Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben
Ez a cikk bemutatja, hogy mik a Microsoft Sentinel forgatókönyvei, és hogyan használhatja őket a biztonsági vezénylési, automatizálási és válaszkezelési (SOAR) műveletek implementálásához, így jobb eredményeket érhet el, miközben időt és erőforrásokat takaríthat meg.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Mi az a forgatókönyv?
Az SOC-elemzőket általában rendszeresen elárasztják a biztonsági riasztások és incidensek, olyan nagy mennyiségben, hogy a rendelkezésre álló személyzet túlterhelt. Ez túl gyakran jár olyan helyzetekben, amikor sok riasztást figyelmen kívül hagynak, és sok incidenst nem vizsgálnak meg, így a szervezet sebezhetővé válik a észrevétlen támadások ellen.
Ezen riasztások és incidensek nagy része, ha nem a legtöbb, megfelel az ismétlődő mintáknak, amelyeket meghatározott és meghatározott szervizelési műveletek segítségével lehet kezelni. Az elemzők feladata továbbá az általuk kezelt incidensek alapvető szervizelése és kivizsgálása. Amennyiben ezek a tevékenységek automatizálhatók, a SOC sokkal hatékonyabb és hatékonyabb lehet, ami lehetővé teszi az elemzők számára, hogy több időt és energiát fordítson a vizsgálati tevékenységekre.
A forgatókönyvek a Microsoft Sentinelből rutinként futtatott szervizelési műveletek gyűjteményei, amelyek segítenek automatizálni és vezénylni a fenyegetésekre adott választ. Kétféleképpen futtatható:
- Manuálisan igény szerint, egy adott entitáson vagy riasztáson
- Automatikus válasz adott riasztásokra vagy incidensekre, ha egy automatizálási szabály aktiválja.
Ha például egy fiók és gép biztonsága sérül, egy forgatókönyv elkülönítheti a gépet a hálózattól, és letilthatja a fiókot addig, amíg az SOC-csapat értesítést kap az incidensről.
Bár az Automation lapon az Aktív forgatókönyvek lap megjeleníti a kiválasztott előfizetésekben elérhető összes aktív forgatókönyvet, a forgatókönyv alapértelmezés szerint csak azon az előfizetésen belül használható, amelyhez tartozik, kivéve, ha kifejezetten ad engedélyt a Microsoft Sentinelnek a forgatókönyv erőforráscsoportjához.
Az egyesített biztonsági üzemeltetési platformra való előkészítés után az Aktív forgatókönyvek lap egy előre definiált szűrőt jelenít meg a beépített munkaterület előfizetésével. Az Azure Portalon adjon hozzá adatokat más előfizetésekhez az Azure-előfizetés szűrőjének használatával.
Forgatókönyvsablonok
A forgatókönyvsablonok előre összeállított, tesztelt és használatra kész munkafolyamatok, amelyek igényeinek megfelelően testre szabhatók. A sablonok referenciaként szolgálhatnak az ajánlott eljárásokhoz, amikor forgatókönyveket fejlesztenek az alapoktól kezdve, vagy inspirációként szolgálnak az új automatizálási forgatókönyvekhez.
A forgatókönyvsablonok maguk nem használhatók forgatókönyvként. Ezekből forgatókönyvet (a sablon szerkeszthető másolatát) hozhat létre.
Forgatókönyvsablonokat a következő forrásokból szerezhet be:
Az Automation lapon a Forgatókönyvsablonok lap felsorolja a telepített forgatókönyvsablonokat. Ugyanabból a sablonból több aktív forgatókönyv is létrehozható.
A sablon új verziójának közzétételekor a sablonból létrehozott aktív forgatókönyvek megjelennek az Aktív forgatókönyvek lapon, és megjelenik egy címke, amely jelzi, hogy elérhető a frissítés.
A forgatókönyvsablonok a Microsoft Sentinel Content Hub oldaláról telepített termékmegoldások vagy önálló tartalmak részeként érhetők el. További információkért tekintse meg a Microsoft Sentinel tartalmát és megoldásait , valamint a Microsoft Sentinel beépített tartalmak felderítését és kezelését.
A Microsoft Sentinel GitHub-adattár számos forgatókönyvsablont tartalmaz. Az Üzembe helyezés az Azure-előfizetésben az Üzembe helyezés az Azure-ban gombra kattintva helyezhetők üzembe.
A forgatókönyv-sablon gyakorlatilag egy ARM-sablon , amely több erőforrásból áll: egy Azure Logic Apps-munkafolyamatból és AZ API-kapcsolatokból minden érintett kapcsolathoz.
Fontos
A forgatókönyvsablonok jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az Azure Logic Apps alapfogalmai
A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, amely egy felhőszolgáltatás, amely segít a feladatok és munkafolyamatok ütemezésében, automatizálásában és vezénylésében a nagyvállalati rendszereken. Ez azt jelenti, hogy a forgatókönyvek ki tudják használni az Azure Logic Apps beépített sablonjainak összes előnyét és lehetőségét.
Feljegyzés
Az Azure Logic Apps külön erőforrásokat hoz létre, így további költségek is felmerülhetnek. További információkért látogasson el az Azure Logic Apps díjszabási oldalára.
Az Azure Logic Apps összekötőkkel kommunikál más rendszerekkel és szolgáltatásokkal. Az alábbiakban röviden bemutatjuk az összekötőket és néhány fontos attribútumukat:
Felügyelt összekötő: Műveletek és triggerek készlete, amelyek egy adott termékre vagy szolgáltatásra irányuló API-hívások körül futnak. Az Azure Logic Apps több száz összekötőt kínál a Microsofttal és a nem Microsoft-szolgáltatások való kommunikációhoz. További információ: Azure Logic Apps-összekötők és azok dokumentációja
Egyéni összekötő: Érdemes lehet előre összeállított összekötőként nem elérhető szolgáltatásokkal kommunikálni. Az egyéni összekötők úgy oldják meg ezt az igényt, hogy lehetővé teszik egy összekötő létrehozását (és akár megosztását) és saját eseményindítóinak és műveleteinek definiálását. További információ: Saját egyéni Azure Logic Apps-összekötők létrehozása.
Microsoft Sentinel-összekötő: A Microsoft Sentinelrel kommunikáló forgatókönyvek létrehozásához használja a Microsoft Sentinel-összekötőt. További információkért tekintse meg a Microsoft Sentinel-összekötő dokumentációját.
Trigger: Egy összekötő összetevő, amely elindít egy munkafolyamatot, ebben az esetben egy forgatókönyvet. A Microsoft Sentinel-eseményindító határozza meg azt a sémát, amelyet a forgatókönyv várhatóan megkap az aktiváláskor. A Microsoft Sentinel-összekötő jelenleg három eseményindítóval rendelkezik:
- Riasztási eseményindító: A forgatókönyv bemenetként fogadja a riasztást.
- Entitás-eseményindító (előzetes verzió):: A forgatókönyv bemenetként egy entitást fogad.
- Incidensindító: A forgatókönyv bemenetként fogadja az incidenst, valamint az összes benne foglalt riasztást és entitást.
Műveletek: A műveletek mindazon lépések, amelyek az eseményindító aktiválása után végbemennek. Ezek sorrendben, párhuzamosan vagy összetett feltételek mátrixában rendezhetők.
Dinamikus mezők: Az eseményindítók és műveletek kimeneti sémája által meghatározott és a tényleges kimenettel kitöltött ideiglenes mezők, amelyek a következő műveletekben használhatók.
Logikai alkalmazástípusok
A Microsoft Sentinel mostantól a következő logikaialkalmazás-erőforrástípusokat támogatja:
- A több-bérlős Azure Logic Appsben futó használat a klasszikus, eredeti Azure Logic Apps-motort használja.
- Standard, amely egybérlős Azure Logic Appsben fut, és egy újratervezett Azure Logic Apps-motort használ.
A Standard logikai alkalmazástípus nagyobb teljesítményt, rögzített díjszabást, több munkafolyamat-képességet, egyszerűbb API-kapcsolatkezelést, natív hálózati képességeket kínál, például a virtuális hálózatok és privát végpontok támogatását (lásd az alábbi megjegyzést), a beépített CI/CD-funkciókat, a Visual Studio Code jobb integrációját, egy frissített munkafolyamat-tervezőt stb.
A logikai alkalmazás verziójának használatához hozzon létre új Standard forgatókönyveket a Microsoft Sentinelben (lásd az alábbi megjegyzést). Ezeket a forgatókönyveket ugyanúgy használhatja, mint a Használati forgatókönyveket:
- Csatolja őket automatizálási szabályokhoz és/vagy elemzési szabályokhoz.
- Igény szerint futtathatja őket incidensekből és riasztásokból is.
- Az Aktív forgatókönyvek lapon kezelheti őket.
Feljegyzés
A standard munkafolyamatok jelenleg nem támogatják a forgatókönyvsablonokat, ami azt jelenti, hogy nem hozhat létre standard munkafolyamat-alapú forgatókönyvet közvetlenül a Microsoft Sentinelben. Ehelyett létre kell hoznia a munkafolyamatot az Azure Logic Appsben. A munkafolyamat létrehozása után forgatókönyvként jelenik meg a Microsoft Sentinelben.
A Logic Apps Standard munkafolyamatai támogatják a privát végpontokat a fent említett módon, a Microsoft Sentinel azonban megköveteli egy hozzáférés-korlátozási szabályzat meghatározását a Logic Appsben , hogy támogassa a privát végpontok használatát a standard munkafolyamatokon alapuló forgatókönyvekben.
Ha nincs meghatározva hozzáférés-korlátozási szabályzat, akkor a privát végpontokkal rendelkező munkafolyamatok továbbra is láthatók és választhatók lehetnek, amikor forgatókönyvet választ a Microsoft Sentinel egyik listájából (függetlenül attól, hogy manuálisan kell futtatni, felvesz egy automatizálási szabályhoz, vagy a forgatókönyvek gyűjteményében), és kiválaszthatja őket, de a végrehajtásuk sikertelen lesz.
Egy mutató állapotalapúként vagy állapot nélküliként azonosítja a standard munkafolyamatokat. A Microsoft Sentinel jelenleg nem támogatja az állapot nélküli munkafolyamatokat. Ismerje meg az állapotalapú és az állapot nélküli munkafolyamatok közötti különbségeket.
A két erőforrástípus között számos különbség van, amelyek közül néhány hatással van a Microsoft Sentinel forgatókönyveiben használható néhány módszerre. Ilyen esetekben a dokumentáció rámutat arra, amit tudnia kell. További információ: Erőforrástípus és gazdagépkörnyezet eltérései az Azure Logic Apps dokumentációjában.
A szükséges engedélyek
Ha lehetővé szeretné tenni a SecOps-csapat számára, hogy az Azure Logic Apps használatával forgatókönyveket hozzon létre és futtasson a Microsoft Sentinelben, rendeljen Azure-szerepköröket a biztonsági műveleti csapathoz vagy a csapat adott felhasználóihoz. Az alábbiakban a különböző elérhető szerepköröket és azokat a feladatokat ismerteti, amelyekhez hozzá kell rendelni őket:
Azure-szerepkörök az Azure Logic Appshez
- A Logic App Közreműködővel kezelheti a logikai alkalmazásokat és forgatókönyveket futtathat, de nem módosíthatja a hozzáférésüket (ehhez tulajdonosi szerepkörre van szüksége).
- A Logic App Operator lehetővé teszi a logikai alkalmazások olvasását, engedélyezését és letiltását, de nem szerkesztheti és nem frissítheti őket.
Azure-szerepkörök a Microsoft Sentinelhez
A Microsoft Sentinel közreműködői szerepkörrel forgatókönyvet csatolhat egy elemzési vagy automatizálási szabályhoz.
A Microsoft Sentinel Válaszadó szerepkör lehetővé teszi egy incidens elérését egy forgatókönyv manuális futtatásához. De a forgatókönyv futtatásához...
- A Microsoft Sentinel Forgatókönyv-kezelő szerepkörrel manuálisan futtathat forgatókönyvet.
- A Microsoft Sentinel Automation Közreműködője lehetővé teszi az automatizálási szabályok számára forgatókönyvek futtatását. Más célra nem használható.
További információ
- További információ az Azure-szerepkörökről az Azure Logic Appsben.
- További információ az Azure-szerepkörökről a Microsoft Sentinelben.
Forgatókönyv létrehozásának lépései
Csatolja a forgatókönyvet egy automatizálási szabályhoz vagy egy elemzési szabályhoz, vagy szükség esetén futtassa manuálisan.
Használati esetek forgatókönyvekhez
Az Azure Logic Apps platform több száz műveletet és eseményindítót kínál, így szinte bármilyen automatizálási forgatókönyv létrehozható. A Microsoft Sentinel a következő SOC-forgatókönyveket javasolja, amelyekhez kész forgatókönyvsablonok érhetők el a dobozból:
Bővítés
Gyűjtse össze az adatokat, és csatolja az incidenshez, hogy intelligensebb döntéseket hozhasson.
Példa:
Egy Microsoft Sentinel-incidenst egy olyan elemzési szabály hozott létre egy riasztásból, amely IP-cím entitásokat hoz létre.
Az incidens elindít egy automatizálási szabályt, amely forgatókönyvet futtat a következő lépésekkel:
Kezdje egy új Microsoft Sentinel-incidens létrehozásakor. Az incidensben képviselt entitások az incidensindító dinamikus mezőiben vannak tárolva.
Minden IP-címhez le kell kérdeznie egy külső fenyegetésintelligencia-szolgáltatót, például a Virus Total-t, hogy több adatot kérjen le.
Adja hozzá a visszaadott adatokat és megállapításokat az incidens megjegyzéseiként.
Kétirányú szinkronizálás
Forgatókönyvekkel szinkronizálhatja a Microsoft Sentinel-incidenseket más jegykezelő rendszerekkel.
Példa:
Hozzon létre egy automatizálási szabályt az összes incidens létrehozásához, és csatoljon egy forgatókönyvet, amely megnyitja a jegyet a ServiceNow-ban:
Kezdje egy új Microsoft Sentinel-incidens létrehozásakor.
A könnyebb kimutatás érdekében adja meg a jegyben az incidens nevét, a fontos mezőket és a Microsoft Sentinel-incidens URL-címét.
Vezénylés
Az SOC csevegőplatform használatával jobban szabályozhatja az incidensek üzenetsorát.
Példa:
Egy Microsoft Sentinel-incidenst egy olyan elemzési szabály hozott létre egy riasztásból, amely felhasználónevet és IP-cím entitásokat hoz létre.
Az incidens elindít egy automatizálási szabályt, amely forgatókönyvet futtat a következő lépésekkel:
Kezdje egy új Microsoft Sentinel-incidens létrehozásakor.
Küldjön üzenetet a Microsoft Teams vagy a Slack biztonsági üzemeltetési csatornájának, hogy a biztonsági elemzők értesüljenek az incidensről.
Küldje el a riasztásban szereplő összes információt e-mailben a vezető hálózati rendszergazdának és a biztonsági rendszergazdának. Az e-mail-üzenet tartalmazza a Felhasználó letiltása és mellőzése gombokat.
Várjon, amíg választ kap a rendszergazdáktól, majd futtassa tovább.
Ha a rendszergazdák a Letiltás lehetőséget választják, küldjön egy parancsot a tűzfalnak a riasztás IP-címének letiltásához, egy másikat pedig a Microsoft Entra-azonosítónak a felhasználó letiltásához.
Válasz
Azonnal reagáljon a fenyegetésekre, minimális emberi függőségekkel.
Két példa:
1. példa: Válasz egy olyan elemzési szabályra, amely egy sérült felhasználót jelez, amint azt a Microsoft Entra ID-védelem észlelte:
Kezdje egy új Microsoft Sentinel-incidens létrehozásakor.
Az incidensben szereplő minden egyes felhasználói entitás esetében a következő gyanú merült fel:
Küldjön egy Teams-üzenetet a felhasználónak, amely megerősítést kér arról, hogy a felhasználó végrehajtotta a gyanús műveletet.
Ellenőrizze Microsoft Entra ID-védelem, hogy a felhasználó állapota sérült-e. Microsoft Entra ID-védelem kockázatosként fogja megjelölni a felhasználót, és alkalmazza a már konfigurált kényszerítési szabályzatokat – például azt, hogy a felhasználó a következő bejelentkezéskor használja az MFA-t.
Feljegyzés
Ez az adott Microsoft Entra-művelet nem kezdeményez kényszerítési tevékenységet a felhasználón, és nem kezdeményezi a kényszerítési szabályzat konfigurálását sem. Csak arra utasítja Microsoft Entra ID-védelem, hogy szükség szerint alkalmazza a már definiált szabályzatokat. Minden kényszerítés teljes mértékben a Microsoft Entra ID-védelem definiált megfelelő szabályzatoktól függ.
2. példa: Válasz egy olyan elemzési szabályra, amely egy feltört gépet jelez a Végponthoz készült Microsoft Defender által felderített módon:
Kezdje egy új Microsoft Sentinel-incidens létrehozásakor.
Használja az Entitások – Gazdagépek lekérése műveletet a Microsoft Sentinelben az incidensentitásokban szereplő gyanús gépek elemzéséhez.
Adjon ki egy parancsot a riasztásban lévő gépek elkülönítéséhez Végponthoz készült Microsoft Defender.
Manuális válasz a vizsgálat vagy a vadászat során
Az aktív vizsgálati tevékenység során a fenyegetésekre való reagálás anélkül, hogy a kontextuson kívülre billentenének.
Az új entitás-eseményindítónak köszönhetően (most már előzetes verzióban) azonnali műveleteket végezhet a vizsgálat során felfedezett egyes fenyegetéstevők ellen, egyenként, közvetlenül a vizsgálatból. Ez a lehetőség a fenyegetéskeresési környezetben is elérhető, és nem kapcsolódik semmilyen konkrét incidenshez. Kiválaszthat egy entitást a kontextusban, és ott műveleteket hajthat végre rajta, így időt takaríthat meg, és csökkentheti az összetettségét.
Az entitásokon az alábbi forgatókönyv-típussal végezhető műveletek a következők:
- Sérült felhasználó blokkolása.
- Blokkolja a forgalmat egy rosszindulatú IP-címről a tűzfalon.
- Feltört gazdagép elkülönítése a hálózaton.
- IP-cím hozzáadása egy biztonságos/nem biztonságos címfigyelőlistához vagy a külső CMDB-hez.
- Fájlkivonat-jelentés lekérése külső fenyegetésfelderítési forrásból, és megjegyzésként hozzáadva egy incidenshez.
Forgatókönyv futtatása
A forgatókönyvek manuálisan vagy automatikusan is futtathatók.
Úgy vannak kialakítva, hogy automatikusan fussanak, és ideális esetben így kell futtatni őket a normál műveletek során. A forgatókönyvet automatikusan futtathatja úgy, hogy automatikus válaszként definiálja egy elemzési szabályban (riasztások esetén), vagy egy automatizálási szabály műveleteként (incidensek esetén).
Vannak azonban olyan körülmények, amelyek a forgatókönyvek manuális futtatását hívják meg. Példa:
Új forgatókönyv létrehozásakor tesztelni kell, mielőtt éles környezetben helyezné el.
Előfordulhatnak olyan helyzetek, amikor nagyobb kontrollt és emberi bemenetet szeretne kapni egy adott forgatókönyv futtatásának időpontjához és állapotához.
A forgatókönyvet manuálisan futtathatja egy incidens, riasztás vagy entitás megnyitásával, valamint az ott megjelenő kapcsolódó forgatókönyv kiválasztásával és futtatásával. Ez a funkció jelenleg általánosan elérhető riasztásokhoz, valamint előzetes verzióban incidensekhez és entitásokhoz.
Automatikus válasz beállítása
A biztonsági műveleti csapatok jelentősen csökkenthetik a számítási feladatukat az ismétlődő incidenstípusokra és riasztásokra adott rutinválaszok teljes automatizálásával, így jobban összpontosíthat az egyedi incidensekre és riasztásokra, a minták elemzésére, a fenyegetéskeresésre stb.
Az automatizált válasz beállítása azt jelenti, hogy minden alkalommal, amikor egy elemzési szabály aktiválódik, a riasztás létrehozása mellett a szabály egy forgatókönyvet is futtat, amely bemenetként megkapja a szabály által létrehozott riasztást.
Ha a riasztás létrehoz egy incidenst, az incidens elindít egy automatizálási szabályt, amely forgatókönyvet futtathat, amely a riasztás által létrehozott incidens bemeneteként jelenik meg.
Riasztáslétrehozás – automatikus válasz
A riasztások létrehozása által aktivált forgatókönyvek esetében, amelyek bemeneteként riasztásokat kapnak (első lépésük a "Microsoft Sentinel-riasztás"), csatolja a forgatókönyvet egy elemzési szabályhoz:
Szerkessze azt az elemzési szabályt , amely létrehozza azt a riasztást, amelyre automatikus választ szeretne definiálni.
Az Automatikus válasz lapon a Riasztás automatizálása területen válassza ki azokat a forgatókönyveket vagy forgatókönyveket, amelyeket ez az elemzési szabály riasztás létrehozásakor aktivál.
Incidenslétrehozás – automatikus válasz
Az incidensek létrehozása által aktivált forgatókönyvek esetében, amelyek bemenetként fogadják az incidenseket (első lépésük a "Microsoft Sentinel-incidens"), hozzon létre egy automatizálási szabályt, és definiáljon benne egy forgatókönyv-futtatási műveletet. Ez kétféleképpen végezhető el:
Szerkessze azt az elemzési szabályt, amely létrehozza azt az incidenst, amelyre automatikus választ szeretne definiálni. Az Automatikus válasz lap Incidensautomatizálásterületén hozzon létre egy automatizálási szabályt. Ez csak ehhez az elemzési szabályhoz hoz létre automatikus választ.
Az Automation lap Automatizálási szabályok lapján hozzon létre egy új automatizálási szabályt, és adja meg a megfelelő feltételeket és kívánt műveleteket. Ez az automatizálási szabály minden olyan elemzési szabályra vonatkozik, amely megfelel a megadott feltételeknek.
Feljegyzés
A Microsoft Sentinel engedélyekkel rendelkezik az incidensindító forgatókönyvek futtatásához.
Ha forgatókönyvet szeretne futtatni az incidens eseményindítója alapján, akár manuálisan, akár automatizálási szabályból, a Microsoft Sentinel egy kifejezetten erre jogosult szolgáltatásfiókot használ. A fiók használata (szemben a felhasználói fiókkal) növeli a szolgáltatás biztonsági szintjét, és lehetővé teszi, hogy az automation rules API támogassa a CI/CD-használati eseteket.
Ennek a fióknak explicit engedélyekkel kell rendelkeznie (a Microsoft Sentinel Automation közreműködői szerepkörének formájában) azon erőforráscsoportban, ahol a forgatókönyv található. Ezen a ponton bármilyen forgatókönyvet futtathat az erőforráscsoportban manuálisan vagy bármely automatizálási szabályból.
Amikor hozzáadja a forgatókönyv-műveletet egy automatizálási szabályhoz, megjelenik a forgatókönyvek legördülő listája a kijelöléshez. Azok a forgatókönyvek, amelyekhez a Microsoft Sentinel nem rendelkezik engedélyekkel, nem érhetők el ("szürkítve"). A Forgatókönyv-engedélyek kezelése hivatkozásra kattintva helyszíni engedélyt adhat a Microsoft Sentinelnek.
Több-bérlős (Lighthouse) forgatókönyv esetén meg kell határoznia az engedélyeket azon bérlőn, ahol a forgatókönyv található, még akkor is, ha a forgatókönyvet hívó automatizálási szabály egy másik bérlőben van. Ehhez tulajdonosi engedélyekkel kell rendelkeznie a forgatókönyv erőforráscsoportján.
Egy felügyelt biztonsági szolgáltató (MSSP) számára egyedi forgatókönyv áll fenn, amelyben egy szolgáltató a saját bérlőjére bejelentkezve létrehoz egy automatizálási szabályt az ügyfél munkaterületén az Azure Lighthouse használatával. Ez az automatizálási szabály ezután meghív egy forgatókönyvet, amely az ügyfél bérlőjének tulajdonában van. Ebben az esetben a Microsoft Sentinelnek mindkét bérlőre engedélyt kell adnia. Az ügyfélbérlében a forgatókönyv-engedélyek kezelése panelen adja meg őket, ugyanúgy, mint a hagyományos több-bérlős forgatókönyvben. A szolgáltatói bérlő megfelelő engedélyeinek megadásához hozzá kell adnia egy további Azure Lighthouse-delegálást, amely hozzáférési jogosultságokat biztosít az Azure Security Elemzések alkalmazáshoz a Microsoft Sentinel Automation közreműködői szerepkörével azon az erőforráscsoporton, ahol a forgatókönyv található. Ebből a témakörből megtudhatja, hogyan vehet fel delegálást.
Tekintse meg az automatizálási szabályok létrehozásának teljes utasításait.
Forgatókönyv manuális futtatása
A teljes automatizálás a legjobb megoldás annyi incidenskezelési, vizsgálati és kárenyhítési feladathoz, amennyit ön kényelmesen automatizál. Ennek ellenére jó oka lehet egy hibrid automatizálásnak: forgatókönyvek használatával egyetlen parancsba egyesíthet egy sor tevékenységet egy különböző rendszereken, de a forgatókönyveket csak akkor és ott futtatja, ahol ön dönt. Példa:
Előnyben részesítheti az SOC-elemzőket, ha több emberi bemenettel rendelkeznek, és bizonyos helyzetek felett irányítják az irányítást.
Előfordulhat, hogy azt is szeretné, hogy egy vizsgálat vagy fenyegetéskeresés során igény szerint, egy adott veszélyforrás-szereplők (entitások) ellen is felléphessenek anélkül, hogy egy másik képernyőre kellene lépniük. (Ez a képesség most előzetes verzióban érhető el.)
Előfordulhat, hogy azt szeretné, hogy az SOC mérnökei olyan forgatókönyveket írjanak, amelyek meghatározott entitásokon (most előzetes verzióban) működnek, és amelyek csak manuálisan futtathatók.
Valószínűleg azt szeretné, hogy mérnökei tesztelhessék az általuk írt forgatókönyveket, mielőtt teljesen üzembe helyeznék őket az automatizálási szabályokban.
Ezen és egyéb okokból a Microsoft Sentinel lehetővé teszi forgatókönyvek manuális , igény szerinti futtatását entitások és incidensek esetén (mind az előzetes verzióban), mind a riasztások esetében.
Ha forgatókönyvet szeretne futtatni egy adott incidensről, válassza ki az incidenst a rácsról az Incidensek lapon. Az Azure Portalon válassza a Műveletek lehetőséget az incidens részletei panelen, majd a helyi menüben válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget. A Defender portálon válassza a Forgatókönyv futtatása (előzetes verzió) lehetőséget közvetlenül az incidens részleteinek oldaláról.
Ekkor megnyílik a Forgatókönyv futtatása incidenspanelen .
Ha forgatókönyvet szeretne futtatni egy riasztáson, válasszon ki egy incidenst, adja meg az incidens részleteit, majd a Riasztások lapon válasszon ki egy riasztást, és válassza a Forgatókönyvek megtekintése lehetőséget.
Ekkor megnyílik a Riasztás forgatókönyvek panel.
Egy entitás forgatókönyvének futtatásához válasszon ki egy entitást az alábbi módokon:
- Az incidens Entitások lapján válasszon ki egy entitást a listából, és válassza a Forgatókönyv futtatása (előzetes verzió) hivatkozást a lista sorának végén.
- A Vizsgálat gráfban válasszon ki egy entitást, és válassza a Forgatókönyv futtatása (előzetes verzió) gombot az entitásoldali panelen.
- Az Entitás viselkedése területen válasszon ki egy entitást, és az entitásoldalon válassza a forgatókönyv futtatása (előzetes verzió) gombot a bal oldali panelen.
Ezek mindegyike megnyitja a Forgatókönyv futtatása entitástípus> panelen.<
A panelek bármelyikében két lap jelenik meg: forgatókönyvek és futtatások.
A Forgatókönyvek lapon megjelenik azoknak a forgatókönyveknek a listája, amelyekhez hozzáféréssel rendelkezik, és amelyek a megfelelő eseményindítót használják – legyen szó a Microsoft Sentinel-incidensről, a Microsoft Sentinel-riasztásról vagy a Microsoft Sentinel-entitásról. A listában minden forgatókönyv rendelkezik egy Futtatás gombbal, amelyet kiválasztva azonnal futtathatja a forgatókönyvet.
Ha olyan incidensindító forgatókönyvet szeretne futtatni, amelyet nem lát a listában, tekintse meg a fenti Microsoft Sentinel-engedélyekről szóló megjegyzést.A Futtatások lapon láthatja a forgatókönyvek által a kiválasztott incidensen vagy riasztáson futtatott összes alkalommal. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen ebben a listában. Egy adott futtatás kiválasztásával megnyílik a teljes futtatási napló az Azure Logic Appsben.
Forgatókönyvek kezelése
Az Aktív forgatókönyvek lapon megjelenik az összes olyan forgatókönyv listája, amelyhez hozzáférése van, szűrve az Azure-ban jelenleg megjelenített előfizetések alapján. Az előfizetések szűrője a globális oldal fejlécének Címtár + előfizetés menüjéből érhető el.
A forgatókönyv nevére kattintva a forgatókönyv főoldalára léphet az Azure Logic Appsben. Az Állapot oszlop jelzi, hogy engedélyezve vagy letiltva van-e.
A Terv oszlop jelzi, hogy a forgatókönyv a Standard vagy a Consumption erőforrástípust használja-e az Azure Logic Appsben. A listát tervtípus szerint szűrve csak egy forgatókönyvtípust jeleníthet meg. Megfigyelheti, hogy a Standard típusú forgatókönyvek az elnevezési konvenciót LogicApp/Workflow használják. Ez a konvenció azt a tényt tükrözi, hogy a Standard forgatókönyvek olyan munkafolyamatokat jelölnek, amelyek egyetlen logikai alkalmazásban más munkafolyamatokkal együtt léteznek.
Az eseményindító típusa a forgatókönyvet elindító Azure Logic Apps-eseményindítót jelöli.
| Trigger típusa | Az összetevők típusait jelzi a forgatókönyvben |
|---|---|
| Microsoft Sentinel-incidens/Riasztás/Entitás | A forgatókönyv az egyik Sentinel-eseményindítóval kezdődik (incidens, riasztás, entitás) |
| A Microsoft Sentinel-művelet használata | A forgatókönyv nem Sentinel-eseményindítóval kezdődik, de Microsoft Sentinel-műveletet használ |
| Egyéb | A forgatókönyv nem tartalmaz Sentinel-összetevőket |
| Nincs inicializálva | A forgatókönyv létrejött, de nem tartalmaz összetevőket (triggereket vagy műveleteket). |
A forgatókönyv Azure Logic Apps-oldalán további információk láthatók a forgatókönyvről, beleértve a futtatásuk sorának naplóját, valamint az eredményt (sikeres vagy sikertelen, valamint egyéb részleteket). A munkafolyamat-tervezőt az Azure Logic Appsben is megnyithatja, és közvetlenül szerkesztheti a forgatókönyvet, ha rendelkezik a megfelelő engedélyekkel.
API-kapcsolatok
Az API-kapcsolatok az Azure Logic Apps más szolgáltatásokhoz való csatlakoztatására szolgálnak. Minden alkalommal, amikor új hitelesítést végez egy összekötőhöz az Azure Logic Appsben, egy új típusú API-kapcsolat jön létre, és tartalmazza a szolgáltatáshoz való hozzáférés konfigurálásakor megadott információkat.
Az összes API-kapcsolat megtekintéséhez írja be az API-kapcsolatokat az Azure Portal fejléckeresési mezőjébe. Figyelje meg a fontos oszlopokat:
- Megjelenítendő név – a "barátságos" név, amit minden létrehozáskor megad a kapcsolatnak.
- Állapot – a kapcsolat állapotát jelzi: hiba, csatlakoztatva.
- Erőforráscsoport – AZ API-kapcsolatok a forgatókönyv (Azure Logic Apps) erőforráscsoportjában jönnek létre.
Az API-kapcsolatok megtekintésének másik módja, ha a Minden erőforrás lapra lép, és az API-kapcsolat típusával szűri. Így egyszerre több kapcsolat kijelölése, címkézése és törlése is lehetővé teszi.
Egy meglévő kapcsolat engedélyezésének módosításához írja be a kapcsolati erőforrást, és válassza az API-kapcsolat szerkesztése lehetőséget.
Ajánlott forgatókönyvek
Az alábbi ajánlott forgatókönyvek és más hasonló forgatókönyvek érhetők el a Tartalomközpontban vagy a Microsoft Sentinel GitHub-adattárban:
Az értesítési forgatókönyvek riasztás vagy incidens létrehozásakor aktiválódnak, és értesítést küldenek egy konfigurált célhelyre:
Forgatókönyv Mappa a következőben:
GitHub-adattárMegoldás a Content Hubban/
Azure PiactérÜzenet közzététele Microsoft Teams-csatornán Post-Message-Teams Sentinel SOAR Essentials megoldás Outlook e-mail-értesítés küldése Egyszerű e-mail küldése Sentinel SOAR Essentials megoldás Üzenet közzététele Slack-csatornában Üzenet utáni tartalékidő Sentinel SOAR Essentials megoldás Microsoft Teams adaptív kártya küldése incidens létrehozásakor Send-Teams-adaptive-card-on-incident-creation Sentinel SOAR Essentials megoldás A forgatókönyvek blokkolása riasztás vagy incidens létrehozásakor aktiválódik, entitásadatokat gyűjt, például a fiókot, az IP-címet és a gazdagépet, és letiltja őket a további műveletektől:
Forgatókönyv Mappa a következőben:
GitHub-adattárMegoldás a Content Hubban/
Azure PiactérIP-cím letiltása az Azure Firewallban AzureFirewall-BlockIP-addNewRule Azure Firewall-megoldás a Sentinelhez Microsoft Entra-felhasználó letiltása Block-AADUser Microsoft Entra-megoldás Microsoft Entra felhasználói jelszó alaphelyzetbe állítása Reset-AADUserPassword Microsoft Entra-megoldás Eszköz elkülönítése vagy feloldása
Végponthoz készült Microsoft DefenderIzolátum-MDEMachine
Unisolate-MDEMachineVégponthoz készült Microsoft Defender megoldás Forgatókönyvek létrehozása, frissítése vagy bezárása incidenseket hozhat létre, frissíthet vagy zárhat be a Microsoft Sentinelben, a Microsoft 365 biztonsági szolgáltatásaiban vagy más jegykezelő rendszerekben:
Forgatókönyv Mappa a következőben:
GitHub-adattárMegoldás a Content Hubban/
Azure PiactérIncidens létrehozása a Microsoft Forms használatával CreateIncident-MicrosoftForms Sentinel SOAR Essentials megoldás Riasztások összekapcsolása incidensekkel relateAlertsToIncident-basedOnIP Sentinel SOAR Essentials megoldás ServiceNow-incidens létrehozása Create-SNOW-record ServiceNow-megoldás