SOC 分析师会处理许多安全警报和事件,而庞大的数量可能会使团队不堪重负,导致警报被忽略和事件未经调查。 许多警报和事件可以由相同的预定义修正操作集解决,可以将这些操作自动化,使 SOC 更高效,并将分析人员解放出来进行更深入的调查。
使用 Microsoft Sentinel playbook 运行预配置的修正操作集,以帮助自动执行和协调威胁响应。 自动运行 playbook,以响应触发配置自动化规则的特定警报和事件,或手动按需为特定实体或警报运行。
例如,如果帐户和计算机受到损害,playbook 可以自动将计算机和网络隔离,并在 SOC 团队收到事件通知时阻止帐户。
注意
由于 playbook 使用 Azure 逻辑应用,因此可能要额外收费。 有关更多详细信息,请访问 Azure 逻辑应用定价页。
下表列出了建议使用 Microsoft Sentinel playbook 自动执行威胁响应的高级用例:
| 用例 | 说明 |
|---|---|
| 扩充 | 收集数据并将其附加到事件,以帮助团队做出更明智的决策。 |
| 双向同步 | 将 Microsoft Sentinel 事件与其他票证系统同步。 例如,为所有事件创建创建自动化规则,并附加一个在 ServiceNow 中打开票证的 playbook。 |
| 业务流程 | 使用 SOC 团队聊天平台更好地控制事件队列。 例如,向安全操作通道发送一条消息,确保你的安全分析师注意到此事件。 |
| 响应 | 立即对威胁做出响应,将人为依赖性降至最低,例如在显示用户或机器受到威胁时。 或者,在调查期间或在搜寻期间手动触发一系列自动化步骤。 |
若要使用 Azure 逻辑应用在 Microsoft Sentinel 中创建和运行 playbook,需要以下角色。
| 角色 | 描述 |
|---|---|
| 所有者 | 允许你授予对资源组中 playbook 的访问权限。 |
| Microsoft Sentinel 参与者 | 允许将 playbook 附加到分析或自动化规则。 |
| Microsoft Sentinel 响应者 | 允许访问事件以手动运行 playbook,但不允许运行 playbook。 |
| Microsoft Sentinel Playbook 操作员 | 允许手动运行 playbook。 |
| Microsoft Sentinel 自动化参与者 | 允许自动化规则运行 playbook。 此角色不用于任何其他目的。 |
下表根据是选择消耗型还是标准型逻辑应用来创建 playbook 描述了所需的角色:
| 逻辑应用 | Azure 角色 | 说明 |
|---|---|---|
| 消耗 | 逻辑应用参与者 | 编辑和管理逻辑应用。 运行 playbook。 不允许向 playbook 授予访问权限。 |
| 消耗 | 逻辑应用操作员 | 读取、启用和禁用逻辑应用。 不允许编辑或更新逻辑应用。 |
| Standard | 标准型逻辑应用操作者 | 在逻辑应用中启用、重新提交和禁用工作流。 |
| Standard | 标准型逻辑应用开发者 | 创建和编辑逻辑应用。 |
| Standard | 标准型逻辑应用参与者 | 管理逻辑应用的各个方面。 |
“自动化”页上的“活动 playbook”选项卡会显示任何所选订阅中可用的所有活动 playbook。 默认情况下,playbook 只能在所属的订阅中使用,除非你专门向 playbook 的资源组授予 Microsoft Sentinel 权限。
Microsoft Sentinel 使用服务帐户对事件运行 playbook,以增添安全性并使自动化规则 API 支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或者对特定事件手动运行 playbook 时。
除了你自己的角色和权限外,此 Microsoft Sentinel 服务帐户还必须对 playbook 所在的资源组拥有自己的权限集,其形式为 Microsoft Sentinel 自动化参与者角色。 Microsoft Sentinel 具有此角色后,可以手动或通过自动化规则运行相关资源组中的任何 playbook。
若要向 Microsoft Sentinel 授予所需权限,你必须具有“所有者”或“用户访问管理员”角色。 若要运行 playbook,还需要对包含要运行的 playbook 的资源组具有逻辑应用参与者角色。
重要
playbook 模板目前以预览版提供 。 请参阅 Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Playbook 模板是预先生成、经过测试和随时可用的工作流,它们本身不能用作 playbook 使用,但已准备好供你自定义,以满足你的需求。 我们还建议在从头开始开发 playbook 或作为新自动化方案的灵感时,将 playbook 模板用作最佳做法的参考。
从以下来源访问 paybook 模板:
| 位置 | 说明 |
|---|---|
| Microsoft Sentinel “自动化”页 | “Playbook 模板”选项卡列出所有已安装的 playbook。 使用同一个模板创建一个或多个活动 playbook。 发布新版模板后,从该模板创建的所有活动 playbook 都会在“活动 playbook”选项卡中额外添加一个标签,指出有可用的更新。 |
| Microsoft Sentinel “内容中心”页 | Playbook 模板作为从“内容中心”安装的产品解决方案或独立内容的一部分提供。 有关详细信息,请参阅。 关于 Microsoft Sentinel 内容和解决方案 发现和管理 Microsoft Sentinel 现成内容 |
| GitHub | Microsoft Sentinel GitHub 存储库包含许多其他 playbook 模板。 |
从技术上讲,playbook 模板是一个 Azure 资源管理器 (ARM) 模板,它由多个资源组成:Azure 逻辑应用工作流,以及每个相关连接的 API 连接。
有关详细信息,请参阅:
使用以下工作流创建并运行 Microsoft Sentinel playbook:
定义自动化方案。 建议先查看 playbook 模板。
如果不使用模板,请创建 playbook 并生成逻辑应用。 有关详细信息,请参阅创建和管理 Microsoft Sentinel playbook。
通过手动运行逻辑应用来测试它。 有关详细信息,请参阅按需手动运行 playbook。
将 playbook 配置为在新警报或事件创建时自动运行,或根据需要手动运行进程。 有关详细信息,请参使用 Microsoft Sentinel playbook 响应威胁。