学习路径 9 - 实验室 1 - 练习 2 - 在 Microsoft Sentinel 中创建 Playbook

实验室方案

你是一位安全运营分析师，你所在公司已实现 Microsoft Sentinel。你需要了解如何使用 Microsoft Sentinel 检测和缓解威胁。现在，你想要响应和修正可以从 Microsoft Sentinel 作为例程运行的操作。

使用 playbook，可以帮助自动执行和协调威胁响应，与其他内部系统和外部系统集成，并可以设置为自动运行以响应特定警报或事件（分别由分析规则或自动化规则触发时）。

重要说明： 学习路径 #9 的实验室练习是在独立环境中进行的。如果在完成实验室前退出，则需要重新运行配置。

在此任务中，你将创建在 Microsoft Sentinel 中用作 Playbook 的逻辑应用。

备注： Microsoft Sentinel 已在 Azure 订阅中预先部署了名称 defenderWorkspace，并且已安装所需的“内容中心”解决方案。

使用密码：Pa55w.rd，以管理员身份登录 WIN1 虚拟机。
在“登录”对话框中，复制粘贴实验室托管提供者提供的租户电子邮件帐户，然后选择“下一步” 。
在“输入密码”对话框中，复制粘贴实验室托管提供者提供的租户密码，然后选择“登录” 。
在 Azure 门户的“搜索”栏中，键入 Sentinel，然后选择 Microsoft Sentinel。
选择 Microsoft Sentinel defenderWorkspace。
在 Microsoft Sentinel 中，导航到“内容中心”。
在搜索栏中，查找 Sentinel SOAR Essentials。
选择结果中显示的解决方案。
在解决方案详细信息中，选择“管理”。
找到 Defender_XDR_Ransomware_Playbook_for_SecOps-Tasks playbook 并选择名称。
选择事件任务 - Microsoft Defender XDR 勒索软件 Playbook for SecOps 模板。
在“详细信息”窗格中选择“创建 playbook”。
对于资源组，选择“新建”并输入 RG-Playbooks，然后选择“确定”。
从 playbook 名称中移除 for 和额外的 underscores（将超过 64 个字符的限制）。它应读取 Defender_XDR_Ransomware_Playbook_SecOps_Tasks。
选择“连接”**。
选择“下一步: 查看并创建”。
现在，选择“创建 Playbook”。

注意： 请等待部署完成后再继续下一个任务。

在此任务中，你将使用适当的连接信息更新创建的新 playbook。

完成上一个任务后，你应位于“*Defender_XDR_Ransomware_Playbook_SecOps-Tasks

逻辑应用设计器*”页。如果没有，请完成下面的步骤 1-5。

在 Azure 门户的“搜索”栏中，键入 Sentinel，然后选择 Microsoft Sentinel。
选择 Microsoft Sentinel 工作区。
在“配置”区域下选择“自动化”，然后选择“可用的 Playbook”选项卡。
如果看不到任何 playbook，请在命令栏中选择“刷新”。应会显示在上一步中创建的 Playbook。
选择 Defender_XDR_Ransomware_Playbook_SecOps_Tasks playbook 名称链接。
在 Defender_XDR_Ransomware_Playbook_for_SecOps_Tasks 的逻辑应用设计器页上的命令菜单中，选择“编辑”。

注意： 可能需要刷新页面。
选择第一个块“Microsoft Sentinel 事件”。
选择“更改连接”链接。
选择“添加新项”，然后选择“登录” 。当系统提示时，在新窗口中，选择 Azure 订阅管理员凭据。现在，块的最后一行应显示“已连接到 your-admin-username”。

现已在 Microsoft Sentinel 中创建 playbook 和自动化规则。