重要
注意:根据世纪互联发布的公告,所有 Microsoft Sentinel 功能将于 2026 年 8 月 18 日 在中国地区的 Azure 上正式停用。
安全运营中心(SOC)面临持续的安全警报和事件流。 有效地管理这些管理对于保持组织的安全性至关重要。 Microsoft Sentinel 手册是自动化工作流,可帮助你快速且一致地响应威胁。 本文介绍如何在Microsoft Sentinel中使用 playbook 来自动执行威胁响应,减少手动工作量,让团队专注于更深入的调查。
使用 Microsoft Sentinel playbook 运行预配置的修正操作集,并自动协调威胁响应。 自动运行 playbook,以响应触发配置自动化规则的特定警报和事件,或手动按需为特定实体或警报运行。
例如,如果帐户和计算机遭到入侵,playbook 可以自动将计算机与网络隔离,并在 SOC 团队收到事件通知之前阻止该帐户。
注意
由于 playbook 使用Azure Logic Apps,因此可能会收取额外费用。 有关详细信息,请转到 Azure Logic Apps 定价页。
推荐用例
下表列出了Microsoft Sentinel playbook 帮助自动执行威胁响应的常见用例:
| 用例 | 说明 |
|---|---|
| 扩充 | 收集数据并将其附加到事件,以便团队能够做出更好的决策。 |
| 双向同步 | 将Microsoft Sentinel事件与其他票证系统同步。 例如,为所有新事件创建自动化规则,并附加一个在 ServiceNow 中开具工单的 playbook。 |
| 编排 | 使用 SOC 团队的聊天平台管理事件队列。 例如,向安全作通道发送消息,以便安全分析人员知道该事件。 |
| 响应 | 立即以最少的人工参与(例如检测到遭到入侵的用户或计算机时)响应威胁。 或者,在调查或搜寻期间手动触发自动化步骤。 |
先决条件
需要以下角色才能在 Microsoft Sentinel 中使用 Azure Logic Apps 创建和运行剧本。
| 角色 | 说明 |
|---|---|
| 所有者 | 允许你授予对资源组中 playbook 的访问权限。 |
| Microsoft Sentinel 参与者 | 允许将 playbook 附加到分析或自动化规则。 |
| Microsoft Sentinel响应者 | 允许访问事件,以便手动操作 playbook,但不允许执行 playbook。 |
| Microsoft Sentinel Playbook 操作员 | 允许手动运行“playbook”。 |
| Microsoft Sentinel自动化参与者 | 允许自动化规则运行操作手册。 此角色不用于任何其他目的。 |
下表描述了在选择“消耗型”或“标准型”逻辑应用程序来创建行动手册(playbook)时所需的角色:
| 逻辑应用 | Azure角色 | 说明 |
|---|---|---|
| 消耗 | 逻辑应用贡献者 | 编辑和管理逻辑应用。 运行 playbook。 不允许向 playbook 授予访问权限。 |
| 消耗 | 逻辑应用操作员 | 读取、启用和禁用逻辑应用。 不允许编辑或更新逻辑应用。 |
| 标准 | 标准型逻辑应用操作者 | 在逻辑应用中启用、重新提交和禁用工作流。 |
| 标准 | 标准型逻辑应用开发者 | 创建和编辑逻辑应用。 |
| 标准 | 标准逻辑应用贡献者 | 管理逻辑应用的各个方面。 |
“自动化”页上的“活动 playbook”选项卡会显示任何所选订阅中可用的所有活动 playbook。 默认情况下,playbook 只能在其所属的订阅中使用,除非你专门为 playbook 的资源组授予 Microsoft Sentinel 的权限。
运行 Microsoft Sentinel playbooks 所需的额外权限
Microsoft Sentinel 使用服务帐户在事件上执行 playbook,以增强安全性,并使自动化规则 API 支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或手动在特定事件上运行 playbook 时。
除了您自己的角色和权限之外,此 Microsoft Sentinel 服务帐户还必须在 playbook 所在的资源组中拥有其专属的权限集,形式为 Microsoft Sentinel 自动化参与者角色。 Microsoft Sentinel具有此角色后,可以在相关资源组中手动或通过自动化规则运行任何playbook。
若要向Microsoft Sentinel授予所需权限,必须具有 Owner 或 User 访问管理员角色。 若要运行 Playbooks,还需要对包含要运行的 Playbooks 的资源组具有逻辑应用参与者角色。
操作手册模板(预览版)
重要
Playbook 模板目前处于预览阶段。 请参阅 Azure 预览版附加使用条款,以了解适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的其他法律条款。
Playbook 模板是预先生成、经过测试和随时可用的工作流,它们本身不能用作 playbook 使用,但已准备好供你自定义,以满足你的需求。 我们建议您在从零开始开发剧本时,使用剧本模板作为最佳实践的参考,或为新的自动化场景寻找创意灵感。
请从以下来源获取操作手册模板:
| 位置 | 说明 |
|---|---|
| Microsoft Sentinel自动化页面 | “Playbook 模板”选项卡显示所有已安装的 playbook。 使用同一个模板创建一个或多个活动 playbook。 发布新版模板时,从该模板创建的任何活动剧本在“活动剧本”选项卡中获得一个额外标签,以指示有更新可用。 |
| Microsoft Sentinel内容中心页面 | Playbook 模板是从“内容中心”安装的产品解决方案或独立内容的一部分。 有关详细信息,请参阅。 关于 Microsoft Sentinel 的内容和解决方案 发现和管理Microsoft Sentinel的开箱即用内容 |
| GitHub | Microsoft Sentinel GitHub 存储库包含许多其他运行手册模板。 |
playbook 模板是一个 Azure Resource Manager(ARM)模板,它包括多个资源:每个连接对应的 Azure Logic Apps 工作流和 API 连接。
有关详细信息,请参阅:
Playbook 创建和使用流程
按照以下步骤创建和运行 Microsoft Sentinel playbooks:
定义自动化方案。 建议先查看 playbook 模板。
如果不使用模板,请创建您的 playbook 并构建您的逻辑应用。 有关详细信息,请参阅 创建和管理 Microsoft Sentinel playbook。
通过手动运行逻辑应用来测试它。 有关详细信息,请参阅按需手动运行 playbook。
将 playbook 设置为在新警报或事件创建时自动运行,或根据需要手动运行进程。 有关详细信息,请参阅 使用 Microsoft Sentinel 剧本应对威胁。