使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务

本文介绍如何使用 playbook 创建并选择性地执行事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流流程。

在 Microsoft Sentinel 连接器的 playbook 中使用“添加任务”操作,以便将任务自动添加到触发了 playbook 的事件

提示

事件任务不仅可以通过 playbook 和自动化规则自动创建,还可以在事件中临时手动创建。

有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件

先决条件

  • Microsoft Sentinel 响应者角色是查看和编辑事件所必需的,这是添加、查看和编辑任务必要条件。

  • 创建和编辑 playbook 需要逻辑应用参与者角色。

有关详细信息,请参阅 Microsoft Sentinel playbook 先决条件

使用 playbook 添加并执行任务

本部分提供了一个示例过程,用于添加执行以下操作的 playbook 操作:

  • 向事件添加任务,重置被入侵用户的密码
  • 添加另一个 playbook 操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号以实际重置密码
  • 添加最终的 playbook 操作,以将事件中的任务标记为已完成。

若要添加和配置这些操作,请执行以下步骤:

  1. 在 Microsoft Sentinel 连接器中添加“将任务添加到事件”操作,然后执行以下操作:

    1. 对于“事件 ARM ID”字段,选择“事件 ARM ID”动态内容项

    2. 输入“重置用户密码”作为“标题”。

    3. 添加可选说明。

    例如:

    屏幕截图显示了用于添加任务以重置用户密码的 playbook 操作。

  2. 添加“实体 - 获取帐户(预览版)”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:

    屏幕截图显示了用于获取事件中的帐户实体的 playbook 操作。

  3. 从控件操作库添加 For each 循环。 将“实体 - 获取帐户”输出中的“帐户”动态内容项添加到“从前面的步骤中选择输出”字段。 例如:

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个帐户执行操作。

  4. 在“For each”循环中,选择“添加操作”。 然后:

    1. 搜索并选择 Microsoft Entra ID 保护连接器
    2. 选择“确认风险用户被入侵(预览版)”操作
    3. 将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。

    此操作在 Microsoft Entra ID 保护中设置将重置用户密码的动态进程。

    显示将实体发送到 AADIP 以确认被入侵的屏幕截图。

    注意

    “帐户 Microsoft Entra 用户 ID”字段是在 AADIP 中标识用户的一种方法。 它不一定是每种场景中的最佳方法,此处只是举例。

    如需帮助,请参阅处理被入侵用户的其他 playbook 或 Microsoft Entra ID 标识保护文档

  5. 从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作,并将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。 例如:

    屏幕截图显示了如何添加 playbook 操作以将事件任务标记为完成。

有关详细信息,请参阅: