。

在 Microsoft Sentinel 连接器的 playbook 中使用“添加任务”操作,以便将任务自动添加到触发了 playbook 的事件。 支持标准工作流和消耗工作流。

提示

事件任务不仅可以通过 playbook 和自动化规则自动创建,还可以在事件中临时手动创建。

有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件

先决条件

  • Microsoft Sentinel 响应者角色是查看和编辑事件所必需的,这是添加、查看和编辑任务必要条件。

  • 创建和编辑 playbook 需要逻辑应用参与者角色。

有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件

使用 playbook 添加并执行任务

本部分提供了一个示例过程,用于添加执行以下操作的 playbook 操作:

  • 向事件添加任务,重置被入侵用户的密码
  • 添加另一个 playbook 操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号以实际重置密码
  • 添加最终的 playbook 操作,以将事件中的任务标记为已完成。

若要添加和配置这些操作,请执行以下步骤:

  1. 在 Microsoft Sentinel 连接器中添加“将任务添加到事件”操作,然后执行以下操作:

    1. 对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项

    2. 输入“重置用户密码”作为“标题”。

    3. 添加可选说明。

    例如:

    屏幕截图显示了用于添加任务以重置用户密码的 playbook 操作。

  2. 添加“实体 - 获取帐户(预览版)”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:

    屏幕截图显示了用于获取事件中的帐户实体的 playbook 操作。

  3. 从控件操作库添加 For each 循环。 将“实体 - 获取帐户”输出中的“帐户”动态内容项添加到“从前面的步骤中选择输出”字段。 例如:

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个帐户执行操作。

  4. 在“For each”循环中,选择“添加操作”。 然后:

    1. 搜索并选择 Microsoft Entra ID 保护连接器
    2. 选择“确认风险用户被入侵(预览版)”操作
    3. 将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。

    此操作在 Microsoft Entra ID 保护中设置将重置用户密码的动态进程。

    显示将实体发送到 AADIP 以确认被入侵的屏幕截图。

    注意

    “帐户 Microsoft Entra 用户 ID”字段是在 AADIP 中标识用户的一种方法。 它不一定是每种场景中的最佳方法,此处只是举例。

    如需帮助,请参阅处理被入侵用户的其他 playbook 或 Microsoft Entra ID 标识保护文档

  5. 从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作,并将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。 例如:

    屏幕截图显示了如何添加 playbook 操作以将事件任务标记为完成。

使用 playbook 按条件添加任务

本部分提供了一个示例过程,该过程展示了如何添加一个用于研究事件中出现的 IP 地址的 playbook 操作。

  • 如果此研究的结果表明 IP 地址是恶意的,则 playbook 会为分析师创建一个任务,以禁用使用该 IP 地址的用户。
  • 如果 IP 地址不是已知的恶意地址,playbook 会创建一个不同的任务,供分析师联系该用户以验证相关活动。

若要添加和配置这些操作,请执行以下步骤:

  1. 从 Microsoft Sentinel 连接器中,添加“实体 - 获取 IP”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:

    屏幕截图显示了用于获取事件中的 IP 地址的 playbook 操作。

  2. 从控件操作库添加 For each 循环。 将“实体 - 获取 IP”输出中的“IP”动态内容项添加到“从前面的步骤中选择输出”字段。 例如:

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个 IP 地址执行操作。

  3. 在“For each”循环中选择“添加操作”,然后执行以下操作:

    1. 搜索并选择 Virus Total 连接器。
    2. 选择“获取 IP 报告(预览版)”操作。
    3. 将“实体 - 获取 IP”输出中的“IP 地址”动态内容项添加到“IP 地址”字段。

    例如:

    显示向 Virus Total 发送请求以获取 IP 地址报告的屏幕截图。

  4. 在“For each”循环中选择“添加操作”,然后执行以下操作:

    1. 从控件操作库添加条件。
    2. 添加“获取 IP 报告”输出中的“上次分析统计信息(恶意)”动态内容项。 可能必须选择“查看更多”才能找到它。
    3. 选择“大于”运算符并输入 0 作为值。

    此条件会询问“Virus Total IP 报告是否有任何结果?”例如:

    屏幕截图显示如何在 playbook 中设置 true-false 条件。

  5. 在“True”选项中选择“添加操作”,然后执行以下操作:

    1. 在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作
    2. 对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项
    3. 输入“将用户标记为被入侵”作为“标题”。
    4. 添加可选说明。

    例如:

    屏幕截图显示了用于添加任务以将用户标记为被入侵的 playbook 操作。

  6. 在“False”选项中选择“添加操作”,然后执行以下操作:

    1. 在 Microsoft Sentinel 连接器中,选择“将任务添加到事件”操作
    2. 对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项
    3. 输入“联系用户以确认活动”作为“标题”。
    4. 添加可选说明。

    例如:

    屏幕截图显示用于添加任务以让用户确认活动的 playbook 操作。

有关详细信息,请参阅: