Migrer l’automatisation Splunk SOAR vers Microsoft Sentinel
Microsoft Sentinel fournit des fonctionnalités d’orchestration, d’automatisation et de réponse de sécurité (SOAR) avec des règles d’automatisation et des playbooks. Les règles d’automatisation automatisent la gestion et la réponse aux incidents, et les playbooks exécutent des séquences prédéterminées d’actions pour répondre aux menaces et y remédier. Cet article décrit comment identifier les cas d’usage SOAR et comment migrer votre automatisation Splunk SOAR vers Microsoft Sentinel.
Les règles d’automatisation simplifient les flux de travail complexes de vos processus d’orchestration des incidents et vous permettent de gérer de manière centralisée votre automatisation de gestion des incidents.
Avec les règles d’automatisation, vous pouvez :
- Effectuer des tâches d’automatisation simples sans nécessairement utiliser de playbooks. Par exemple, vous pouvez attribuer, baliser des incidents, modifier l’état et fermer des incidents.
- Automatiser les réponses pour plusieurs règles d’analyse à la fois.
- Contrôler l’ordre des actions exécutées.
- Exécuter des playbooks pour les cas où des tâches d’automatisation plus complexes sont nécessaires.
Identifier les cas d’usage SOAR
Voici ce sur quoi vous devez réfléchir lors de la migration des cas d’usage SOAR à partir de Splunk.
- Qualité du cas d’usage. Choisissez de bons cas d’usage pour l’automatisation. Les cas d’usage doivent être basés sur des procédures clairement définies, avec une variation minimale et un faible taux de faux positifs. L’automatisation doit fonctionner avec des cas d’usage efficaces.
- Intervention manuelle. La réponse automatisée peut avoir un large éventail d’effets et des automatisations à fort impact doivent impliquer une entrée utilisateur pour confirmer les actions à impact élevé avant qu’elles ne soient prises.
- Critères binaires. Pour augmenter la réussite de la réponse, les points de décision au sein d’un flux de travail automatisé doivent être aussi limités que possible, avec des critères binaires. Les critères binaires réduisent la nécessité d’une intervention humaine et améliorent la prévisibilité des résultats.
- Alertes ou données précises. Les actions de réponse dépendent de la précision de signaux tels que des alertes. Les sources d’alertes et d’enrichissement doivent être fiables. Les ressources Microsoft Sentinel telles que les watchlists et le renseignement sur les menaces fiable peuvent améliorer la fiabilité.
- Rôle Analyste. Bien que l’automatisation, lorsqu’elle est possible, soit importante, réservez des tâches plus complexes pour les analystes et offrez-leur la possibilité d’entrer des flux de travail qui nécessitent une validation. Pour résumer, l’automatisation des réponses doit augmenter et étendre les fonctionnalités de l’analyste.
Migrer le flux de travail SOAR
Cette section montre comment les concepts Splunk SOAR clés se traduisent en composants Microsoft Sentinel, et fournit des instructions générales sur la migration de chaque étape ou composant dans le flux de travail SOAR.
| Étape (dans le diagramme) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Ingérez des événements dans l’index principal. | Ingérez des événements dans l’espace de travail Log Analytics. |
| 2 | Créez des conteneurs. | Balisez des incidents à l’aide de la fonctionnalité de détails personnalisés. |
| 3 | Créez des cas. | Microsoft Sentinel peut regrouper automatiquement les incidents en fonction de critères définis par l’utilisateur, tels que les entités partagées ou la gravité. Ces alertes génèrent ensuite des incidents. |
| 4 | Créez des playbooks. | Azure Logic Apps utilise plusieurs connecteurs pour orchestrer des activités dans les environnements cloud Microsoft Sentinel, Azure, tiers et hybrides. |
| 4 | Créez des classeurs. | Microsoft Sentinel exécute des playbooks isolés ou dans le cadre d’une règle d’automatisation ordonnée. Vous pouvez également exécuter manuellement des playbooks sur des alertes ou des incidents, conformément à une procédure de centre des opérations de sécurité (SOC) prédéfinie. |
Mapper des composants SOAR
Passez en revue les fonctionnalités Microsoft Sentinel ou Azure Logic Apps mappées aux principaux composants Splunk SOAR.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Éditeur de playbook | Concepteur d’application logique |
| Déclencheur | Déclencheur |
| • Connecteurs • Application • Répartiteur Automation |
• Connecteur • Runbook Worker hybride |
| Blocs d’actions | Action |
| Répartiteur de connectivité | Runbook Worker hybride |
| Communauté | • Onglet > Modèles Automation • Catalogue du hub de contenu • GitHub |
| Décision | Contrôle conditionnel |
| Code | Connecteur de fonction Azure |
| Prompt | Envoyer un message électronique d’approbation |
| Format | Opérations de données |
| Playbooks d’entrée | Obtenir des entrées de variables à partir des résultats d’étapes précédemment exécutées ou de variables déclarées explicitement |
| Définir des paramètres avec l’utilitaire d’API de bloc d’utilitaire | Gérer les incidents avec l’API |
Utiliser des playbooks et des règles d’automatisation dans Microsoft Sentinel
La plupart des playbooks que vous utilisez avec Microsoft Sentinel sont disponibles dans l’onglet Modèles Automation>, le catalogue du hub de contenu ou GitHub. Toutefois, dans certains cas, vous devrez peut-être créer des playbooks à partir de zéro ou à partir de modèles existants.
Vous créez généralement votre application logique personnalisée à l’aide de la fonctionnalité Concepteur d’application logique Azure. Le code des applications logiques est basé sur des modèles Azure Resource Manager (ARM), qui facilitent le développement, le déploiement et la portabilité d’Azure Logic Apps dans plusieurs environnements. Pour convertir votre playbook personnalisé en modèle ARM portable, vous pouvez utiliser le générateur de modèles ARM.
Utilisez ces ressources dans les cas où vous devez créer vos propres playbooks à partir de zéro ou à partir de modèles existants.
- Automatiser la gestion des incidents dans Microsoft Sentinel
- Automatiser la réponse aux menaces à l’aide de règles dans Microsoft Sentinel
- Didacticiel : utiliser des règles d’automatisation dans Microsoft Sentinel
- Comment utiliser Microsoft Sentinel pour la réponse aux incidents, l’orchestration et l’automatisation
- Cartes adaptatives pour améliorer la réponse aux incidents dans Microsoft Sentinel
Meilleures pratiques SOAR après la migration
Voici les meilleures pratiques que vous devez prendre en compte après votre migration SOAR :
- Après avoir migré vos playbooks, testez les playbooks de manière approfondie pour vous assurer que les actions migrées fonctionnent comme prévu.
- Passez régulièrement en revue vos automatisations pour explorer des moyens de simplification ou d’amélioration de votre SOAR. Microsoft Sentinel ajoute en permanence de nouveaux connecteurs et actions qui peuvent vous aider à simplifier ou à accroître l’efficacité de vos implémentations de réponse actuelles.
- Surveillez les performances de vos playbooks à l’aide du classeur de surveillance de l’intégrité des playbooks.
- Utilisez des identités managées et des principaux de service : authentifiez-vous auprès de différents services Azure au sein de vos Logic Apps, stockez les secrets dans Azure Key Vault et masquez la sortie de l’exécution du flux. Nous vous recommandons également de surveiller les activités de ces principaux de service.
Étapes suivantes
Dans cet article, vous avez appris à mapper votre automatisation SOAR de Splunk à Microsoft Sentinel.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour