使用 Playbook 在 Microsoft Sentinel 中创建和执行事件任务

重要

注意:根据世纪互联发布的公告2026 年 8 月 18 日,Microsoft Sentinel 的所有功能将在中国区域的 Azure 中正式停用。

本文介绍如何使用 playbook 创建并选择性地执行事件任务,以便管理 Microsoft Sentinel 中复杂的分析师工作流流程。

在 Microsoft Sentinel 连接器的剧本中,使用 添加任务 操作,自动向触发该剧本的事件添加任务。 支持标准工作流和消耗型工作流两种。

提示

事件任务不仅可以通过剧本自动创建,也可以通过自动化规则自动创建,还可以在事件内临时手动创建。

有关详细信息,请参阅在 Microsoft Sentinel 中使用任务管理事件

先决条件

  • 若要添加、查看和编辑任务,需要具备 Microsoft Sentinel Responder 角色才能查看和编辑事件。

  • 若要创建和编辑剧本,需要拥有 逻辑应用参与者 角色。

有关更多信息,请参阅 Microsoft Sentinel 剧本先决条件

使用操作手册添加任务并执行该任务

本节提供了一个用于添加执行以下操作的剧本操作的示例步骤:

  • 向事件添加任务,重置被入侵用户的密码
  • 添加另一个剧本操作,用于向 Microsoft Entra ID 保护 (AADIP) 发送信号,以实际执行密码重置
  • 添加最后一个剧本操作,将事件中的任务标记为已完成。

若要添加和配置这些操作,请执行以下步骤:

  1. Microsoft Sentinel 连接器中,添加“将任务添加到事件”操作,然后执行以下操作:

    1. Incident ARM id字段选择Incident ARM ID动态内容。

    2. 输入重置用户密码作为标题

    3. 添加可选说明。

    例如:

    屏幕截图显示了用于添加重置用户密码任务的剧本操作。

  2. 添加“实体 - 获取帐户(预览版)”操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:

    屏幕截图显示了用于获取事件中账户实体的剧本操作。

  3. 控制 操作库中添加 For each 循环。 将来自 实体 - 获取账户 输出的 账户 动态内容项添加到 从前面的步骤中选择一个输出 字段中。 例如:

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个帐户执行操作。

  4. For each循环内,选择Add an action。 然后:

    1. 搜索并选择 Microsoft Entra ID 保护 连接器
    2. 选择“确认风险用户被入侵(预览版)”操作
    3. 将“帐户 Microsoft Entra 用户 ID”动态内容项添加到“userIds 项 - 1”字段。

    此操作会启动 Microsoft Entra ID 保护 中用于重置用户密码的相关流程。

    屏幕截图显示将实体发送到 AADIP 以确认是否已遭入侵。

    注意

    “帐户 Microsoft Entra 用户 ID”字段是在 AADIP 中标识用户的一种方法。 它不一定是每种场景中的最佳方法,此处只是举例。

    如需帮助,请参阅其他处理已遭入侵用户的操作手册。

  5. 从 Microsoft Sentinel 连接器添加“将任务标记为已完成”操作,并将“事件任务 ID”动态内容项添加到“任务 ARM ID”字段。 例如:

    屏幕截图显示了如何添加行动手册操作以将事件任务标记为已完成。

使用行动手册有条件地添加任务

本部分提供了一个示例步骤,说明如何添加一个用于查询事件中出现的 IP 地址的剧本操作。

  • 如果此研究的结果表明 IP 地址是恶意的,则 playbook 会为分析师创建一个任务,以禁用使用该 IP 地址的用户。
  • 如果 IP 地址不是已知的恶意地址,playbook 会创建一个不同的任务,供分析师联系该用户以验证相关活动。

若要添加和配置这些操作,请执行以下步骤:

  1. 在 Microsoft Sentinel 连接器中,添加 Entities - Get IPs 操作。 将“实体”动态内容项(从 Microsoft Sentinel 事件架构)添加到“实体列表”字段。 例如:

    屏幕截图显示了用于获取事件中 IP 地址实体的剧本操作。

  2. 控制 操作库中添加 For each 循环。 将 实体 - 获取 IP 输出中的 IP 动态内容项添加到 从前面步骤中选择一个输出 字段。 例如:

    屏幕截图显示了如何将 for-each 循环操作添加到 playbook,以便对发现的每个 IP 地址执行操作。

  3. 在“For each”循环中选择“添加操作”,然后执行以下操作:

    1. 搜索并选择Virus Total连接器。
    2. 选择“获取 IP 报告(预览版)”操作。
    3. 实体 - 获取 IP 地址 输出中的 IP 地址 动态内容项添加到 IP 地址 字段。

    例如:

    显示向 Virus Total 发送请求以获取 IP 地址报告的屏幕截图。

  4. 在“For each”循环中选择“添加操作”,然后执行以下操作:

    1. 控件操作库中添加一个条件
    2. 获取 IP 报告 的输出中添加 上次分析统计信息 - 恶意 动态内容项。 可能必须选择“查看更多”才能找到它。
    3. 选择大于运算符,并输入 0 作为值。

    此条件会询问“Virus Total IP 报告是否有任何结果?”例如:

    屏幕截图显示了如何在 Playbook 中设置真假条件。

  5. 在“True”选项中选择“添加操作”,然后执行以下操作:

    1. Microsoft Sentinel 连接器中,选择 向事件添加任务 操作。
    2. 事件 ARM id 字段选择 事件 ARM ID 动态内容项。
    3. 输入将用户标记为已被入侵作为标题
    4. 添加可选说明。

    例如:

    屏幕截图显示了用于添加任务以将用户标记为被入侵的 playbook 操作。

  6. False选项中,选择添加操作,然后:

    1. Microsoft Sentinel 连接器中选择 将任务添加到事件 操作。
    2. Incident ARM id字段选择Incident ARM ID动态内容。
    3. 输入 联系用户以确认该活动 作为 标题
    4. 添加可选说明。

    例如:

    截图显示了用于添加任务以要求用户确认活动的剧本操作。

相关内容

有关详细信息,请参阅:

  • Last updated on