Automatisierung in Microsoft Sentinel: Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR)
Teams für Security Information & Event Management (SIEM) und Security Operations Center (SOC) werden regelmäßig mit Sicherheitswarnungen und -vorfällen überschwemmt, und zwar in einem so großen Umfang, dass das verfügbare Personal überfordert ist. Dies führt häufig dazu, dass viele Alarme ignoriert und viele Incidents nicht untersucht werden, wodurch ein Unternehmen anfällig für Angriffe wird, die unbemerkt bleiben.
Microsoft Sentinel ist nicht nur ein SIEM-System, sondern auch eine Plattform für Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR). Einer der Hauptzwecke besteht darin, wiederkehrende und vorhersagbare Anreicherungs-, Reaktions- und Problembehandlungsaufgaben zu automatisieren, die in die Verantwortung Ihres Security Operations Center und -Personals (SOC/SecOps) fallen, und so Zeit und Ressourcen für eine ausführlichere Untersuchung und Suche nach erweiterten Bedrohungen freizugeben.
In diesem Artikel werden die Funktionen für SOAR von Microsoft Sentinel vorgestellt. Außerdem wird erläutert, wie durch Verwendung von Automatisierungsregeln und Playbooks als Reaktion auf Sicherheitsbedrohungen die Effektivität Ihres SOC erhöht wird und Sie Zeit und Ressourcen sparen.
Wichtig
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Automatisierungsregeln
Microsoft Sentinel verwendet Automatisierungsregeln, um Benutzern die Verwaltung der Automatisierung zur Behandlung von Vorfällen von einem zentralen Standort aus zu ermöglichen. Verwenden Sie Automatisierungsregeln zum:
- Zuweisen erweiterter Automatisierung zu Vorfällen und Warnungen mithilfe von Playbooks
- Automatischen Markieren, Zuweisen oder Schließen von Vorfällen ohne Playbook
- Automasieren von Reaktionen für mehrere Analyseregeln gleichzeitig
- Erstellen von Listen mit Aufgaben für Ihre Analysten, die bei der Triagierung, Untersuchung und Behebung von Vorfällen ausgeführt werden sollen
- Steuern der Reihenfolge der ausgeführten Aktionen
Es wird empfohlen, Automatisierungsregeln anzuwenden, wenn Vorfälle erstellt oder aktualisiert werden, um die Automatisierung weiter zu optimieren und komplexe Workflows für Ihre Vorfall-Orchestrierungsprozesse zu vereinfachen.
Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.
Playbooks
Ein Playbook ist eine Sammlung von Reaktions- und Problembehandlungsmaßnahmen und -logik, die von Microsoft Sentinel als Routine ausgeführt werden können. Ein Playbook kann:
- Helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren
- Integration in andere Systeme, sowohl intern als auch extern
- So konfiguriert werden, dass es automatisch als Reaktion auf bestimmte Warnungen oder Vorfälle oder bei Bedarf manuell ausgeführt wird, z. B. als Reaktion auf neue Warnungen
In Microsoft Sentinel basieren Playbooks auf Workflows, die in Azure Logic Apps erstellt wurden, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können. Dies bedeutet, dass Playbooks von der Leistungsfähigkeit und der Anpassbarkeit der Integrations- und Orchestrierungsfunktionen von Logic Apps und den benutzerfreundlichen Entwurfstools sowie der Skalierbarkeit, der Zuverlässigkeit und dem Servicelevel eines Tarif 1-Azure-Diensts profitieren können.
Weitere Informationen finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.
Automatisierung mit der einheitlichen Security Operations-Plattform
Beachten Sie nach dem Onboarding Ihres Microsoft Sentinel-Arbeitsbereichs auf der einheitlichen Security Operations-Plattform die folgenden Unterschiede in der Art und Weise, wie Automatisierungsfunktionen in Ihrem Arbeitsbereich funktionieren:
Funktionalität | Beschreibung |
---|---|
Automatisierungsregeln mit Warnungstriggern | Auf der einheitlichen Security Operations-Plattform reagieren Automatisierungsregeln mit Warnungstriggern nur bei Microsoft Sentinel-Warnungen. Weitere Informationen finden Sie unter Erstellen von Triggern aus Warnungen. |
Automatisierungsregeln mit Incidenttriggern | Sowohl im Azure-Portal als auch auf der einheitlichen Security Operations-Plattform wird die Bedingungseigenschaft Incidentanbieter entfernt, da alle Incidents Microsoft Defender XDR als Incidentanbieter haben (der Wert im Feld ProviderName). Zu diesem Zeitpunkt werden alle vorhandenen Automatisierungsregeln sowohl für Microsoft Sentinel- als auch für Microsoft Defender XDR-Incidents ausgeführt, einschließlich derer, bei denen die Bedingung Incidentanbieter nur auf Microsoft Sentinel oder Microsoft 365 Defender festgelegt ist. Automatisierungsregeln, die einen bestimmten Analyseregelnamen angeben, werden jedoch nur für die Incidents ausgeführt, die von der angegebenen Analyseregel erstellt wurden. Dies bedeutet, dass Sie die Bedingungseigenschaft Analyseregelname mit einer Analyseregel definieren können, die nur in Microsoft Sentinel vorhanden ist, um Ihre Regel auf Incidents ausschließlich in Microsoft Sentinel zu beschränken. Weitere Informationen finden Sie unter Bedingungen für Incidenttrigger. |
Änderungen an vorhandenen Incidentnamen | In der einheitlichen SOC-Betriebsplattform verwendet das Defender-Portal ein eindeutiges Modul, um Incidents und Warnungen zu korrelieren. Wenn Sie Ihren Arbeitsbereich in die einheitliche SOC-Betriebsplattform integrieren, werden vorhandene Incidentnamen möglicherweise geändert, wenn die Korrelation angewendet wird. Um sicherzustellen, dass Ihre Automatisierungsregeln immer korrekt ausgeführt werden, wird deshalb empfohlen, die Verwendung von Vorfallstiteln als Bedingungskriterien in Ihren Automatisierungsregeln zu vermeiden und stattdessen den Namen der Analyseregel, die den Vorfall erzeugt hat, sowie Tags zu verwenden, wenn höhere Genauigkeit erforderlich ist. |
Feld Aktualisiert durch | Weitere Informationen finden Sie unter Trigger für Incidentupdates. |
Automatisierungsregeln zum Hinzufügen von Incidentaufgaben | Wenn eine Automatisierungsregel eine Incidentaufgabe hinzufügt, wird die Aufgabe nur im Azure-Portal angezeigt. |
Microsoft-Regeln zum Erstellen von Incidents | Microsoft-Regeln zur Erstellung von Incidents werden auf der einheitlichen Security Operations-Plattform nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender XDR-Vorfälle und Microsoft-Vorfallerstellungsregeln. |
Ausführen von Automatisierungsregeln aus dem Defender-Portal | Es kann bis zu 10 Minuten dauern, bis eine Automatisierungsregel ausgeführt wird, nachdem eine Warnung ausgelöst und ein Incident im Defender-Portal erstellt oder aktualisiert wurde. Diese Verzögerung ist darauf zurückzuführen, dass der Incident im Defender-Portal erstellt und dann an Microsoft Sentinel für die Automatisierungsregel weitergeleitet wird. |
Registerkarte „Aktive Playbooks“ | Nach dem Onboarding auf der einheitlichen Security Operations-Plattform wird auf der Registerkarte Aktive Playbooks standardmäßig ein vordefinierter Filter mit dem Abonnement des integrierten Arbeitsbereichs angezeigt. Fügen Sie im Azure-Portal mithilfe des Abonnementfilters Daten für andere Abonnements hinzu. Weitere Informationen finden Sie unter Erstellen und Anpassen von Microsoft Sentinel-Playbooks aus Inhaltsvorlagen. |
Manuelles Ausführen von Playbooks bei Bedarf | Die folgenden Verfahren werden auf der einheitlichen Security Operations-Plattform aktuell nicht unterstützt: |
Das Ausführen von Playbooks nach Incidents erfordert die Microsoft Sentinel-Synchronisierung | Wenn Sie versuchen, ein Playbook für einen Incident von der einheitlichen Security Operations-Plattform aus auszuführen und die Meldung „Auf Daten zu diesem Vorgang kann nicht zugegriffen werden. Aktualisieren Sie den Bildschirm in ein paar Minuten.“ angezeigt wird, bedeutet dies, dass der Vorfall noch nicht mit Microsoft Sentinel synchronisiert wurde. Aktualisieren Sie die Incidentseite, nachdem der Vorfall synchronisiert wurde, um das Playbook erfolgreich auszuführen. |
Vorfälle: Hinzufügen von Warnungen zu Vorfällen/ Entfernen von Warnungen aus Vorfällen |
Da das Hinzufügen von Warnungen oder das Entfernen von Warnungen aus Vorfällen nach dem Onboarding Ihres Arbeitsbereichs in der einheitlichen Plattform für Sicherheitsvorgänge nicht unterstützt wird, werden diese Aktionen auch nicht in Playbooks unterstützt. Weitere Informationen finden Sie unter Funktionsunterschiede zwischen den Portalen. |