教程：在 Azure Sentinel 中设置自动威胁响应

小提示：您能找到这篇{教程：在 Azure Sentinel 中设置自动威胁响应}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的教程：在 Azure Sentinel 中设置自动威胁响应内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">本教程可帮助你在A好的医药广告zure Sentinel中使用安全性playbook来对Azure Sentinel检测到的安全相关问题设置自动威胁响应。

< ">了解playbook

< ">创建playbook

< ">运行playbook

< ">自动响应威胁

< ">Azure Sentinel中的安全性playbook是指什么？

< ">安全性playbook是在Azure Sentinel中运行以响应警报的一个流程集合。安全性playbook可帮助自动处理和编排响应，它可手动运行，也可设置为在触发特定警报时自动运行。Azure Sentinel中的安全性playbook基于Azure逻辑应用，这意味着你可获得逻辑应用的所有功能、自定义能力和内置模板。每个playbook都是针对所选的特定订阅创建的，但当你查看Play中山网站开发book页面时，你将看到所有选定订阅中的全部playbook。

< ">备注

< ">Playbook使用Azure逻辑应用，因此要收费。有关更多详细信息，请访问Azure逻辑应用定价页。

< ">例如，如果担心恶意攻击者会访问你的网络资源，则可设置一条警报来监视访问你的网络的恶意IP地址。然后，可创建一个执行以下操作的playbook：

< ">1.触发警报时，在ServiceNow或任意其他IT票证系统中的打开一个票证。

< ">2.向Microsoft Teams或Slack中的安全操作频道发送一条消息，确保你的安全分析师注册到此事件。

< ">3.将警报中的所有信息发送给高级网络管理员和安全管理员。该电子邮件中还包含“阻止”和“忽略”这两个用户选项按钮。

< ">4.在收到来自管理员的答复后，playbook继续运行。

< ">5.如果管理员选择“阻止”，则在防火墙中阻止该IP地址并在Azure AD中禁用该用户。

< ">6.如果管理员选择“忽略”，则在Azure Sentinel中关闭此警报并在ServiceNow中关闭此事件。

< ">安全性playbook既可手动运行，也可自动运行。手动运行是指在收到警报后，可选择按需运行playbook作为所选警报的响应。自动运行是指在创建相关性规则时，将其设置为在触发警报时自动运行一个或多个playbook。

< ">创建安全性playbook

< ">按照以下步骤在Azure Sentinel中创建新的安全性playbook：

< ">1.打开“Azure Sentinel”仪表板。

< ">2.在“配置”下选择“Playbook”。

< ">3.在“Azure Sentinel-Playbook”页中，单击“添加”按钮。

< ">4.在“创建逻辑应用”页面上，键入所请求的信息以创建新的逻辑应用，然后单击“创建”。

< ">5.在逻辑应用设计器中，选择要使用的模板。如果选择必须使用凭据的模板，则必须提供凭据。或者，可从头开始创建新的空白playbook。选择“空白逻辑应用”。

< ">6.你将转到逻辑应用设计器，可在此处构建新的模板或编辑模板。详细了解如何使用逻辑应用创建playbook。

< ">7.若要创建空白playbook，请在“搜索所有连接器和触发器”字段中，键入Azure Sentinel，再选择“当触发对Azure Sentinel警报的响应时”。

< ">8.创建后，新的playbook显示在“Playbook”列表中。如果未显示，请单击“刷新”。

< ">使用获取实体函数，使你能够从实体列表中获取相关实体，例如帐户、IP地址和主机。这使你可以对特定实体运行操作。

< ">9.现在可以定义触发攻略时的响应。可添加操作、逻辑条件、switch case条件或循环。

< ">如何运行安全性playbook

< ">可按需运行playbook。

< ">要按需运行playbook：

< ">1.在“事件”页中，选择一个事件并单击“查看完整详细信息”。

< ">2.在“警报”选项卡中，单击要对其运行playbook的警报，然后一直滚动到右侧，单击“查看playbook”，再选择要从订阅上可用playbook列表运行的playbook。

< ">自动响应威胁

< ">SIEM/SOC团队可能会定期收到海量的安全警报。生成的警报量如此之大，以致于现有的安全管理员不堪重负。这往往会导致以下情况：无法调查很多警报，使得组织易于在未注意到的情况下遭受攻击。

< ">这些警报中的许多（如果不是大多数）警报都符合定期模式，可通过特定的修正操作和定义营销策划参考的修正操作进行处理。Azure Sentinel已允许在Playbook中定义修正操作。此外，还可以将实时自动化设置为Playbook定义的一部分，以便能够完全自动化对特定安全警报的定义响应。使用实时自动化，响应团队可以大幅减少其工作量，因为他们可以完全自动化对重复出现的警报类型的常规响应，从而让你可以更专注于处理独特警报，分析模式和搜寻威胁等活动。

< ">若要实现自动响应，请执行以下操作：

< ">1.选择要对其实现自动响应的警报。

< ">2.在“编辑警报规则”页的“实时自动化”下，选择要在匹配此警报规则时运行的“触发的Playbook”。

< ">3.选择“保存”。