Aracılığıyla paylaş


Microsoft Sentinel playbook'larını oluşturma ve yönetme

Playbook'lar, bir olayın tamamına, tek bir uyarıya veya belirli bir varlığa yanıt olarak Microsoft Sentinel'den çalıştırılabilir yordam koleksiyonlarıdır. Playbook, yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olabilir ve belirli uyarılar oluşturulduğunda veya olaylar oluşturulduğunda veya güncelleştirildiğinde otomatik olarak çalıştırılacak bir otomasyon kuralına eklenebilir. Playbook'lar belirli olaylar, uyarılar veya varlıklar üzerinde isteğe bağlı olarak el ile de çalıştırılabilir.

Bu makalede, Microsoft Sentinel playbook'larının nasıl oluşturulacağı ve yönetileceği açıklanır. Daha sonra bu playbook'ları analiz kurallarına veya otomasyon kurallarına ekleyebilir veya bunları belirli olaylar, uyarılar veya varlıklar üzerinde el ile çalıştırabilirsiniz.

Not

Microsoft Sentinel'deki Playbook'lar Azure Logic Apps'te yerleşik iş akışlarını temel alır. Bu, mantıksal uygulamaların tüm gücünü, özelleştirilebilirliğini ve yerleşik şablonlarını elde ettiğiniz anlamına gelir. Ek ücretler uygulanabilir. Fiyatlandırma bilgileri için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • Bir Azure hesabı ve aboneliği Aboneliğiniz yoksa, ücretsiz bir Azure hesabı için kaydolun.

  • Playbook'ları oluşturmak ve yönetmek için aşağıdaki Azure rollerinden biriyle Microsoft Sentinel'e erişmeniz gerekir:

    Mantıksal uygulama Azure rolleri Açıklama
    Tüketim Mantıksal Uygulama Katkıda Bulunanı Mantıksal uygulamaları düzenleyin ve yönetin.
    Tüketim Mantıksal Uygulama İşleci Mantıksal uygulamaları okuyun, etkinleştirin ve devre dışı bırakın.
    Standart Logic Apps Standart İşleci İş akışlarını etkinleştirin, yeniden gönderin ve devre dışı bırakın.
    Standart Logic Apps Standart Geliştirici İş akışları oluşturma ve düzenleme.
    Standart Logic Apps Standart Katkıda Bulunanı bir iş akışının tüm yönlerini yönetin.

    Daha fazla bilgi için, aşağıdaki belgelere bakın:

  • Playbook'unuzu oluşturmadan önce Microsoft Sentinel playbook'ları için Azure Logic Apps'i okumanızı öneririz.

Playbook oluşturma

Microsoft Sentinel'de yeni bir playbook oluşturmak için şu adımları izleyin:

  1. Azure portalında veya Defender portalında Microsoft Sentinel çalışma alanınıza gidin. Çalışma alanı menüsünde, Yapılandırma'nın altında Otomasyon'a tıklayın.

  2. Üst menüden Oluştur'u seçin ve ardından aşağıdaki seçeneklerden birini belirleyin:

    • Tüketim playbook'u oluşturuyorsanız, kullanmak istediğiniz tetikleyiciye bağlı olarak aşağıdaki seçeneklerden birini seçin ve ardından Tüketim mantıksal uygulaması için adımları izleyin:

      • Olay tetikleyicili Playbook
      • Uyarı tetikleyicili Playbook
      • Varlık tetikleyicisi olan Playbook

      Bu kılavuz, varlık tetikleyicisi ile Playbook ile devam eder.

    • Standart playbook oluşturuyorsanız Boş playbook'u seçin ve ardından Standart mantıksal uygulama türü için adımları izleyin.

    Daha fazla bilgi için bkz . Desteklenen mantıksal uygulama türleri ve Microsoft Sentinel playbook'larında desteklenen tetikleyiciler ve eylemler.

Playbook'unuzun mantıksal uygulamasını hazırlama

Tüketim veya Standart mantıksal uygulama kullanıp kullanmadığınıza bağlı olarak playbook'unuz için mantıksal uygulama oluşturma hakkında ayrıntılı bilgi için aşağıdaki sekmelerden birini seçin. Daha fazla bilgi için bkz . Desteklenen mantıksal uygulama türleri.

İpucu

Playbook'larınızın bir Azure sanal ağı içindeki veya bağlı korumalı kaynaklara erişmesi gerekiyorsa Standart mantıksal uygulama iş akışı oluşturun.

Standart iş akışları tek kiracılı Azure Logic Apps'te çalışır ve iş akışlarınızın sanal ağlarla özel ve güvenli bir şekilde iletişim kurabilmesi için gelen trafik için özel uç noktaların kullanılmasını destekler. Standart iş akışları, giden trafik için sanal ağ tümleştirmesini de destekler. Daha fazla bilgi için bkz . Özel uç noktaları kullanarak sanal ağlar ve tek kiracılı Azure Logic Apps arasındaki trafiğin güvenliğini sağlama.

Bir olay, uyarı veya varlık tetikleyicisi içeren tetikleyiciyi seçtikten sonra playbook oluşturma sihirbazı görüntülenir, örneğin:

Tüketim iş akışı tabanlı playbook için Playbook oluşturma sihirbazını ve Temel Bilgiler sekmesini gösteren ekran görüntüsü.

Playbook'unuzu oluşturmak için şu adımları izleyin:

  1. Temel Bilgiler sekmesinde aşağıdaki bilgileri sağlayın:

    1. Abonelik ve Kaynak grubu için ilgili listelerinden istediğiniz değerleri seçin.

      Bölge değeri, ilişkili Log Analytics çalışma alanıyla aynı bölgeye ayarlanır.

    2. Playbook adı için playbook'unuz için bir ad girin.

    3. Bu playbook'un etkinliğini tanılama amacıyla izlemek için Log Analytics'te tanılama günlüklerini etkinleştir'i seçin ve daha önce bir çalışma alanı seçmediğiniz sürece bir Log Analytics çalışma alanı seçin.

  2. İleri: Bağlantılar'ı >seçin.

  3. Bağlantılar sekmesinde, yönetilen kimlikle Microsoft Sentinel'e bağlanmak için bir mantıksal uygulama yapılandıran varsayılan değerleri bırakmanızı öneririz.

    Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'ların kimliğini doğrulama.

  4. Devam etmek için İleri : Gözden geçir'i seçin ve oluşturun >.

  5. Gözden geçir ve oluştur sekmesinde yapılandırma seçeneklerinizi gözden geçirin ve Playbook oluştur'u seçin.

    Azure'ın playbook'unuzu oluşturması ve dağıtması birkaç dakika sürer. Dağıtım tamamlandıktan sonra playbook'unuz Azure Logic Apps için Tüketim iş akışı tasarımcısında açılır. Daha önce seçtiğiniz tetikleyici, iş akışınızın ilk adımı olarak otomatik olarak görünür, böylece artık iş akışını oluşturmaya buradan devam edebilirsiniz.

    Seçili tetikleyiciyle Tüketim iş akışı tasarımcılarını gösteren ekran görüntüsü.

  6. Tasarımcıda, henüz seçili değilse Microsoft Sentinel tetikleyicisini seçin.

  7. Bağlantı oluştur bölmesinde, Microsoft Sentinel'e bağlanmak için gerekli bilgileri sağlamak için bu adımları izleyin.

    1. Kimlik Doğrulaması için, sonraki bağlantı parametrelerini etkileyen aşağıdaki yöntemlerden birini seçin:

      Metot Açıklama
      OAuth Açık Yetkilendirme (OAuth), bir uygulamayı veya hizmeti parolalar gibi özel bilgileri açığa çıkarmadan başka bir uygulamada veya hizmette oturum açma yetkisi vermenizi sağlayan bir teknoloji standardıdır. OAuth 2.0, yetkilendirmeye yönelik endüstri protokolüdür ve korumalı kaynaklara sınırlı erişim verir. Daha fazla bilgi için aşağıdaki kaynaklara bakın:

      - OAuth nedir?
      - Microsoft Entra Id ile OAuth 2.0 yetkilendirmesi
      Hizmet sorumlusu Hizmet sorumlusu, Microsoft Entra kiracısı tarafından güvenliği sağlanan kaynaklara erişim gerektiren bir varlığı temsil eder. Daha fazla bilgi için bkz . Hizmet sorumlusu nesnesi.
      Yönetilen kimlik Microsoft Entra Kimliği'nde otomatik olarak yönetilen bir kimlik. Uygulamalar, Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara erişmek ve kimlik bilgilerini yönetmek zorunda kalmadan Microsoft Entra belirteçlerini almak için bu kimliği kullanabilir.

      En iyi güvenlik için Microsoft, mümkün olduğunda kimlik doğrulaması için yönetilen kimlik kullanılmasını önerir. Bu seçenek üstün güvenlik sağlar ve bu hassas bilgileri yönetmek zorunda kalmamak için kimlik doğrulama bilgilerinin güvenli kalmasına yardımcı olur. Daha fazla bilgi için aşağıdaki kaynaklara bakın:

      - Azure kaynakları için yönetilen kimlikler nedir?
      - Azure Logic Apps'te yönetilen kimliklerle Azure kaynaklarına erişimin ve bağlantıların kimliğini doğrulama.

      Daha fazla bilgi için bkz . Kimlik doğrulama istemleri.

    2. Seçtiğiniz kimlik doğrulama seçeneğine bağlı olarak, ilgili seçenek için gerekli parametre değerlerini sağlayın.

      Bu parametreler hakkında daha fazla bilgi için bkz . Microsoft Sentinel bağlayıcı başvurusu.

    3. Kiracı Kimliği için Microsoft Entra kiracı kimliğinizi seçin.

    4. bitirdiğinizde Oturum aç'ı seçin.

  8. Daha önce varlık tetikleyicili Playbook'u seçtiyseniz, bu playbook'un giriş olarak almasını istediğiniz varlık türünü seçin.

    Varlık tetikleyicisi içeren Tüketim iş akışı playbook'unu ve playbook şemasını ayarlamak için seçilebilecek varlık türlerini gösteren ekran görüntüsü.

Kimlik doğrulama istemleri

Kimlik doğrulaması gerektiren bir tetikleyici veya sonraki bir eylem eklediğinizde, ilgili kaynak sağlayıcısı tarafından desteklenen kullanılabilir kimlik doğrulama türleri arasından seçim yapmanız istenebilir. Bu örnekte, iş akışınıza eklediğiniz ilk işlem Microsoft Sentinel tetikleyicisidir. Bu nedenle kaynak sağlayıcısı, çeşitli kimlik doğrulama seçeneklerini destekleyen Microsoft Sentinel'dir. Daha fazla bilgi için, aşağıdaki belgelere bakın:

Playbook'unuza eylem ekleme

Artık playbook'unuz için bir iş akışınız olduğuna göre playbook'u çağırdığınızda ne olacağını tanımlayın. Tasarımcıda artı işaretini (+) seçerek eylemleri, mantıksal koşulları, döngüleri veya anahtar durumu koşullarını ekleyin. Daha fazla bilgi için bkz . Tetikleyici veya eylemle iş akışı oluşturma.

Bu seçim hizmetlere, uygulamalara, sistemlere , denetim akışı eylemlerine ve daha fazlasına göz atabileceğiniz veya arama yapabileceğiniz Eylem ekle bölmesini açar. Arama terimlerinizi girdikten veya istediğiniz kaynağı seçtikten sonra, sonuç listesinde kullanılabilir eylemler gösterilir.

Her eylemde, bir alanın içini seçtiğinizde aşağıdaki seçenekleri elde edersiniz:

Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larında desteklenen tetikleyiciler ve eylemler.

Dinamik içerik: Olay kimliği olmayan varlık playbook'ları

Microsoft Sentinel varlık tetikleyicisi ile oluşturulan playbook'lar genellikle Olay ARM Kimliği alanını kullanarak varlık üzerinde işlem yaptıktan sonra bir olayı güncelleştirir. Böyle bir playbook, tehdit avcılığı gibi bir olaya bağlı olmayan bir senaryoda tetikleniyorsa, bu alanı dolduracak bir olay kimliği yoktur. Bunun yerine, alan null değerle doldurulur. Sonuç olarak playbook tamamlanmaya çalışamayabilir.

Bu hatayı önlemek için, iş akışı başka eylemler gerçekleştirmeden önce olay kimliği alanındaki bir değeri denetleyebilen bir koşul oluşturmanızı öneririz. Playbook'un bir olaydan çalıştırılmaması nedeniyle alanın null değeri varsa, yapılması gereken farklı bir eylem kümesi belirtebilirsiniz.

  1. İş akışınızda, Olay ARM Kimliği alanına başvuran ilk eylemden önce koşul eylemi eklemek için bu genel adımları izleyin.

  2. Koşul bölmesinde, koşul satırında, solDaki Değer seçin alanını seçin ve ardından dinamik içerik seçeneğini (şimşek simgesi) seçin.

  3. Dinamik içerik listesinde, Microsoft Sentinel olayı'nın altındaki arama kutusunu kullanarak Olay ARM Kimliğini bulun ve seçin.

    İpucu

    Çıkış listede görünmüyorsa tetikleyici adının yanındaki Daha fazla göster'i seçin.

  4. Ortadaki alanda, işleç listesinden eşit değil'i seçin.

  5. Sağ tarafta Değer seçin alanında ifade düzenleyicisi seçeneğini (işlev simgesi) seçin.

  6. Düzenleyicide null yazın ve Ekle'yi seçin.

Bitirdiğinizde, koşulunuz aşağıdaki örneğe benzer şekilde görünür:

Olay ARM Kimliği alanından önce eklenecek ek koşulu gösteren ekran görüntüsü.

Dinamik içerik: Özel ayrıntılarla çalışma

Microsoft Sentinel olay tetikleyicisinde Uyarı özel ayrıntıları çıkışı, her birinin bir uyarıdan özel bir ayrıntıyı temsil ettiği bir JSON nesneleri dizisidir. Özel ayrıntılar, uyarıdaki olaylardan gelen bilgileri ortaya çıkarmanıza olanak sağlayan anahtar-değer çiftleridir; böylece bunlar olayın bir parçası olarak temsil edilebilir, izlenebilir ve analiz edilebilir.

Uyarıdaki bu alan özelleştirilebilir, dolayısıyla şeması ortaya çıkarılan olayın türüne bağlıdır. Özel ayrıntılar çıktısının nasıl ayrıştırıldığını belirleyen şemayı oluşturmak için bu olayın bir örneğinden verileri sağlayın:

  1. Microsoft Sentinel çalışma alanı menüsünde, Yapılandırma'nın altında Analiz'i seçin.

  2. Mevcut bir zamanlanmış sorgu kuralı veya NRT sorgu kuralı oluşturmak veya açmak için adımları izleyin.

  3. Kural mantığını ayarla sekmesinde Özel ayrıntılar bölümünü genişletin, örneğin:

    Analiz kuralında tanımlanan özel ayrıntıları gösteren ekran görüntüsü.

    Aşağıdaki tabloda bu anahtar-değer çiftleri hakkında daha fazla bilgi sağlanmaktadır:

    Kalem Konum Açıklama
    Anahtar Sol sütun Oluşturduğunuz özel alanları temsil eder.
    Value Sağ sütun Özel alanları dolduran olay verilerinden alanları temsil eder.
  4. Şemayı oluşturmak için aşağıdaki örnek JSON kodunu sağlayın:

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
    

    Kod, anahtar adlarını dizi olarak, değerleri ise dizilerdeki öğeler olarak gösterir. Değerler, değerleri içeren sütun olarak değil gerçek değerler olarak gösterilir.

Olay tetikleyicileri için özel alanlar kullanmak için iş akışınız için şu adımları izleyin:

  1. İş akışı tasarımcısında, Microsoft Sentinel olay tetikleyicisinin altına JSON Ayrıştır adlı yerleşik eylemi ekleyin.

  2. Eylemin İçerik parametresinin içini seçin ve dinamik içerik listesi seçeneğini (şimşek simgesi) seçin.

  3. Listeden, olay tetikleyicisi bölümünde Uyarı Özel Ayrıntıları'nı bulun ve seçin, örneğin:

    Dinamik içerik listesinde seçili Uyarı Özel Ayrıntıları'nı gösteren ekran görüntüsü.

    Bir olay bir uyarı dizisi içerdiğinden, bu seçim JSON Ayrıştırma çevresindeki her bir döngü için otomatik olarak bir ekler.

  4. JSON bilgilerini ayrıştır bölmesinde Şema oluşturmak için örnek yükü kullan'ı seçin, örneğin:

    Şema bağlantısı oluşturmak için örnek yükü kullan seçimini gösteren ekran görüntüsü.

  5. Örnek JSON yükü girin veya yapıştırın kutusunda örnek bir yük sağlayın ve Bitti'yi seçin.

    Örneğin, bu uyarının başka bir örneğini Log Analytics'e bakarak ve ardından Genişletilmiş Özellikler altında bulabileceğiniz özel ayrıntılar nesnesini kopyalayarak örnek bir yük bulabilirsiniz. Log Analytics verilerine erişmek için Azure portalındaki Günlükler sayfasına veya Defender portalındaki Gelişmiş tehdit avcılığı sayfasına gidin.

    Aşağıdaki örnekte önceki örnek JSON kodu gösterilmektedir:

    Örnek JSON yükünü gösteren ekran görüntüsü.

    bitirdiğinizde, Şema kutusu artık sağladığınız örneğe göre oluşturulan şemayı içerir. JSON Ayrıştır eylemi, iş akışınızın sonraki eylemlerinde Dizi türü ile dinamik alanlar olarak kullanabileceğiniz özel alanlar oluşturur.

    Aşağıdaki örnekte, oluştur adlı sonraki bir eylem için hem şemada hem de dinamik içerik listesinde bir dizi ve öğeleri gösterilir:

    Şemadaki dinamik alanları kullanmaya hazır olduğunu gösteren ekran görüntüsü.

Playbook'larınızı yönetme

Erişiminiz olan tüm playbook'ları abonelik görünümünüz tarafından filtrelenmiş olarak görüntülemek için Otomasyon > Etkin playbook'ları sekmesini seçin.

Microsoft Defender portalına eklendikten sonra, Etkin playbook'lar sekmesi varsayılan olarak eklenen çalışma alanının aboneliğiyle önceden tanımlanmış bir filtre gösterir. Azure portalında, genel Azure sayfa üst bilgisindeki Dizin + abonelik menüsünden gösterdiğiniz abonelikleri düzenleyin.

Etkin playbook'lar sekmesinde seçili aboneliklerde kullanılabilen tüm etkin playbook'lar görüntülenirken, playbook'un kaynak grubuna özel olarak Microsoft Sentinel izinleri vermediğiniz sürece, varsayılan olarak playbook yalnızca ait olduğu abonelik içinde kullanılabilir.

Etkin playbook'lar sekmesi, playbook'larınızı aşağıdaki ayrıntılarla birlikte gösterir:

Sütun adı Açıklama
Statü Playbook'un etkin mi yoksa devre dışı mı olduğunu gösterir.
Plan Playbook'un Standart mı yoksa Tüketim Azure Logic Apps kaynak türünü mü kullandığını gösterir.

Standart türündeki playbook'lar, Standart playbook'un tek bir mantıksal uygulamadaki diğer iş akışlarıyla birlikte var olan bir iş akışını nasıl temsil ettiğini yansıtan adlandırma kuralını kullanırLogicApp/Workflow.

Daha fazla bilgi için bkz . Microsoft Sentinel playbook'ları için Azure Logic Apps.
Tetikleyici türü Azure Logic Apps'te bu playbook'u başlatan tetikleyiciyi gösterir:

- Microsoft Sentinel Olayı/Uyarısı/Varlığı: Playbook olay, uyarı veya varlık gibi Sentinel tetikleyicilerinden biriyle başlatılır
- Microsoft Sentinel Eylemini Kullanma: Playbook, Microsoft Sentinel olmayan bir tetikleyiciyle başlatılır ancak bir Microsoft Sentinel eylemi kullanır
- Diğer: Playbook herhangi bir Microsoft Sentinel bileşeni içermez
- Başlatılmadı: Playbook oluşturuldu, ancak bileşen içermiyor, hiçbir eylem tetiklemiyor.

Playbook hakkında daha fazla ayrıntı gösteren Azure Logic Apps sayfasını açmak için bir playbook seçin. Azure Logic Apps sayfasında:

  • Playbook'un çalıştır olduğu tüm zamanların günlüğünü görüntüleme
  • Başarılar, hatalar ve diğer ayrıntılar dahil olmak üzere çalıştırma sonuçlarını görüntüleme
  • İlgili izinlere sahipseniz playbook'u doğrudan düzenlemek için Azure Logic Apps'te iş akışı tasarımcısını açın

Playbook'unuzu oluşturduktan sonra ortamınızdaki olaylar tarafından tetiklenecek kurallara ekleyin veya playbook'larınızı belirli olaylar, uyarılar veya varlıklar üzerinde el ile çalıştırın.

Daha fazla bilgi için bkz.