Automatizace v Microsoft Sentinelu: Orchestrace zabezpečení, automatizace a reakce (SOAR)

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Týmy siEM (Security Information and Event Management) a security operations center (SOC) jsou obvykle zahlcené výstrahami zabezpečení a incidenty pravidelně, a to v objemech tak velké, že jsou k dispozici pracovníci zahlceni. Výsledkem je to příliš často v situacích, kdy se ignoruje mnoho výstrah a mnoho incidentů se nevyšetří, takže organizace bude zranitelná vůči útokům, které nejsou nepozorované.

Microsoft Sentinel je kromě systému SIEM také platformou pro orchestraci zabezpečení, automatizaci a reakci (SOAR). Jedním z jeho primárních účelů je automatizovat opakované a předvídatelné rozšiřování, reakce a nápravné úlohy, které jsou zodpovědností vašeho centra pro provoz zabezpečení a pracovníků (SOC/SecOps), uvolnění času a prostředků pro podrobnější zkoumání a proaktivní vyhledávání pokročilých hrozeb.

Tento článek popisuje možnosti SOAR služby Microsoft Sentinel a ukazuje, jak použití pravidel automatizace a playbooků v reakci na bezpečnostní hrozby zvyšuje efektivitu SOC a šetří vám čas a prostředky.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Pravidla automatizace

Microsoft Sentinel používá pravidla automatizace, která uživatelům umožňují spravovat automatizaci zpracování incidentů z centrálního umístění. Pomocí pravidel automatizace můžete:

• Přiřazení pokročilejší automatizace k incidentům a výstrahám pomocí playbooků
• Automatické označování, přiřazování nebo zavírání incidentů bez playbooku
• Automatizace odpovědí pro více analytických pravidel najednou
• Vytvoření seznamů úkolů pro analytiky, které mají provádět při třídění, vyšetřování a opravách incidentů
• Řízení pořadí spuštěných akcí

Doporučujeme, abyste při vytváření nebo aktualizaci incidentů použili pravidla automatizace, abyste mohli automatizaci dále zjednodušit a zjednodušit složité pracovní postupy pro procesy orchestrace incidentů.

Další informace najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace.

Playbooky

Playbook je kolekce akcí odpovědí a nápravných akcí a logiky, které je možné spouštět z Microsoft Sentinelu jako rutinu. Playbook může:

• Pomoc s automatizací a orchestracem reakce na hrozby
• Integrace s jinými systémy, interními i externími
• Můžete nakonfigurovat automatické spouštění v reakci na konkrétní výstrahy nebo incidenty nebo ručně na vyžádání, například v reakci na nová upozornění.

V Microsoft Sentinelu jsou playbooky založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která pomáhá plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. To znamená, že playbooky můžou využívat všechny možnosti a možnosti přizpůsobení integrace a orchestrace Logic Apps a snadno použitelné nástroje pro návrh a škálovatelnost, spolehlivost a úroveň služeb služby Azure vrstvy 1.

Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.

Automatizace s využitím sjednocené provozní platformy zabezpečení

Po onboardingu pracovního prostoru Microsoft Sentinelu na sjednocenou platformu operací zabezpečení si všimněte následujících rozdílů ve způsobu, jakým funkce automatizace v pracovním prostoru fungují:

Funkce	Popis
Pravidla automatizace s triggery upozornění	V rámci sjednocené provozní platformy zabezpečení fungují pravidla automatizace s triggery upozornění pouze na výstrahy Služby Microsoft Sentinel. Další informace najdete v tématu Aktivační událost vytvoření výstrahy.
Pravidla automatizace s triggery incidentů	Na webu Azure Portal i na sjednocené platformě operací zabezpečení se odebere vlastnost podmínky zprostředkovatele incidentu, protože všechny incidenty mají jako zprostředkovatele incidentu XDR v programu Microsoft Defender (hodnota v poli ProviderName ). V tomto okamžiku se všechna existující pravidla automatizace spouští u incidentů Microsoft Sentinelu i XDR v programu Microsoft Defender, včetně těch, ve kterých je podmínka poskytovatele incidentu nastavená jenom na Microsoft Sentinel nebo Microsoft 365 Defender. Pravidla automatizace, která určují konkrétní název analytického pravidla, se ale spustí jenom u incidentů vytvořených zadaným analytickým pravidlem. To znamená, že vlastnost podmínky názvu analytického pravidla můžete definovat na analytické pravidlo, které existuje pouze v Microsoft Sentinelu, aby se vaše pravidlo omezilo na incidenty pouze v Microsoft Sentinelu. Další informace najdete v tématu Podmínky triggeru incidentu.
Změny existujících názvů incidentů	Na sjednocené provozní platformě SOC používá portál Defender jedinečný modul ke korelaci incidentů a výstrah. Při onboardingu pracovního prostoru do sjednocené provozní platformy SOC se můžou při použití korelace změnit existující názvy incidentů. Pokud chcete zajistit, aby pravidla automatizace vždy fungovala správně, doporučujeme proto, abyste se vyhnuli používání názvů incidentů v pravidlech automatizace a doporučujeme místo toho použít značky.
Aktualizováno podle pole	Po onboardingu pracovního prostoru obsahuje pole Aktualizováno novou sadu podporovaných hodnot, které už nezahrnují Microsoft 365 Defender. V existujících pravidlech automatizace se Microsoft 365 Defender nahradí hodnotou Jiné po připojení pracovního prostoru. Pokud se ve stejném incidentu v 5 až 10minutovém období provede několik změn, odešle se do Microsoft Sentinelu jedna aktualizace s pouze poslední změnou. Další informace najdete v tématu Aktivační událost aktualizace incidentu.
Pravidla automatizace, která přidávají úlohy incidentů	Pokud pravidlo automatizace přidá úlohu incidentu, úloha se zobrazí jenom na webu Azure Portal.
Pravidla vytváření incidentů Microsoftu	Pravidla vytváření incidentů Microsoftu nejsou podporována na sjednocené platformě operací zabezpečení. Další informace najdete v tématu Incidenty XDR v programu Microsoft Defender a pravidla vytváření incidentů Microsoftu.
Spouštění pravidel automatizace z portálu Defender	Spuštění pravidla automatizace může trvat až 10 minut od aktivace výstrahy a vytvoření nebo aktualizace incidentu na portálu Defender. Tato prodleva je způsobená tím, že se incident vytvoří na portálu Defender a pak se předá službě Microsoft Sentinel pro pravidlo automatizace.
Karta Aktivní playbooky	Po onboardingu na sjednocenou platformu operací zabezpečení se ve výchozím nastavení na kartě Aktivní playbooky zobrazí předdefinovaný filtr s předdefinovaným předplatným pracovního prostoru. Na webu Azure Portal přidejte data pro jiná předplatná pomocí filtru předplatného. Další informace najdete v tématu Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu.
Ruční spouštění playbooků na vyžádání	V současné době nejsou v jednotné platformě operací zabezpečení podporovány následující postupy: Ruční spuštění playbooku u výstrahy Ruční spuštění playbooku u entity (Preview)
Spouštění playbooků v incidentech vyžaduje synchronizaci Microsoft Sentinelu.	Pokud se pokusíte spustit playbook na incidentu z sjednocené provozní platformy zabezpečení a zobrazí se zpráva "Nejde získat přístup k datům souvisejícím s touto akcí. Aktualizujte obrazovku za několik minut.". to znamená, že incident ještě není synchronizovaný s Microsoft Sentinelem. Aktualizujte stránku incidentu po synchronizaci incidentu, aby se playbook úspěšně spustil.

Související obsah

• Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace
• Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu
• Vytváření a používání pravidel automatizace microsoft Sentinelu ke správě odpovědí