Membuat dan mengkustomisasi playbook Microsoft Azure Sentinel dari templat
Templat playbook adalah alur kerja otomatisasi bawaan, teruji, dan siap digunakan untuk Microsoft Azure Sentinel yang dapat disesuaikan untuk memenuhi kebutuhan Anda. Template juga dapat berfungsi sebagai referensi untuk praktik terbaik saat mengembangkan playbook dari awal, atau sebagai inspirasi untuk skenario otomatisasi baru.
Templat playbook tidak aktif playbook itu sendiri, dan Anda harus membuat salinan yang dapat diedit untuk kebutuhan Anda.
Banyak templat playbook dikembangkan oleh komunitas Microsoft Sentinel, vendor perangkat lunak independen (ISV), dan pakar Microsoft sendiri, berdasarkan skenario otomatisasi populer yang digunakan oleh pusat operasi keamanan di seluruh dunia.
Penting
Templat playbook saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
Untuk membuat dan mengelola playbook, Anda memerlukan akses ke Microsoft Azure Sentinel dengan salah satu peran Azure berikut:
- Kontributor Aplikasi Logika, untuk mengedit dan mengelola aplikasi logika
- Operator Aplikasi Logika, untuk membaca, mengaktifkan, dan menonaktifkan aplikasi logika
Untuk informasi selengkapnya, lihat Prasyarat playbook Microsoft Azure Sentinel.
Kami menyarankan agar Anda membaca Azure Logic Apps untuk playbook Microsoft Azure Sentinel sebelum membuat playbook Anda.
Mengakses templat playbook
Akses templat playbook dari sumber berikut:
| Location | Deskripsi |
|---|---|
| Halaman Otomatisasi Microsoft Azure Sentinel | Tab Templat Playbook mencantumkan semua playbook yang diinstal. Buat satu atau beberapa playbook aktif menggunakan templat yang sama. Saat kami menerbitkan versi baru templat, playbook aktif apa pun yang dibuat dari templat tersebut memiliki label tambahan yang ditambahkan di tab Playbook aktif untuk menunjukkan bahwa pembaruan tersedia. |
| Halaman hub Konten Microsoft Azure Sentinel | Templat playbook tersedia sebagai bagian dari solusi produk atau konten mandiri yang diinstal dari hub Konten. Untuk mengetahui informasi selengkapnya, silakan lihat: Tentang konten dan solusi Microsoft Azure Sentinel Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel |
| GitHub | Repositori GitHub Microsoft Sentinel berisi banyak templat playbook lainnya. Pilih Sebarkan ke Azure untuk menyebarkan templat ke langganan Azure Anda. |
Secara teknis, templat playbook adalah templat Azure Resource Manager (ARM), yang terdiri dari beberapa sumber daya: alur kerja Azure Logic Apps dan koneksi API untuk setiap koneksi yang terlibat.
Artikel ini berfokus pada penyebaran templat playbook dari tab Templat playbook di bawah Automasi.
Menjelajahi templat playbook
Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Hub konten manajemen>konten. Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.
Pada halaman Hub konten , pilih Tipe konten untuk memfilter Playbook. Tampilan yang difilter ini mencantumkan semua solusi dan konten mandiri yang menyertakan satu atau beberapa templat playbook. Instal solusi atau konten mandiri untuk mendapatkan templat.
Kemudian, pilih tab Templat Playbook Automation>Konfigurasi>untuk melihat templat yang diinstal. Contohnya:
Untuk menemukan templat playbook yang sesuai dengan kebutuhan Anda, filter daftar menurut kriteria berikut:
| Filter | Deskripsi |
|---|---|
| Pemicu | Filter berdasarkan bagaimana playbook dipicu, termasuk insiden, pemberitahuan, atau entitas. Untuk informasi selengkapnya, lihat Pemicu Microsoft Azure Sentinel yang didukung. |
| Konektor Logic Apps | Filter menurut layanan eksternal yang berinteraksi dengan playbook. Selama proses penyebaran, setiap konektor perlu mengasumsikan identitas untuk mengautentikasi ke layanan eksternal. |
| Entitas | Filter menurut jenis entitas yang diharapkan playbook untuk ditemukan dalam insiden. Misalnya, playbook yang memberi tahu firewall untuk memblokir alamat IP yang mengharapkan untuk menemukan alamat IP dalam insiden tersebut. Insiden tersebut mungkin dibuat oleh aturan analitik serangan Brute Force. |
| Tag | Filter menurut label yang diterapkan ke playbook, yang berkaitan dengan playbook dengan skenario tertentu, atau menunjukkan karakteristik khusus. Misalnya: - Pengayaan - Playbook yang mengambil informasi dari layanan lain untuk menambahkan konteks ke insiden. Informasi ini biasanya ditambahkan sebagai komentar untuk insiden atau dikirim ke SOC. - Remediasi - Playbook yang mengambil tindakan pada entitas yang terpengaruh untuk menghilangkan potensi ancaman. - Sync - Playbook yang membantu menyimpan layanan eksternal, seperti layanan manajemen insiden, diperbarui dengan properti insiden. - Pemberitahuan - Playbook yang mengirim email atau pesan. - Respons dari Teams - Playbook yang memungkinkan analis untuk mengambil tindakan manual dari Teams menggunakan kartu interaktif. |
Contohnya:
Mengustomisasi playbook dari templat
Prosedur ini menjelaskan cara menyebarkan templat playbook, dan dapat diulang untuk membuat beberapa playbook dari templat yang sama.
Meskipun sebagian besar templat playbook dapat digunakan apa adanya, kami sarankan Anda menyesuaikannya sesuai kebutuhan agar sesuai dengan kebutuhan SOC Anda.
Pada tab Templat playbook, pilih playbook untuk memulai.
Jika playbook memiliki prasyarat, pastikan untuk mengikuti instruksi berikut. Contohnya:
Beberapa playbook memanggil playbook lain sebagai tindakan. Playbook kedua ini disebut sebagai playbook bersarang. Dalam kasus seperti itu, salah satu prasyaratnya adalah terlebih dahulu menyebarkan playbook berlapis.
Beberapa playbook memerlukan penyebaran konektor Logic Apps kustom atau Azure Function. Dalam kasus seperti itu , ada tautan Sebarkan ke Azure yang membawa Anda ke proses penyebaran templat ARM umum.
Pilih Buat playbook untuk membuka wizard pembuatan playbook berdasarkan templat yang dipilih. Wizard memiliki empat tab:
Dasar-dasar: Temukan playbook baru Anda, yang merupakan sumber daya Logic Apps, dan beri nama. Anda dapat menggunakan default. Contohnya:
Parameter: Masukkan nilai khusus pelanggan yang digunakan playbook. Misalnya, jika playbook mengirim email ke SOC, tentukan alamat penerima. Jika playbook memiliki konektor kustom yang digunakan, playbook harus disebarkan dalam grup sumber daya yang sama, dan Anda diminta untuk memasukkan namanya di tab Parameter .
Tab Parameter hanya menunjukkan apakah playbook memiliki parameter. Contohnya:
Koneksi: Perluas setiap tindakan untuk melihat koneksi yang ada yang Anda buat untuk playbook sebelumnya. Anda dapat memilih untuk menggunakan koneksi yang sudah ada, atau membuat koneksi baru. Contohnya:
Untuk membuat koneksi baru, pilih Buat koneksi baru setelah penyebaran. Opsi ini membawa Anda ke perancang Logic Apps setelah proses penyebaran selesai.
Konektor kustom dicantumkan oleh nama konektor kustom yang dimasukkan di tab Parameter .
Untuk konektor yang mendukung koneksi dengan identitas terkelola, seperti Microsoft Sentinel, identitas terkelola adalah metode koneksi default.
Untuk informasi selengkapnya, lihat Mengautentikasi playbook ke Microsoft Azure Sentinel.
Tinjau dan Buat: Lihat ringkasan proses dan validasi tunggu input Anda sebelum membuat playbook.
Setelah mengikuti langkah-langkah dalam wizard pembuatan playbook hingga akhir, Anda akan dibawa ke desain alur kerja playbook baru di perancang Logic Apps. Contohnya:
Untuk setiap konektor yang Anda pilih, buat koneksi baru untuk setelah penyebaran:
Dari menu navigasi, pilih koneksi API lalu pilih nama koneksi. Contohnya:
Pilih Edit koneksi API dari menu navigasi.
Isi parameter yang diperlukan dan pilih Simpan. Contohnya:
Atau, buat koneksi baru dari dalam langkah-langkah yang relevan di perancang Logic Apps:
Untuk setiap langkah yang muncul dengan tanda kesalahan, pilih untuk memperluas lalu pilih Tambahkan baru.
Mengautentikasi sesuai dengan instruksi yang relevan. Untuk informasi selengkapnya, lihat Mengautentikasi playbook ke Microsoft Azure Sentinel.
Jika ada langkah-langkah lain yang menggunakan konektor yang sama ini, perluas kotaknya. Dari daftar koneksi yang muncul, pilih koneksi yang baru saja Anda buat.
Jika Anda telah memilih untuk menggunakan koneksi identitas terkelola untuk Microsoft Sentinel, atau untuk koneksi lain yang didukung, pastikan untuk memberikan izin ke playbook baru di ruang kerja Microsoft Azure Sentinel atau pada sumber daya target yang relevan untuk konektor lain.
Simpan playbook. Playbook muncul di tab Playbook Aktif.
Untuk menjalankan playbook Anda, atur respons otomatis atau jalankan secara manual. Untuk informasi selengkapnya, lihat Merespons ancaman dengan playbook Microsoft Azure Sentinel.
Melaporkan masalah dalam templat playbook
Untuk melaporkan bug atau meminta perbaikan playbook, pilih tautan Didukung oleh di panel detail playbook. Jika ini adalah playbook yang didukung komunitas, tautan akan membawa Anda untuk membuka masalah GitHub. Jika tidak, Anda diarahkan ke halaman pendukung, dengan informasi tentang cara mengirim umpan balik Anda.