Freigeben über


Migrieren der IBM Security QRadar SOAR-Automatisierung zu Microsoft Sentinel

Microsoft Sentinel bietet Funktionen für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation und Response, SOAR) mit Automatisierungsregeln und Playbooks. Automatisierungsregeln automatisieren die Behandlung von und die Reaktion auf Incidents, und Playbooks führen vordefinierte Sequenzen von Aktionen aus, um auf Bedrohungen zu reagieren und sie zu beheben. In diesem Artikel wird erläutert, wie Sie SOAR-Anwendungsfälle identifizieren und Ihre IBM Security QRadar-SOAR-Automatisierung zu Microsoft Sentinel migrieren.

Automatisierungsregeln vereinfachen komplexe Workflows für Ihre Incidentorchestrierungsprozesse und ermöglichen Ihnen die zentrale Verwaltung der Automatisierung der Behandlung von Incidents.

Automatisierungsregeln ermöglichen Ihnen Folgendes:

  • Sie können einfache Automatisierungsaufgaben ausführen, ohne Playbooks verwenden zu müssen. So können Sie z. B. Incidents zuweisen, kennzeichnen, den Status ändern und Incidents schließen.
  • Sie können Reaktionen für mehrere Analyseregeln gleichzeitig automatisieren.
  • Sie können die Reihenfolge der auszuführenden Aktionen steuern.
  • Sie können Playbooks für die Fälle ausführen, in denen komplexere Automatisierungsaufgaben erforderlich sind.

Identifizieren von SOAR-Anwendungsfällen

Im Folgenden erfahren Sie, welche Aspekte Sie beim Migrieren von SOAR-Anwendungsfällen von IBM Security QRadar SOAR berücksichtigen müssen.

  • Qualität der Anwendungsfälle. Wählen Sie gute Anwendungsfälle für die Automatisierung aus. Anwendungsfälle sollten auf klar definierten Verfahren mit minimalen Abweichungen und einer niedrigen Rate falsch positiver Ergebnisse basieren. Für die Automatisierung sollten effiziente Anwendungsfälle verwendet werden.
  • Manueller Eingriff. Automatisierte Reaktionen können weitreichende Auswirkungen haben, und bei Automatisierungen mit hohen Auswirkungen sollte ein Mensch eingreifen, um Aktionen mit hoher Auswirkung zu bestätigen, bevor sie ausgeführt werden.
  • Binäre Kriterien. Um den Erfolg von Reaktionen zu erhöhen, sollten Entscheidungspunkte innerhalb eines automatisierten Workflows mit binären Kriterien so weit wie möglich eingeschränkt werden. Binäre Kriterien reduzieren die Notwendigkeit menschlicher Eingriffe und verbessern die Vorhersagbarkeit der Ergebnisse.
  • Genaue Warnungen oder Daten. Reaktionsaktionen hängen von der Genauigkeit von Signalen wie Warnungen ab. Warnungen und Anreicherungsquellen sollten zuverlässig sein. Microsoft Sentinel-Ressourcen wie Watchlists und zuverlässige Informationen zu Bedrohungen (Threat Intelligence) können die Zuverlässigkeit erhöhen.
  • Die Rolle des Analysten. Auch wenn eine möglichst weitgehende Automatisierung durchaus sinnvoll ist, sollten Sie komplexere Aufgaben für Analysten reservieren und ihnen die Möglichkeit bieten, bei Workflows mitzuwirken, die eine Überprüfung erfordern. Kurz gesagt: Die Automatisierung von Reaktionen sollte die Fähigkeiten der Analysten ergänzen und erweitern.

Migrieren des SOAR-Workflows

In diesem Abschnitt wird gezeigt, wie wichtige SOAR-Konzepte in IBM Security QRadar SOAR in Microsoft Sentinel-Komponenten übersetzt werden. Der Abschnitt enthält außerdem allgemeine Richtlinien zum Migrieren der einzelnen Schritte oder Komponenten im SOAR-Workflow.

Diagramm mit den QRadar- und Microsoft Sentinel-SOAR-Workflows.

Schritt (im Diagramm) IBM Security QRadar SOAR Microsoft Sentinel
1 Definieren Sie Regeln und Bedingungen. Definieren Sie Automatisierungsregeln.
2 Führen Sie Aktivitäten in einer vorgegebenen Reihenfolge aus. Führen Sie Automatisierungsregeln aus, die mehrere Playbooks enthalten.
3 Führen Sie ausgewählte Workflows aus. Führen Sie andere Playbooks gemäß den Tags aus, die von Playbooks angewendet wurden, die zuvor ausgeführt wurden.
4 Posten Sie Daten an Nachrichtenziele. Führen Sie Codeaschnipsel mithilfe von Inlineaktionen in Logic Apps aus.

Zuordnen von SOAR-Komponenten

Hier können Sie sehen, welche Microsoft Sentinel- oder Azure Logic Apps-Features den wichtigsten QRadar SOAR-Komponenten entsprechen/zugeordnet sind.

QRadar Microsoft Sentinel/Azure Logic Apps
Regeln Analyseregeln, die an Playbooks oder Automatisierungsregeln angefügt sind
Gateway Bedingung – Steuerung
Skripts Inlinecode
Benutzerdefinierte Aktionsprozessoren Benutzerdefinierte API-Aufrufe in Azure Logic Apps oder Drittanbieterconnectors
Functions Azure Functions-Connector
Nachrichtenziele Azure Logic Apps mit Azure Service Bus
IBM X-Force Exchange Automatisierung > Registerkarte „Vorlagen“
Inhaltshubkatalog
GitHub

Operationalisieren von Playbooks und Automatisierungsregeln in Microsoft Sentinel

Die meisten Playbooks, die Sie mit Microsoft Sentinel verwenden, sind entweder unter Automatisierung > Registerkarte „Vorlagen“, im Inhaltshubkatalog oder auf GitHub verfügbar. In einigen Fällen müssen Sie jedoch möglicherweise Playbooks von Grund auf neu oder anhand vorhandener Vorlagen erstellen.

In der Regel erstellen Sie Ihre benutzerdefinierte Logik-App mithilfe des Logik-App-Designers von Azure. Der Code für Logik-Apps basiert auf Azure Resource Manager-Vorlagen (ARM-Vorlagen), die die Entwicklung, Bereitstellung und Portabilität von Azure Logic Apps in mehreren Umgebungen erleichtern. Um Ihr benutzerdefiniertes Playbook in eine portierbare ARM-Vorlage zu konvertieren, können Sie den ARM-Vorlagengenerator verwenden.

Verwenden Sie diese Ressourcen in Fällen, in denen Sie Ihre eigenen Playbooks entweder von Grund auf neu oder anhand vorhandener Vorlagen erstellen müssen.

Bewährte Methoden nach der SOAR-Migration

Im Folgenden finden Sie bewährte Methoden, die Sie nach der SOAR-Migration berücksichtigen sollten:

  • Testen Sie Ihre Playbooks nach der Migration umfassend, um sicherzustellen, dass die migrierten Aktionen wie erwartet funktionieren.
  • Überprüfen Sie regelmäßig Ihre Automatisierungen, um Möglichkeiten zu ermitteln, wie Sie Ihre SOAR weiter vereinfachen oder verbessern können. Microsoft Sentinel fügt ständig neue Connectors und Aktionen hinzu, mit denen Sie Ihre aktuellen Reaktionsimplementierungen weiter vereinfachen oder deren Effektivität erhöhen können.
  • Überwachen Sie die Leistung Ihrer Playbooks mithilfe der Arbeitsmappe zur Überwachung der Integrität von Playbooks.
  • Verwenden Sie verwaltete Identitäten und Dienstprinzipale: Authentifizieren Sie sich bei verschiedenen Azure-Diensten in Ihren Logik-Apps, speichern Sie die Geheimnisse in Azure Key Vault, und verbergen Sie die Ausgabe der Flowausführung. Außerdem empfehlen wir Ihnen, die Aktivitäten dieser Dienstprinzipale zu überwachen.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Ihre SOAR-Automatisierung von IBM Security QRadar SOAR Microsoft Sentinel zuordnen können.