Migrieren der IBM Security QRadar SOAR-Automatisierung zu Microsoft Sentinel
Microsoft Sentinel bietet Funktionen für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation und Response, SOAR) mit Automatisierungsregeln und Playbooks. Automatisierungsregeln automatisieren die Behandlung von und die Reaktion auf Incidents, und Playbooks führen vordefinierte Sequenzen von Aktionen aus, um auf Bedrohungen zu reagieren und sie zu beheben. In diesem Artikel wird erläutert, wie Sie SOAR-Anwendungsfälle identifizieren und Ihre IBM Security QRadar-SOAR-Automatisierung zu Microsoft Sentinel migrieren.
Automatisierungsregeln vereinfachen komplexe Workflows für Ihre Incidentorchestrierungsprozesse und ermöglichen Ihnen die zentrale Verwaltung der Automatisierung der Behandlung von Incidents.
Automatisierungsregeln ermöglichen Ihnen Folgendes:
- Sie können einfache Automatisierungsaufgaben ausführen, ohne Playbooks verwenden zu müssen. So können Sie z. B. Incidents zuweisen, kennzeichnen, den Status ändern und Incidents schließen.
- Sie können Reaktionen für mehrere Analyseregeln gleichzeitig automatisieren.
- Sie können die Reihenfolge der auszuführenden Aktionen steuern.
- Sie können Playbooks für die Fälle ausführen, in denen komplexere Automatisierungsaufgaben erforderlich sind.
Identifizieren von SOAR-Anwendungsfällen
Im Folgenden erfahren Sie, welche Aspekte Sie beim Migrieren von SOAR-Anwendungsfällen von IBM Security QRadar SOAR berücksichtigen müssen.
- Qualität der Anwendungsfälle. Wählen Sie gute Anwendungsfälle für die Automatisierung aus. Anwendungsfälle sollten auf klar definierten Verfahren mit minimalen Abweichungen und einer niedrigen Rate falsch positiver Ergebnisse basieren. Für die Automatisierung sollten effiziente Anwendungsfälle verwendet werden.
- Manueller Eingriff. Automatisierte Reaktionen können weitreichende Auswirkungen haben, und bei Automatisierungen mit hohen Auswirkungen sollte ein Mensch eingreifen, um Aktionen mit hoher Auswirkung zu bestätigen, bevor sie ausgeführt werden.
- Binäre Kriterien. Um den Erfolg von Reaktionen zu erhöhen, sollten Entscheidungspunkte innerhalb eines automatisierten Workflows mit binären Kriterien so weit wie möglich eingeschränkt werden. Binäre Kriterien reduzieren die Notwendigkeit menschlicher Eingriffe und verbessern die Vorhersagbarkeit der Ergebnisse.
- Genaue Warnungen oder Daten. Reaktionsaktionen hängen von der Genauigkeit von Signalen wie Warnungen ab. Warnungen und Anreicherungsquellen sollten zuverlässig sein. Microsoft Sentinel-Ressourcen wie Watchlists und zuverlässige Informationen zu Bedrohungen (Threat Intelligence) können die Zuverlässigkeit erhöhen.
- Die Rolle des Analysten. Auch wenn eine möglichst weitgehende Automatisierung durchaus sinnvoll ist, sollten Sie komplexere Aufgaben für Analysten reservieren und ihnen die Möglichkeit bieten, bei Workflows mitzuwirken, die eine Überprüfung erfordern. Kurz gesagt: Die Automatisierung von Reaktionen sollte die Fähigkeiten der Analysten ergänzen und erweitern.
Migrieren des SOAR-Workflows
In diesem Abschnitt wird gezeigt, wie wichtige SOAR-Konzepte in IBM Security QRadar SOAR in Microsoft Sentinel-Komponenten übersetzt werden. Der Abschnitt enthält außerdem allgemeine Richtlinien zum Migrieren der einzelnen Schritte oder Komponenten im SOAR-Workflow.
| Schritt (im Diagramm) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Definieren Sie Regeln und Bedingungen. | Definieren Sie Automatisierungsregeln. |
| 2 | Führen Sie Aktivitäten in einer vorgegebenen Reihenfolge aus. | Führen Sie Automatisierungsregeln aus, die mehrere Playbooks enthalten. |
| 3 | Führen Sie ausgewählte Workflows aus. | Führen Sie andere Playbooks gemäß den Tags aus, die von Playbooks angewendet wurden, die zuvor ausgeführt wurden. |
| 4 | Posten Sie Daten an Nachrichtenziele. | Führen Sie Codeaschnipsel mithilfe von Inlineaktionen in Logic Apps aus. |
Zuordnen von SOAR-Komponenten
Hier können Sie sehen, welche Microsoft Sentinel- oder Azure Logic Apps-Features den wichtigsten QRadar SOAR-Komponenten entsprechen/zugeordnet sind.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Regeln | Analyseregeln, die an Playbooks oder Automatisierungsregeln angefügt sind |
| Gateway | Bedingung – Steuerung |
| Skripts | Inlinecode |
| Benutzerdefinierte Aktionsprozessoren | Benutzerdefinierte API-Aufrufe in Azure Logic Apps oder Drittanbieterconnectors |
| Functions | Azure Functions-Connector |
| Nachrichtenziele | Azure Logic Apps mit Azure Service Bus |
| IBM X-Force Exchange | • Automatisierung > Registerkarte „Vorlagen“ • Inhaltshubkatalog • GitHub |
Operationalisieren von Playbooks und Automatisierungsregeln in Microsoft Sentinel
Die meisten Playbooks, die Sie mit Microsoft Sentinel verwenden, sind entweder unter Automatisierung > Registerkarte „Vorlagen“, im Inhaltshubkatalog oder auf GitHub verfügbar. In einigen Fällen müssen Sie jedoch möglicherweise Playbooks von Grund auf neu oder anhand vorhandener Vorlagen erstellen.
In der Regel erstellen Sie Ihre benutzerdefinierte Logik-App mithilfe des Logik-App-Designers von Azure. Der Code für Logik-Apps basiert auf Azure Resource Manager-Vorlagen (ARM-Vorlagen), die die Entwicklung, Bereitstellung und Portabilität von Azure Logic Apps in mehreren Umgebungen erleichtern. Um Ihr benutzerdefiniertes Playbook in eine portierbare ARM-Vorlage zu konvertieren, können Sie den ARM-Vorlagengenerator verwenden.
Verwenden Sie diese Ressourcen in Fällen, in denen Sie Ihre eigenen Playbooks entweder von Grund auf neu oder anhand vorhandener Vorlagen erstellen müssen.
- Automatisieren der Behandlung von Vorfällen in Microsoft Sentinel
- Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
- Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel
- Verwenden von Microsoft Sentinel für die Reaktion auf Vorfälle, Orchestrierung und Automatisierung
- Adaptive Karten zur Verbesserung der Reaktion auf Incidents in Microsoft Sentinel
Bewährte Methoden nach der SOAR-Migration
Im Folgenden finden Sie bewährte Methoden, die Sie nach der SOAR-Migration berücksichtigen sollten:
- Testen Sie Ihre Playbooks nach der Migration umfassend, um sicherzustellen, dass die migrierten Aktionen wie erwartet funktionieren.
- Überprüfen Sie regelmäßig Ihre Automatisierungen, um Möglichkeiten zu ermitteln, wie Sie Ihre SOAR weiter vereinfachen oder verbessern können. Microsoft Sentinel fügt ständig neue Connectors und Aktionen hinzu, mit denen Sie Ihre aktuellen Reaktionsimplementierungen weiter vereinfachen oder deren Effektivität erhöhen können.
- Überwachen Sie die Leistung Ihrer Playbooks mithilfe der Arbeitsmappe zur Überwachung der Integrität von Playbooks.
- Verwenden Sie verwaltete Identitäten und Dienstprinzipale: Authentifizieren Sie sich bei verschiedenen Azure-Diensten in Ihren Logik-Apps, speichern Sie die Geheimnisse in Azure Key Vault, und verbergen Sie die Ausgabe der Flowausführung. Außerdem empfehlen wir Ihnen, die Aktivitäten dieser Dienstprinzipale zu überwachen.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre SOAR-Automatisierung von IBM Security QRadar SOAR Microsoft Sentinel zuordnen können.