在 Microsoft Sentinel 中設定自動化

  • 7 分鐘

什麼是自動化規則和劇本?

自動化規則可協助您在 Microsoft Sentinel 中分級事件。 您可以使用它們自動將事件指派給正確的人員、關閉擾人事件或已知的誤判、變更其嚴重性,以及新增標籤。 它們也是您可以執行劇本以回應事件或警示的機制。

劇本是可從 Microsoft Sentinel 執行以回應整個事件、個別警示或特定實體的程序集合。 劇本可協助自動化及協調您的回應,並可藉由附加至自動化規則,設定為在產生特定警示或建立或更新事件時自動執行。 您也可以針對特定事件、警示或實體隨需手動執行。

Microsoft Sentinel 中的劇本是以 Azure Logic Apps 中內建的工作流程為基礎,這表示您可以取得 Logic Apps 的所有功能、可自訂性和內建範本。 每個劇本都會針對所屬的特定訂用帳戶建立,但劇本顯示會顯示可在任何已選取訂用帳戶上取得的所有劇本。

例如,如果您想要停止可能遭入侵使用者在網路中移動並竊取資訊,您可以建立由偵測遭入侵使用者之規則所產生自動化且多方面的事件回應。 您一開始會建立採取下列動作的劇本:

  1. 當劇本由自動化規則呼叫並傳遞事件時,劇本會在 ServiceNow 或任何其他 IT 票證系統中開啟票證。

  2. 將訊息傳送至 Microsoft TeamsSlack 的安全性作業頻道,以確保安全性分析師知道該事件。

  3. 它也會以電子郵件,將事件中的所有資訊傳送給您的資深網路管理員和安全性系統管理員。電子郵件會包含 [封鎖] 和 [忽略] 使用者選項按鈕。

  4. 劇本會等候系統管理員收到回應,然後繼續進行其後續步驟。

  5. 如果系統管理員選擇 [封鎖],則會將命令傳送至 Microsoft Entra ID 以停用使用者,另一個傳送至防火牆以封鎖 IP 位址。

  6. 如果系統管理員選擇 [忽略],則劇本會關閉 Microsoft Sentinel 中的事件,以及 ServiceNow 中的票證。

為了觸發劇本,您接著會建立自動化規則,以在產生這些事件時執行。 該規則會採取下列步驟:

  1. 此規則會將事件狀態變更為 [作用中]

  2. 它會將事件指派給負責管理此事件類型的分析師。

  3. 它會新增「遭入侵使用者」標籤。

  4. 最後,它會呼叫您剛才建立的劇本。 (此步驟需要特殊權限。)

劇本可以藉由建立自動化規則來呼叫劇本作為動作,自動執行劇本以回應事件,如上述範例所示。 它們也可以自動執行以回應警示,方法是告訴分析規則在產生警示時自動執行一或多個劇本。

您也可以選擇隨需手動執行劇本,以回應選取的警示。

使用 Microsoft Sentinel 中的自動化規則劇本,取得自動化威脅回應的更完整且詳細的簡介。

建立劇本

請遵循下列步驟,在 Microsoft Sentinel 中建立新的劇本:

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]
  2. 從頂端功能表列中,選取 [建立]
  3. [建立] 底下顯示的下拉功能表提供您四個建立劇本的選項:
    • 如果您要建立標準劇本 (新類型 - 請參閱邏輯應用程式類型),請選取 [空白劇本],然後遵循下方 [Logic Apps 標準] 索引標籤中的步驟。

    • 如果您要建立使用量劇本 (原始的傳統類型),則視要使用的觸發程序而定,請選取 [具有事件觸發程序的劇本]、[具有警示觸發程序的劇本],或 [具有實體觸發程序的劇本]。 然後,繼續遵循下方 [Logic Apps 使用量] 索引標籤中的 步驟。

如需要使用哪個觸發程序的詳細資訊,請參閱〈在 Microsoft Sentinel 劇本中使用觸發程序和動作〉。 如需要使用哪個觸發程序的詳細資訊,請參閱在 Microsoft Sentinel 劇本中使用觸發程序和動作

在 [基本] 索引標籤中:

  1. 從其各自的下拉式清單中,選取您選擇的 [訂用帳戶]、[資源群組] 和 [區域]。 選擇的區域是您邏輯應用程式資訊儲存的位置。

  2. 在 [劇本名稱] 下輸入劇本的名稱。

  3. 如果您想要監視此劇本的活動以用於診斷目的,請標記 [在 Log Analytics 中啟用診斷記錄] 核取方塊,然後從下拉式清單中選擇 [Log Analytics工作區]

  4. 如果您的劇本需要存取內部或連線至 Azure 虛擬網路的受保護資源,則您可能需要使用整合服務環境 (ISE)。 如果是,請標記 [與整合服務環境建立關聯] 核取方塊,然後從下拉式清單中選取所需的 ISE。

  5. 選取 [下一步]連線>。

在 [連線] 索引標籤中:

在理想情況下,您應該保持此區段不變,設定 Logic Apps 以使用受控識別連線至 Microsoft Sentinel。 了解此項目和其他驗證替代方案。

選取 [下一步]:檢閱和建立>。

在 [檢閱和建立] 索引標籤中:

檢閱您所做的設定選擇,然後選取 [建立並繼續設計工具]

您的劇本需要幾分鐘的時間才能建立和部署,之後您會看到「部署已完成」訊息,而您將被帶往新劇本的邏輯應用程式設計工具。 您在開頭選擇的觸發程序會自動新增為第一個步驟,而您可以繼續從該處設計工作流程。

如果您選擇 [Microsoft Sentinel 實體 (預覽)] 觸發程序,請選取您希望此劇本接收作為輸入的實體類型。

此螢幕擷取畫面顯示如何選取您想要讓劇本接收作為輸入之實體類型的範例。

新增動作

現在,您可以定義呼叫劇本時要發生的動作。 您可以選取 [新增步驟] 來新增動作、邏輯條件、迴圈或切換案例條件。 此選取項目會在設計工具中開啟新的框架,您可以在其中選擇要互動的系統或應用程式或要設定的條件。 在框架頂端的搜尋列中輸入系統或應用程式的名稱,然後選擇可用的結果。

在上述每一個步驟中,按一下任何欄位會顯示具有兩個功能表的面板:動態內容和運算式。 從 [動態內容] 功能表中,您可以新增警示或事件屬性的參考,這些屬性已傳遞至劇本,包括警示或事件中所包含所有對應實體的值和屬性,以及自訂詳細資料。 從 [運算式] 功能表中,您可以選擇大型函式程式庫,將其他邏輯新增至步驟。

此螢幕擷取畫面顯示您要新增的動作和條件,以建立本文件開頭範例中所述的劇本。 深入了解如何將動作新增至劇本

顯示您要在建立劇本時新增之動作和條件的螢幕擷取畫面。

如需您可以針對不同用途新增至劇本的動作詳細資料,請參閱在 Microsoft Sentinel 劇本中使用觸發程序和動作

特別是,請注意,根據非事件內容中的實體觸發程序,有關劇本的重要資訊

自動化威脅回應

您已建立劇本並定義觸發程序、設定條件,並指定將採取的動作,及其產生的輸出。 現在您需要決定執行所依據的準則,並設定當滿足這些準則時,將執行劇本的自動化機制。

回應事件和警示

若要使用劇本自動回應整個事件個別警示,請建立自動化規則,以在建立或更新事件或產生警示時執行。 此自動化規則將包含呼叫您要使用劇本的步驟。

若要建立自動化規則:

  1. 從 Microsoft Sentinel 導覽功能表中的 [自動化] 頁面、選取頂端功能表中的 [建立],然後 選取 [自動化規則]
  2. [建立新的自動化規則] 面板隨即開啟。 輸入您的規則名稱。 您的選項會因工作區是否已上線至統一安全性作業平台而有所不同。 例如:
  3. 觸發程序:根據您要建立自動化規則的情況選取適當的觸發程序:建立事件時、更新事件時,或建立警示時。
  4. 條件:
    • 如果您的工作區尚未上線至統一安全性作業平台,則事件可能會有兩個可能的來源:
    • 如果您選取了其中一個事件觸發程序,且希望自動化規則只對 Microsoft Sentinel 或 Microsoft Defender XDR 中的來源事件生效,請在「若事件提供者等於條件」中指定來源。
    • 只有在選取事件觸發程序,且您的工作區未上線至統一安全性作業平台時,才會顯示此條件。
    • 針對所有觸發程序類型,如果您希望自動化規則只對特定分析規則生效,請修改若分析規則名稱包含條件來指定特定規則。
    • 新增您想要判斷此自動化規則是否會執行的任何其他條件。 從下拉式清單中選取 [+ 新增],然後選擇條件或條件群組。 條件清單會填入警示詳細資料和實體識別碼欄位。
  5. 動作
    • 由於您使用此自動化規則來執行劇本,因此請從下拉式清單中選擇 [執行劇本] 動作。 接著,系統會提示您從顯示可用劇本的第二個下拉式清單中進行選擇。 自動化規則只能執行以與規則中所定義觸發程序相同的觸發程序 (事件或警示) 開頭的劇本,因此只有這些劇本會出現在清單中。

重要

Microsoft Sentinel 必須獲得明確的權限,才能手動或從自動化規則執行劇本。 如果劇本出現在下拉式清單中「呈現灰色」,表示 Sentinel 沒有該劇本資源群組的權限。 按一下 [管理劇本權限] 連結以指派權限。

在開啟的 [管理權限] 面板中,標記包含您要執行劇本之資源群組的核取方塊,然後按一下 [套用]

  • 您必須擁有想要授與 Microsoft Sentinel 權限之任何資源群組的擁有者權限,且您必須在包含要執行劇本的任何資源群組上擁有邏輯應用程式參與者角色。
  • 在多租用戶部署中,如果您想要執行的劇本位於不同的租用戶中,則必須授與 Microsoft Sentinel 權限,才能在劇本的租用戶中執行劇本。
  • 從劇本租用戶的 Microsoft Sentinel 導覽功能表中,選取 [設定]
  • 在 [設定] 刀鋒視窗中,選取 [設定] 索引標籤,然後選取 [劇本權限] 展開器。
  • 按一下 [設定權限] 按鈕,以開啟上述的 [管理權限] 面板,然後如該處所述繼續進行。

在 MSSP 案例中,您想要從登入服務提供者租用戶時建立的自動化規則,在客戶租用戶中執行劇本,則必須授與 Microsoft Sentinel 權限,才能在這兩個租用戶中執行劇本。 在客戶租用戶中,遵循上述項目符號點中多租用戶部署的指示。 在服務提供者租用戶中,您必須在 Azure Lighthouse 上線範本中新增 Azure Security Insights 應用程式:

  1. Azure 入口網站中,移至 [Microsoft Entra ID]

  2. 按一下 [企業應用程式]

  3. 選取 [應用程式類型] 並篩選 [Microsoft 應用程式]

  4. 在搜尋方塊中,輸入 Azure Security Insights

  5. 複製 [物件識別碼] 欄位。 您必須將此額外的授權新增至現有的 Azure Lighthouse 委派。

Microsoft Sentinel 自動化參與者角色具有固定 GUID,也就是 f4c81013-99ee-4d62-a7ee-b3f1f648599a

  1. 新增您想要用於此規則的任何其他動作。 您可以選取任何動作右邊的向上或向下箭號來變更動作的執行順序。

  2. 如果您想要擁有到期日,請設定自動化規則的到期日。

  3. 在 [順序] 底下輸入數字,以決定此規則將執行之自動化規則中的位置。

  4. 選取套用。 大功告成!

回應警示—舊版方法

自動執行劇本以回應警示的另一種方式是從分析規則呼叫它們。 當規則產生警示時,劇本就會執行。

此方法將於 2026 年 3 月被取代。

從 2023 年 6 月開始,您無法再以這種方式將劇本新增至分析規則。 不過,您仍然可以看到從分析規則呼叫的現有劇本,且這些劇本仍會執行到 2026 年 3 月為止。 強烈建議您在那之前改為建立自動化規則來呼叫這些劇本

視需要執行劇本

您也可以隨需手動執行劇本,無論是回應警示、事件 (預覽),還是實體 (也處於預覽狀態)。 這在您想要讓更多人為輸入並控制協調流程和回應流程的情況下非常有用。

針對警示手動執行劇本

注意

統一安全性作業平台不支援此程序。

Azure 入口網站中,視您的環境需要選取下列其中一個索引標籤:

  1. 在 [事件] 頁面中,選取事件。 在 Azure 入口網站中,選取事件詳細資料窗格底部的 [檢視完整詳細資料],以開啟 [事件詳細資料] 頁面。

  2. 在 [事件詳細資料] 頁面的 [事件時間表] 小工具中,選擇您要執行劇本的警示。 選取警示行結尾的三個點,然後從快顯功能表中選擇 [執行劇本]

顯示 Microsoft Sentinel 中事件時間表詳細資料頁面範例的螢幕擷取畫面。

  1. [警示劇本] 窗格隨即開啟。 您會看到所有以您有權存取之 Microsoft Sentinel 警示 Logic Apps 觸發程序設定的劇本清單。

  2. 選取特定劇本行上的 [執行],以立即執行。

您可以選取 [警示劇本] 窗格上的 [執行] 索引標籤,以查看警示上劇本的執行歷程記錄。 任何剛完成的執行可能需要幾秒鐘的時間才會出現在清單中。 選取特定執行將會在Logic Apps 中開啟完整的執行記錄。