在 Microsoft Sentinel 中进行调查或威胁搜寻时响应威胁行动者
本文介绍如何在事件调查或威胁搜寻过程中,在不从调查或搜寻中进行转移或上下文切换的情况下,当场对威胁行动者采取响应措施。 请使用基于新实体触发器的 playbook 来完成此操作。
实体触发器目前支持以下实体类型:
重要
实体触发器目前为预览版。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
使用实体触发器运行 playbook
当你调查事件并确定给定实体(用户帐户、主机、IP 地址、文件等)代表威胁时,可以通过运行点播 playbook 针对该威胁采取即时修正措施。 如果在主动搜寻事件上下文之外的威胁时遇到可疑实体,你也可以这样做。
选择你遇到它的任何上下文中的实体,并选择适当的方式来运行 playbook,如下所示:
在“新事件详细信息”页(目前提供预览版)中事件的“概述”选项卡上的“实体”小组件中,或在其“实体”选项卡中,从列表中选择一个实体,选择实体旁的三个点,然后从弹出菜单中选择“运行 playbook (预览版)”。
在事件的“实体”选项卡中,从列表选择实体,然后选择其在列表中的行末尾的“运行 playbook (预览版)”链接。
在“调查图”中,选择一个实体,然后选择实体侧面板中的“运行 playbook (预览版)”按钮。
从“实体行为”页面中选择一个实体。 从生成的实体页面选择左侧面板中的“运行 playbook (预览版)”按钮。
所有这些操作将打开“对<实体类型>运行 playbook”面板。
在任一面板中,你将看到两个选项卡:“Playbook”和“运行”。
在“Playbook”选项卡中,你会看到一个列表,其中包含你有权访问的、为该实体类型(在本例中为用户帐户)使用“Microsoft Sentinel 实体”触发器的所有 playbook。 选择要立即运行的 playbook 的“运行”按钮。
如果在列表中看不到要运行的 playbook,这意味着 Microsoft Sentinel 无权运行该资源组中的 playbook。
若要授予这些权限,请依次选择“设置”>“设置”>“Playbook 权限”>“配置权限”。 在“管理权限”面板中,勾选包含要运行的 playbook 的资源组的复选框,然后选择“应用”。
有关详细信息,请参阅运行 playbook 所需的额外 Microsoft Sentinel 权限。
你可以在“运行”选项卡中审核实体触发器 playbook 的活动。你会看到一个列表,其中包含任何 playbook 在所选实体上运行的所有时间。 任何刚完成的运行都可能需要几秒钟才能出现在此列表中。 选择特定的运行会在 Azure 逻辑应用中打开完整运行日志。
后续步骤
本文介绍了如何在调查事件或搜寻威胁的过程中手动运行 playbook 以修正来自实体的威胁。