Automatisierung in Microsoft Sentinel: Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)

SIEM-Teams (Security Information and Event Management) und Security Operations Center (SOC) werden in der Regel regelmäßig mit Sicherheitswarnungen und Vorfällen überschwebt, und zwar in einem so großen Volumen, dass das verfügbare Personal überlastet ist. Dies führt nur allzu häufig in Situationen, in denen viele Warnungen ignoriert und viele Vorfälle nicht untersucht werden, wodurch die organization anfällig für Angriffe bleibt, die unbemerkt bleiben.

Microsoft Sentinel ist nicht nur ein SIEM-System, es ist auch eine Plattform für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation, and Response, SOAR). Einer seiner Hauptzwecke besteht darin, alle wiederkehrenden und vorhersagbaren Anreicherungs-, Reaktions- und Wartungsaufgaben zu automatisieren, die in der Verantwortung Ihres Sicherheitsbetriebszentrums und -personals (SOC/SecOps) liegen, um Zeit und Ressourcen für eine eingehendere Untersuchung und Suche nach erweiterten Bedrohungen freizugeben.

In diesem Artikel werden die SOAR-Funktionen von Microsoft Sentinel beschrieben und gezeigt, wie die Verwendung von Automatisierungsregeln und Playbooks als Reaktion auf Sicherheitsbedrohungen die Effektivität Ihres SOC erhöht und Ihnen Zeit und Ressourcen spart.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Automatisierungsregeln

Microsoft Sentinel verwendet Automatisierungsregeln, damit Benutzer die Automatisierung der Incidentbehandlung von einem zentralen Ort aus verwalten können. Verwenden Sie Automatisierungsregeln für Folgendes:

• Zuweisen einer erweiterten Automatisierung zu Incidents und Warnungen mithilfe von Playbooks
• Automatisches Markieren, Zuweisen oder Schließen von Incidents ohne Playbook
• Gleichzeitiges Automatisieren von Antworten für mehrere Analyseregeln
• Erstellen sie Listen mit Aufgaben, die Ihre Analysten beim Selektieren, Untersuchen und Beheben von Vorfällen ausführen müssen.
• Steuern der Reihenfolge der ausgeführten Aktionen

Es wird empfohlen, Automatisierungsregeln anzuwenden, wenn Incidents erstellt oder aktualisiert werden, um die Automatisierung weiter zu optimieren und komplexe Workflows für Ihre Incidentorchestrierungsprozesse zu vereinfachen.

Weitere Informationen finden Sie unter Automatisieren der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.

Playbooks

Ein Playbook ist eine Sammlung von Antwort- und Wiederherstellungsaktionen und Logik, die von Microsoft Sentinel als Routine ausgeführt werden kann. Ein Playbook kann:

• Hilfe bei der Automatisierung und Orchestrierung Ihrer Reaktion auf Bedrohungen
• Integration in andere Systeme, sowohl intern als auch extern
• Für die automatische Ausführung als Reaktion auf bestimmte Warnungen oder Incidents konfiguriert oder manuell bei Bedarf ausgeführt werden, z. B. als Reaktion auf neue Warnungen

In Microsoft Sentinel basieren Playbooks auf Workflows, die in Azure Logic Apps, einem Clouddienst, mit dem Sie Aufgaben und Workflows systemübergreifend im gesamten Unternehmen planen, automatisieren und orchestrieren können. Dies bedeutet, dass Playbooks von der Leistungsfähigkeit und Anpassbarkeit der Integrations- und Orchestrierungsfunktionen von Logic Apps und benutzerfreundlichen Designtools sowie von der Skalierbarkeit, Zuverlässigkeit und Serviceebene eines Tier 1-Azure-Diensts profitieren können.

Weitere Informationen finden Sie unter Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel.

Automatisierung im Microsoft Defender-Portal

Beachten Sie die folgenden Details zur Funktionsweise der Automatisierung für Microsoft Sentinel im Defender-Portal. Wenn Sie ein Bestandskunde sind, der vom Azure-Portal zum Defender-Portal wechselt, stellen Sie möglicherweise Unterschiede in der Art und Weise fest, wie die Automatisierung in Ihrem Arbeitsbereich nach dem Onboarding in das Defender-Portal funktioniert.

Funktionalität	Beschreibung
Automatisierungsregeln mit Warnungstriggern	Im Defender-Portal wirken Automatisierungsregeln mit Warnungstriggern nur auf Microsoft Sentinel Warnungen. Weitere Informationen finden Sie unter Trigger zum Erstellen von Warnungen.
Automatisierungsregeln mit Incidenttriggern	Sowohl im Azure-Portal als auch im Defender-Portal wird die Bedingungseigenschaft Incidentanbieter entfernt, da für alle Incidents Microsoft XDR als Incidentanbieter verwendet wird (der Wert im Feld ProviderName). An diesem Punkt werden alle vorhandenen Automatisierungsregeln sowohl für Microsoft Sentinel- als auch für Microsoft Defender XDR-Vorfälle ausgeführt, einschließlich solcher, bei denen die Incidentanbieterbedingung nur auf Microsoft Sentinel oder Microsoft 365 Defender festgelegt ist. Automatisierungsregeln, die einen bestimmten Analyseregelnamen angeben, werden jedoch nur für Incidents ausgeführt, die Warnungen enthalten, die von der angegebenen Analyseregel erstellt wurden. Dies bedeutet, dass Sie die Eigenschaft "Name der Analyseregel" für eine Analyseregel definieren können, die nur in Microsoft Sentinel vorhanden ist, um die Ausführung Ihrer Regel auf Incidents nur in Microsoft Sentinel zu beschränken. Außerdem enthält die Tabelle SecurityIncident nach dem Onboarding im Defender-Portal kein Beschreibungsfeld mehr. Daher: – Wenn Sie dieses Beschreibungsfeld als Bedingung für eine Automatisierungsregel mit einem Trigger für die Incidenterstellung verwenden, funktioniert diese Automatisierungsregel nach dem Onboarding im Defender-Portal nicht mehr. Stellen Sie in solchen Fällen sicher, dass Sie die Konfiguration entsprechend aktualisieren. Weitere Informationen finden Sie unter Incidenttriggerbedingungen. – Wenn Sie eine Integration mit einem externen Ticketsystem wie ServiceNow konfiguriert haben, fehlt die Incidentbeschreibung.
Latenz in Playbooktriggern	Es kann bis zu 5 Minuten dauern, bis Microsoft Defender Vorfälle in Microsoft Sentinel angezeigt werden. Wenn diese Verzögerung vorliegt, wird auch das Auslösen des Playbooks verzögert.
Änderungen an vorhandenen Incidentnamen	Das Defender-Portal verwendet eine eindeutige Engine, um Incidents und Warnungen zu korrelieren. Beim Onboarding Ihres Arbeitsbereichs in das Defender-Portal können vorhandene Incidentnamen geändert werden, wenn die Korrelation angewendet wird. Um sicherzustellen, dass Ihre Automatisierungsregeln immer ordnungsgemäß ausgeführt werden, sollten Sie daher die Verwendung von Incidenttiteln als Bedingungskriterien in Ihren Automatisierungsregeln vermeiden und stattdessen vorschlagen, den Namen aller Analyseregeln zu verwenden, die im Incident enthaltene Warnungen erstellt haben, und Tags, wenn mehr Spezifität erforderlich ist.
Aktualisiert nach Feld	Nach dem Onboarding Ihres Arbeitsbereichs enthält das Feld Aktualisiert nach einen neuen Satz unterstützter Werte, die Microsoft 365 Defender nicht mehr enthalten. In vorhandenen Automatisierungsregeln wird Microsoft 365 Defender nach dem Onboarding Ihres Arbeitsbereichs durch den Wert Sonstige ersetzt. Wenn in einem Zeitraum von 5 bis 10 Minuten mehrere Änderungen an demselben Vorfall vorgenommen werden, wird ein einzelnes Update an Microsoft Sentinel gesendet, wobei nur die letzte Änderung vorhanden ist. Weitere Informationen finden Sie unter Trigger für Incidentupdates.
Erstellen von Automatisierungsregeln direkt aus einem Incident	Das Erstellen von Automatisierungsregeln direkt aus einem Incident wird nur im Azure-Portal unterstützt. Wenn Sie im Defender-Portal arbeiten, erstellen Sie Ihre Automatisierungsregeln von Grund auf auf der Seite Automatisierung .
Regeln zur Erstellung von Microsoft-Vorfällen	Regeln zur Erstellung von Microsoft-Vorfällen werden im Defender-Portal nicht unterstützt. Weitere Informationen finden Sie unter Microsoft Defender XDR Incidents und Regeln zur Erstellung von Microsoft-Vorfällen.
Ausführen von Automatisierungsregeln über das Defender-Portal	Es kann bis zu 10 Minuten dauern, ab dem Zeitpunkt, zu dem eine Warnung ausgelöst und ein Incident im Defender-Portal erstellt oder aktualisiert wird, bis zu dem Zeitpunkt, zu dem eine Automatisierungsregel ausgeführt wird. Diese Verzögerung liegt daran, dass der Incident im Defender-Portal erstellt und dann an Microsoft Sentinel für die Automatisierungsregel weitergeleitet wird.
Registerkarte "Aktive Playbooks"	Nach dem Onboarding im Defender-Portal wird auf der Registerkarte Aktive Playbooks standardmäßig ein vordefinierter Filter mit dem Abonnement des integrierten Arbeitsbereichs angezeigt. Fügen Sie im Azure-Portal Mithilfe des Abonnementfilters Daten für andere Abonnements hinzu. Weitere Informationen finden Sie unter Erstellen und Anpassen Microsoft Sentinel Playbooks aus Vorlagen.
Manuelles Ausführen von Playbooks bei Bedarf	Die folgenden Verfahren werden derzeit im Defender-Portal nicht unterstützt: Manuelles Ausführen eines Playbooks für eine Warnung Manuelles Ausführen eines Playbooks für eine Entität
Das Ausführen von Playbooks für Incidents erfordert Microsoft Sentinel Synchronisierung	Wenn Sie versuchen, ein Playbook für einen Incident über das Defender-Portal auszuführen und die Meldung "Kann nicht auf Daten im Zusammenhang mit dieser Aktion zugreifen. Aktualisieren Sie den Bildschirm in einigen Minuten." angezeigt wird, bedeutet dies, dass der Incident noch nicht mit Microsoft Sentinel synchronisiert wurde. Aktualisieren Sie die Incidentseite, nachdem der Incident synchronisiert wurde, um das Playbook erfolgreich auszuführen.
Incidents: Hinzufügen von Warnungen zu Incidents / Entfernen von Warnungen aus Incidents	Da das Hinzufügen von Warnungen zu oder das Entfernen von Warnungen aus Incidents nach dem Onboarding Ihres Arbeitsbereichs in das Defender-Portal nicht unterstützt wird, werden diese Aktionen auch in Playbooks nicht unterstützt. Weitere Informationen finden Sie unter Verstehen, wie Warnungen korreliert und Incidents im Defender-Portal zusammengeführt werden.
Microsoft Defender XDR Integration in mehrere Arbeitsbereiche	Wenn Sie XDR-Daten mit mehr als einem Arbeitsbereich in einem einzelnen Mandanten integriert haben, werden die Daten jetzt nur noch im primären Arbeitsbereich im Defender-Portal erfasst. Übertragen Sie Automatisierungsregeln in den relevanten Arbeitsbereich, damit sie weiterhin ausgeführt werden.
Automatisierung und die Korrelations-Engine	Die Korrelations-Engine kann Warnungen von mehreren Signalen in einem einzelnen Incident kombinieren, was dazu führen kann, dass die Automatisierung Daten empfängt, die Sie nicht erwartet haben. Es wird empfohlen, Ihre Automatisierungsregeln zu überprüfen, um sicherzustellen, dass die erwarteten Ergebnisse angezeigt werden.

Verwandte Inhalte

• Automatisieren der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln
• Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel
• Erstellen und Verwenden von Microsoft Sentinel Automatisierungsregeln zum Verwalten von Antworten