Použití úloh ke správě incidentů v Microsoft Sentinelu

  • Článek

Jedním z nejdůležitějších faktorů efektivního spouštění operací zabezpečení (SecOps) je standardizace procesů. Analytici SecOps se očekávají, že v procesu třídění, vyšetřování nebo nápravy incidentu provádějí seznam kroků nebo úkolů. Standardizace a formalizace seznamu úkolů vám může pomoct zajistit bezproblémové fungování SOC a zajistit tak stejné požadavky pro všechny analytiky. Tímto způsobem, bez ohledu na to, kdo je na směně, incident vždy dostane stejnou léčbu a smlouvy SLA. Analytici nebudou muset trávit čas přemýšlet o tom, co dělat, nebo si dělat starosti s chybějícím kritickým krokem. Tyto kroky jsou definovány manažerem SOC nebo vedoucími analytiky (vrstva 2/3) na základě běžných znalostí zabezpečení (například NIST), zkušeností s minulými incidenty nebo doporučeními od dodavatele zabezpečení, který incident zjistil.

Případy použití

  • Vaši analytici SOC můžou použít jeden centrální kontrolní seznam ke zpracování procesů třídění, vyšetřování a reakce incidentů, aniž by se museli starat o chybějící kritický krok.

  • Technici SOC nebo vedoucí analytici můžou dokumentovat, aktualizovat a sladit standardy reakce na incidenty napříč týmy analytiků a směnami. Můžou také vytvářet kontrolní seznamy úkolů pro trénování nových analytiků nebo analytiků, kteří narazí na nové typy incidentů.

  • Jako správce SOC nebo jako poskytovatel MSSP můžete zajistit, aby se incidenty zpracovávaly v souladu s příslušnými smlouvami SLA/SOPs.

Požadavky

Role Responder služby Microsoft Sentinel je nutná k vytváření pravidel automatizace a k zobrazení a úpravám incidentů, z nichž obě jsou nezbytné k přidání, zobrazení a úpravám úkolů.

K vytváření a úpravám playbooků se vyžaduje role Přispěvatel Pro Logic Apps.

Scénáře

Analytik

Při zpracování incidentu postupujte podle úkolů.

Když vyberete incident a zobrazíte úplné podrobnosti, zobrazí se na stránce s podrobnostmi incidentu na pravém panelu všechny úkoly přidané do tohoto incidentu, ať už ručně, nebo podle pravidel automatizace.

Rozbalením úkolu zobrazíte úplný popis, včetně uživatele, pravidla automatizace nebo playbooku, který ho vytvořil.

Úkol označte jako dokončený tak, že vyberete jeho kruh zaškrtávacího políčka.

Screenshot of incident tasks panel for analysts on incident details screen.

Přidání úkolů do incidentu na místě

Úkoly můžete přidat do otevřeného incidentu, na kterém pracujete, a to buď tak, abyste si dali připomenutí akcí, které jste zjistili, že je potřeba provést, nebo k zaznamenání akcí, které jste provedli ve své vlastní iniciativě, které se v seznamu úkolů nezobrazují. Úkoly přidané tímto způsobem budou platit pouze pro otevřený incident.

Tvůrce pracovního postupu

Přidání úkolů do incidentů pomocí pravidel automatizace

Pomocí akce Přidat úlohu v pravidlech automatizace automaticky zařaďte všechny incidenty kontrolním seznamem úkolů pro analytiky. Nastavte podmínku názvu pravidla analytics v pravidlu automatizace a určete rozsah:

  • Pravidlo automatizace použijte u všech analytických pravidel , aby bylo možné definovat standardní sadu úloh, které se mají použít pro všechny incidenty.

  • Když použijete pravidlo automatizace na omezenou sadu analytických pravidel, můžete konkrétním incidentům přiřadit konkrétní úlohy podle hrozeb zjištěných analytickým pravidlem nebo pravidly, která tyto incidenty vygenerovala.

Vezměte v úvahu, že pořadí, ve kterém se úkoly zobrazují ve vašem incidentu, určuje čas vytvoření úkolů. Pořadí pravidel automatizace můžete nastavit tak, aby pravidla, která přidávají úkoly požadované pro všechny incidenty, se spustila jako první a teprve potom se spustí všechna pravidla, která přidávají úkoly vyžadované pro incidenty generované konkrétními analytickými pravidly. V rámci jednoho pravidla určuje pořadí, ve kterém jsou definovány akce, pořadí, ve kterém se zobrazují v incidentu.

Než vytvoříte nové pravidlo automatizace, podívejte se, na které incidenty se vztahují stávající pravidla automatizace a úlohy.
Pomocí filtru akce v seznamu pravidel automatizace můžete zobrazit jenom ta pravidla, která přidávají úkoly do incidentů, a zjistěte, na která analytická pravidla se tato pravidla automatizace vztahují, abyste pochopili, ke kterým incidentům se tyto úkoly přidají.

Přidání úkolů do incidentů pomocí playbooků

Pomocí akce Přidat úkol v playbooku (v konektoru Microsoft Sentinel) můžete automaticky přidat úkol do incidentu, který playbook aktivoval.

Potom pomocí dalších akcí playbooku v příslušných konektorech Logic Apps dokončete obsah úlohy.

Nakonec pomocí akce Označit úkol jako dokončený (znovu v konektoru Microsoft Sentinelu) označte úkol jako dokončený.

Jako příklady vezměte v úvahu následující scénáře:

  • Nechte playbooky přidávat a provádět úkoly: Když se incident vytvoří, aktivuje playbook, který provede následující akce:

    1. Přidá do incidentu úkol pro resetování hesla uživatele.
    2. Provede úlohu vydáním volání rozhraní API systému zřizování uživatelů za účelem resetování hesla uživatele.
    3. Čeká na odpověď systému, pokud jde o úspěch nebo selhání resetování.
      • Pokud bylo resetování hesla úspěšné, playbook označí úkol, který právě vytvořil v incidentu, jako dokončený.
      • Pokud se resetování hesla nepovedlo, playbook ho neoznačí jako dokončený a nezanechá ho analytikům, aby ho provedl.

  • Playbook vyhodnoťte, jestli by se měly přidat podmíněné úkoly: Když se incident vytvoří, aktivuje playbook, který požádá o sestavu IP adres z externího zdroje analýzy hrozeb.

    • Pokud je IP adresa škodlivá, playbook přidá určitou úlohu (například "Blokovat tuto IP adresu").
    • V opačném případě playbook neprobere žádnou další akci.

Chcete přidat úkoly pomocí pravidel automatizace nebo playbooků?

Jaké aspekty by měly určovat, které z těchto metod by se měly použít k vytváření úkolů incidentů?

  • Pravidla automatizace: Používejte je, kdykoli je to možné. Slouží pro prosté statické úlohy, které nevyžadují interaktivitu.
  • Playbooky: Slouží k pokročilým případům použití – vytváření úkolů na základě podmínek nebo úkolů s integrovanými automatizovanými akcemi.

Další kroky