Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Säkerhetscenter (SOC) står inför en konstant ström av säkerhetsaviseringar och incidenter. Att hantera dessa effektivt är viktigt för att hålla organisationens säkerhet stark. Microsoft Sentinel-spelböcker är automatiserade arbetsflöden som hjälper dig att snabbt och konsekvent reagera på hot. Den här artikeln visar hur du använder spelböcker i Microsoft Sentinel för att automatisera hotsvar, minska manuellt arbete och låta ditt team fokusera på djupare undersökningar.
Använd Microsoft Sentinel-spelböcker för att köra förkonfigurerade uppsättningar med reparationsåtgärder och automatisera och samordna hotsvaret. Kör spelböcker automatiskt som svar på specifika aviseringar och incidenter som utlöser en konfigurerad automatiseringsregel, eller kör dem manuellt för en viss entitet eller avisering.
Om ett konto och en dator till exempel komprometteras kan en spelbok automatiskt isolera datorn från nätverket och blockera kontot innan SOC-teamet får ett meddelande om incidenten.
Kommentar
Eftersom spelböcker använder Azure Logic Apps kan ytterligare avgifter tillkomma. Gå till prissidan för Azure Logic Apps för mer information.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt i Microsoft Defender-portalen, inklusive för kunder utan Microsoft Defender XDR eller en E5-licens.
Från och med juli 2026 omdirigeras alla kunder som använder Microsoft Sentinel i Azure-portalen till Defender-portalen och kommer endast att använda Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure-portalen rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinels Azure-portal för ökad säkerhet).
Rekommenderade användningsfall
I följande tabell visas vanliga användningsfall där Microsoft Sentinel-spelböcker hjälper till att automatisera hotsvar:
| Användningsfall | beskrivning |
|---|---|
| Anrikning | Samla in data och koppla dem till en incident så att ditt team kan fatta bättre beslut. |
| Dubbelriktad synkronisering | Synkronisera Microsoft Sentinel-incidenter med andra biljettsystem. Skapa till exempel en automatiseringsregel för alla nya incidenter och bifoga en spelbok som öppnar en biljett i ServiceNow. |
| Orkestrering | Använd SOC-teamets chattplattform för att hantera incidentkön. Skicka till exempel ett meddelande till din säkerhetsåtgärdskanal i Microsoft Teams eller Slack så att dina säkerhetsanalytiker känner till incidenten. |
| Svar | Svara på hot direkt med minimal mänsklig inblandning, till exempel när en komprometterad användare eller dator identifieras. Eller utlösa automatiserade steg manuellt under en undersökning eller vid jakt. |
Mer information finns i Rekommenderade användningsfall för spelböcker, mallar och exempel.
Förutsättningar
Du behöver följande roller för att använda Azure Logic Apps för att skapa och köra spelböcker i Microsoft Sentinel.
| Roll | beskrivning |
|---|---|
| Ägare | Gör att du kan ge åtkomst till spelböcker i resursgruppen. |
| Microsoft Sentinel-bidragsgivare | Gör att du kan koppla en spelbok till en analys- eller automatiseringsregel. |
| Microsoft Sentinel-responder | Gör att du kan komma åt en incident för att kunna köra en spelbok manuellt, men du kan inte köra spelboken. |
| Microsoft Sentinel Playbook-operatör | Låter dig köra en spelbok manuellt. |
| Microsoft Sentinel Automation-bidragsgivare | Tillåter automatiseringsregler att köra spelböcker. Den här rollen används inte för något annat syfte. |
I följande tabell beskrivs nödvändiga roller baserat på om du väljer en förbruknings- eller standardlogikapp för att skapa din spelbok:
| Logikapp | Azure-roller | beskrivning |
|---|---|---|
| Förbrukning | Logic App-medarbetare | Redigera och hantera logikappar. Kör spelböcker. Tillåter inte att du beviljar åtkomst till spelböcker. |
| Förbrukning | Operatör för logikapp | Läsa, aktivera och inaktivera logikappar. Tillåter inte att du redigerar eller uppdaterar logikappar. |
| Norm | Logic Apps Standardoperator | Aktivera, skicka om och inaktivera arbetsflöden i en logikapp. |
| Norm | Logic Apps Standard Developer | Skapa och redigera logikappar. |
| Norm | Deltagare i Logic Apps Standard | Hantera alla aspekter av en logikapp. |
Fliken Aktiva spelböcker på sidan Automation visar alla aktiva spelböcker som är tillgängliga i alla valda prenumerationer. Som standard kan en spelbok endast användas i den prenumeration som den tillhör, såvida du inte uttryckligen beviljar Microsoft Sentinel-behörigheter till spelbokens resursgrupp.
Extra behörigheter som krävs för att Microsoft Sentinel ska kunna köra spelböcker
Microsoft Sentinel använder ett tjänstkonto för att köra spelböcker på incidenter, för att lägga till säkerhet och göra det möjligt för API:et för automatiseringsregler att stödja CI/CD-användningsfall. Det här tjänstkontot används för incidentutlösta spelböcker eller när du kör en spelbok manuellt vid en specifik incident.
Förutom dina egna roller och behörigheter måste det här Microsoft Sentinel-tjänstkontot ha en egen uppsättning behörigheter i resursgruppen där spelboken finns, i form av rollen Microsoft Sentinel Automation Contributor. När Microsoft Sentinel har den här rollen kan den köra valfri spelbok i relevant resursgrupp, manuellt eller från en automatiseringsregel.
Om du vill bevilja Microsoft Sentinel de behörigheter som krävs måste du ha rollen Ägare eller Administratör för användaråtkomst . Om du vill köra playbooks behöver du även rollen Logic App Contributor i resursgruppen som innehåller de playbooks som du vill köra.
Spelboksmallar (förhandsversion)
Viktigt!
Spelboksmallar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Spelboksmallar är fördefinierade, testade och färdiga arbetsflöden som inte kan användas som spelböcker själva, men som är redo att anpassas efter dina behov. Vi rekommenderar också att du använder spelboksmallar som referens till bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier.
Hämta spelboksmallar från dessa källor:
| Plats | beskrivning |
|---|---|
| Sidan Microsoft Sentinel Automation | Fliken Spelboksmallar visar alla installerade spelböcker. Skapa en eller flera aktiva spelböcker med samma mall. När en ny version av en mall publiceras får alla aktiva spelböcker som skapats från mallen en extra etikett på fliken Aktiva spelböcker för att visa att en uppdatering är tillgänglig. |
| Sidan För Microsoft Sentinel-innehållshubben | Spelboksmallar är en del av produktlösningar eller fristående innehåll som du installerar från innehållshubben. För ytterligare information, se: Om Microsoft Sentinel-innehåll och -lösningar Identifiera och hantera inbyggt innehåll i Microsoft Sentinel |
| GitHub (på engelska) | Microsoft Sentinel GitHub-lagringsplatsen har många andra spelboksmallar. Välj Distribuera till Azure för att distribuera en mall till din Azure-prenumeration. |
En spelboksmall är en ARM-mall (Azure Resource Manager) som innehåller flera resurser: ett Azure Logic Apps-arbetsflöde och API-anslutningar för varje anslutning.
Mer information finns i:
- Skapa och anpassa Microsoft Sentinel-spelböcker från innehållsmallar
- Rekommenderade spelboksmallar
- Azure Logic Apps för Microsoft Sentinel-spelböcker
Arbetsflöde för skapande och användning av spelböcker
Följ dessa steg för att skapa och köra Microsoft Sentinel-spelböcker:
Definiera ditt automatiseringsscenario. Gå igenom rekommenderade användningsfall för spelböcker och spelboksmallar för att komma igång.
Om du inte använder en mall skapar du din spelbok och skapar logikappen. Mer information finns i Skapa och hantera Microsoft Sentinel-spelböcker.
Testa logikappen genom att köra den manuellt. Mer information finns i Köra en spelbok manuellt på begäran.
Konfigurera din spelbok så att den körs automatiskt när en ny avisering eller incident skapas, eller kör den manuellt efter behov för din process. Mer information finns i Svara på hot med Microsoft Sentinel-spelböcker.