学习路径 9 - 实验室 1 - 练习 2 - 在 Microsoft Sentinel 中创建 Playbook
实验室方案
你是一位安全运营分析师,你所在公司已实现 Microsoft Sentinel。 你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。 现在,你想要响应和修正可以从 Microsoft Sentinel 作为例程运行的操作。
使用 playbook,可以帮助自动执行和协调威胁响应,与其他内部系统和外部系统集成,并可以设置为自动运行以响应特定警报或事件(分别由分析规则或自动化规则触发时)。
重要说明: 学习路径 #9 的实验室练习是在独立环境中进行的。 如果在完成实验室前退出,则需要重新运行配置。
任务 1:在 Microsoft Sentinel 创建 Playbook
在此任务中,你将创建在 Microsoft Sentinel 中用作 Playbook 的逻辑应用。
备注: Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace,并且已安装所需的“内容中心”解决方案。
-
使用密码:Pa55w.rd,以管理员身份登录 WIN1 虚拟机。
-
在“登录”对话框中,复制粘贴实验室托管提供者提供的租户电子邮件帐户,然后选择“下一步” 。
-
在“输入密码”对话框中,复制粘贴实验室托管提供者提供的租户密码,然后选择“登录” 。
-
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择 Microsoft Sentinel defenderWorkspace。
-
在 Microsoft Sentinel 中,导航到“内容中心”。
-
在搜索栏中,查找 Sentinel SOAR Essentials。
-
选择结果中显示的解决方案。
-
在解决方案详细信息中,选择“管理”。
-
找到 Defender_XDR_Ransomware_Playbook_for_SecOps-Tasks playbook 并选择名称。
-
选择事件任务 - Microsoft Defender XDR 勒索软件 Playbook for SecOps 模板。
-
在“详细信息”窗格中选择“创建 playbook”。
-
对于资源组,选择“新建”并输入 RG-Playbooks,然后选择“确定”。
-
从 playbook 名称中移除 for 和额外的 underscores(将超过 64 个字符的限制)。 它应读取 Defender_XDR_Ransomware_Playbook_SecOps_Tasks。
-
选择“连接”**。
-
选择“下一步: 查看并创建”。
-
现在,选择“创建 Playbook”。
注意: 请等待部署完成后再继续下一个任务。
任务 2:在 Microsoft Sentinel 中更新 Playbook
在此任务中,你将使用适当的连接信息更新创建的新 playbook。
-
完成上一个任务后,你应位于“*Defender_XDR_Ransomware_Playbook_SecOps-Tasks 逻辑应用设计器*”页。 如果没有,请完成下面的步骤 1-5。 -
在 Azure 门户的“搜索”栏中,键入 Sentinel,然后选择 Microsoft Sentinel。
-
选择 Microsoft Sentinel 工作区。
-
在“配置”区域下选择“自动化”,然后选择“可用的 Playbook”选项卡。
-
如果看不到任何 playbook,请在命令栏中选择“刷新”。 应会显示在上一步中创建的 Playbook。
-
选择 Defender_XDR_Ransomware_Playbook_SecOps_Tasks playbook 名称链接。
-
在 Defender_XDR_Ransomware_Playbook_for_SecOps_Tasks 的逻辑应用设计器页上的命令菜单中,选择“编辑”。
注意: 可能需要刷新页面。
-
选择第一个块“Microsoft Sentinel 事件”。
-
选择“更改连接”链接。
- 选择“添加新项”,然后选择“登录” 。 当系统提示时,在新窗口中,选择 Azure 订阅管理员凭据。 现在,块的最后一行应显示“已连接到 your-admin-username”。
-
在命令栏上选择“保存”。
-
选择“X”关闭窗口。 将来的实验室中将使用逻辑应用。
任务 3:创建自动化规则
-
在 Microsoft Sentinel 中,展开 导航菜单中的“配置”并选择“自动化”。
-
选择“+ 创建”,然后选择“自动化规则”。
-
为规则命名
-
将“触发器”保留为“创建事件时”。
-
在“条件”下,将事件提供程序保留为“全部”。
-
将“分析规则名称”保留为“全部”。
-
选择“+ 添加”并选择“条件(和)”。
-
从下拉列表中选择“策略”。
-
从下拉菜单中选择“包含”运算符。
- 选择以下策略 Values:
- 侦测
- 执行
- 持久性
- 命令和控制
- 外泄
- 预攻击
-
在“操作”下,选择“运行 Playbook”。
-
选择“管理 playbook 权限链接”
-
在“管理权限”页上,选择在上一个实验室中创建的“RG-Playbooks”资源组,然后选择“应用”。
-
从下拉列表中选择 Defender_XDR_Ransomware_Playbook_SecOps_Tasks playbook。
-
选择底部的“应用”。**
- 选择“创建新自动化规则”窗口上的 X 以将其关闭。
现已在 Microsoft Sentinel 中创建 playbook 和自动化规则。