Partager via


Migrer l’automatisation IBM Security QRadar SOAR vers Microsoft Sentinel

Microsoft Sentinel fournit des fonctionnalités d’orchestration, d’automatisation et de réponse de sécurité (SOAR) avec des règles d’automatisation et des playbooks. Les règles d’automatisation automatisent la gestion et la réponse aux incidents, et les playbooks exécutent des séquences prédéterminées d’actions pour répondre aux menaces et y remédier. Cet article décrit comment identifier les cas d’usage SOAR et comment migrer votre automatisation IBM Security QRadar SOAR vers Microsoft Sentinel.

Les règles d’automatisation simplifient les flux de travail complexes de vos processus d’orchestration des incidents et vous permettent de gérer de manière centralisée votre automatisation de gestion des incidents.

Avec les règles d’automatisation, vous pouvez :

  • Effectuer des tâches d’automatisation simples sans nécessairement utiliser de playbooks. Par exemple, vous pouvez attribuer, baliser des incidents, modifier l’état et fermer des incidents.
  • Automatiser les réponses pour plusieurs règles d’analyse à la fois.
  • Contrôler l’ordre des actions exécutées.
  • Exécuter des playbooks pour les cas où des tâches d’automatisation plus complexes sont nécessaires.

Identifier les cas d’usage SOAR

Voici ce sur quoi vous devez réfléchir lors de la migration des cas d’usage SOAR à partir d’IBM Security QRadar.

  • Qualité du cas d’usage. Choisissez de bons cas d’usage pour l’automatisation. Les cas d’usage doivent être basés sur des procédures clairement définies, avec une variation minimale et un faible taux de faux positifs. L’automatisation doit fonctionner avec des cas d’usage efficaces.
  • Intervention manuelle. La réponse automatisée peut avoir un large éventail d’effets et des automatisations à fort impact doivent impliquer une entrée utilisateur pour confirmer les actions à impact élevé avant qu’elles ne soient prises.
  • Critères binaires. Pour augmenter la réussite de la réponse, les points de décision au sein d’un flux de travail automatisé doivent être aussi limités que possible, avec des critères binaires. Les critères binaires réduisent la nécessité d’une intervention humaine et améliorent la prévisibilité des résultats.
  • Alertes ou données précises. Les actions de réponse dépendent de la précision de signaux tels que des alertes. Les sources d’alertes et d’enrichissement doivent être fiables. Les ressources Microsoft Sentinel telles que les watchlists et le renseignement sur les menaces fiable peuvent améliorer la fiabilité.
  • Rôle Analyste. Bien que l’automatisation, lorsqu’elle est possible, soit importante, réservez des tâches plus complexes pour les analystes et offrez-leur la possibilité d’entrer des flux de travail qui nécessitent une validation. Pour résumer, l’automatisation des réponses doit augmenter et étendre les fonctionnalités de l’analyste.

Migrer le flux de travail SOAR

Cette section montre comment les concepts SOAR clés dans IBM Security QRadar SOAR se traduisent en composants Microsoft Sentinel. La section fournit également des instructions générales sur la migration de chaque étape ou composant dans le workflow SOAR.

Diagramme montrant les flux de travail QRadar et Microsoft Sentinel SOAR.

Étape (dans le diagramme) IBM Security QRadar SOAR Microsoft Sentinel
1 Définir des règles et des conditions. Définir des règles d’automatisation.
2 Exécutez des activités ordonnées. Exécutez des règles d’automatisation contenant plusieurs playbooks.
3 Exécutez les workflows sélectionnés. Exécutez d’autres playbooks en fonction des étiquettes appliquées par les playbooks qui ont été exécutés précédemment.
4 Publiez des données vers des destinations de message. Exécutez des extraits de code à l’aide d’actions inline dans Logic Apps.

Mapper des composants SOAR

Passez en revue les fonctionnalités Microsoft Sentinel ou Azure Logic Apps mappées aux principaux composants QRadar SOAR.

QRadar Microsoft Sentinel/Azure Logic Apps
Règles Règles d’analytique attachées aux playbooks ou règles d’automatisation
Passerelle Condition Contrôle
scripts ; Code inclus
Processeurs d’actions personnalisés Appels d’API personnalisés dans Azure Logic Apps ou des connecteurs tiers
Fonctions Connecteur de fonction Azure
Destinations des messages Azure Logic Apps avec Azure Service Bus
IBM X-Force Exchange Onglet > Modèles Automation
Catalogue du hub de contenu
GitHub

Utiliser des playbooks et des règles d’automatisation dans Microsoft Sentinel

La plupart des playbooks que vous utilisez avec Microsoft Sentinel sont disponibles dans l’onglet Modèles Automation>, le catalogue du hub de contenu ou GitHub. Toutefois, dans certains cas, vous devrez peut-être créer des playbooks à partir de zéro ou à partir de modèles existants.

Vous créez généralement votre application logique personnalisée à l’aide de la fonctionnalité Concepteur d’application logique Azure. Le code des applications logiques est basé sur des modèles Azure Resource Manager (ARM), qui facilitent le développement, le déploiement et la portabilité d’Azure Logic Apps dans plusieurs environnements. Pour convertir votre playbook personnalisé en modèle ARM portable, vous pouvez utiliser le générateur de modèles ARM.

Utilisez ces ressources dans les cas où vous devez créer vos propres playbooks à partir de zéro ou à partir de modèles existants.

Meilleures pratiques SOAR après la migration

Voici les meilleures pratiques que vous devez prendre en compte après votre migration SOAR :

  • Après avoir migré vos playbooks, testez les playbooks de manière approfondie pour vous assurer que les actions migrées fonctionnent comme prévu.
  • Passez régulièrement en revue vos automatisations pour explorer des moyens de simplification ou d’amélioration de votre SOAR. Microsoft Sentinel ajoute en permanence de nouveaux connecteurs et actions qui peuvent vous aider à simplifier ou à accroître l’efficacité de vos implémentations de réponse actuelles.
  • Surveillez les performances de vos playbooks à l’aide du classeur de surveillance de l’intégrité des playbooks.
  • Utilisez des identités managées et des principaux de service : authentifiez-vous auprès de différents services Azure au sein de vos Logic Apps, stockez les secrets dans Azure Key Vault et masquez la sortie de l’exécution du flux. Nous vous recommandons également de surveiller les activités de ces principaux de service.

Étapes suivantes

Dans cet article, vous avez appris à mapper votre automatisation SOAR d’IBM Security QRadar à Microsoft Sentinel.