Oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal Microsoft Sentinelben

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissítjük ezeket az oldalakat. További információ a legújabb Microsoft biztonsági fejlesztésekről.

Ez az oktatóanyag bemutatja, hogyan használhat forgatókönyveket automatizálási szabályokkal együtt az incidensek elhárításának automatizálására és az Microsoft Sentinel által észlelt biztonsági fenyegetések elhárítására. Az oktatóanyag elvégzése után a következőkre lesz képes:

  • Automatizálási szabály létrehozása
  • Forgatókönyv létrehozása
  • Műveletek hozzáadása forgatókönyvhöz
  • Forgatókönyv csatolása automatizálási szabályhoz vagy elemzési szabályhoz a fenyegetéskezelés automatizálásához

Megjegyzés

Ez az oktatóanyag alapvető útmutatást nyújt a legfontosabb ügyfélfeladatokhoz: automatizálás létrehozása incidensek osztályozásához. További információ: Útmutató szakaszunk, például a Fenyegetéskezelés automatizálása forgatókönyvekkel a Sentinel Microsoft és a Triggerek és műveletek használata Microsoft Sentinel-forgatókönyvekben.

Mik azok az automatizálási szabályok és forgatókönyvek?

Az automatizálási szabályok segítenek az incidensek osztályozásában Microsoft Sentinelben. Ezekkel automatikusan hozzárendelheti az incidenseket a megfelelő személyzethez, lezárhatja a zajos incidenseket vagy az ismert téves pozitívumokat, módosíthatja a súlyosságukat, és címkéket adhat hozzá. Ez az a mechanizmus is, amellyel forgatókönyveket futtathat incidensekre reagálva.

A forgatókönyvek olyan eljárások gyűjteményei, amelyek egy riasztásra vagy incidensre reagálva futtathatók Microsoft Sentinelből. A forgatókönyvek segíthetnek a válasz automatizálásában és vezénylésében, és beállítható úgy, hogy automatikusan fussanak adott riasztások vagy incidensek létrehozásakor egy elemzési szabályhoz vagy egy automatizálási szabályhoz csatolva. Igény szerint manuálisan is futtatható.

A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben beépített munkafolyamatokon alapulnak, ami azt jelenti, hogy a Logic Apps összes funkcióját, testre szabhatóságát és beépített sablonját megkapja. Minden forgatókönyv ahhoz az előfizetéshez jön létre, amelyhez tartozik, de a forgatókönyvek megjelenítése megjeleníti a kiválasztott előfizetések között elérhető összes forgatókönyvet.

Megjegyzés

Mivel a forgatókönyvek az Azure Logic Appst használják, további díjak merülhetnek fel. További részletekért látogasson el az Azure Logic Apps díjszabási oldalára.

Ha például meg szeretné akadályozni, hogy a potenciálisan sérült felhasználók ne mozogjanak a hálózaton, és adatokat lopjanak el, létrehozhat egy automatizált, sokrétű választ a feltört felhasználókat észlelő szabályok által generált incidensekre. Először hozzon létre egy forgatókönyvet, amely a következő műveleteket hajtja végre:

  1. Ha a forgatókönyvet egy incidenst átadó automatizálási szabály hívja meg, a forgatókönyv megnyit egy jegyet a ServiceNow-ban vagy bármely más informatikai jegykezelő rendszerben.

  2. Üzenetet küld a biztonsági üzemeltetési csatornának a Microsoft Teamsben vagy a Slackben, hogy a biztonsági elemzők értesüljenek az incidensről.

  3. Emellett egy e-mailben elküldi az incidens összes információját a vezető hálózati rendszergazdának és biztonsági rendszergazdának. Az e-mail-üzenet tartalmazza a Felhasználói beállítások blokkolása és mellőzése gombokat.

  4. A forgatókönyv megvárja, amíg választ kap a rendszergazdáktól, majd folytatja a következő lépésekkel.

  5. Ha a rendszergazdák a Letiltás lehetőséget választják, egy parancsot küld a Azure AD a felhasználó letiltásához, egyet pedig a tűzfalnak az IP-cím letiltásához.

  6. Ha a rendszergazdák a Mellőzés lehetőséget választják, a forgatókönyv lezárja az incidenst Microsoft Sentinelben, a jegyet pedig a ServiceNow-ban.

A forgatókönyv aktiválásához létre fog hozni egy automatizálási szabályt, amely akkor fut, amikor ezek az incidensek létrejönnek. Ez a szabály a következő lépéseket hajtja végre:

  1. A szabály aktívra módosítja az incidens állapotát.

  2. Hozzárendeli az incidenst az ilyen típusú incidensek kezelésével megbízott elemzőhöz.

  3. Hozzáadja a "sérült felhasználó" címkét.

  4. Végül meghívja az imént létrehozott forgatókönyvet. (Ehhez a lépéshez speciális engedélyek szükségesek.)

A forgatókönyvek automatikusan futtathatók incidensekre reagálva, olyan automatizálási szabályok létrehozásával, amelyek a forgatókönyveket műveleteknek nevezik, ahogy a fenti példában is látható. A riasztásokra válaszul automatikusan is futtathatók, ha az elemzési szabályt arra utasítja, hogy a riasztás létrehozásakor automatikusan futtassanak egy vagy több forgatókönyvet.

A kiválasztott riasztásra adott válaszként manuálisan is futtathat forgatókönyvet.

Teljesebb és részletesebb bevezetést kaphat a fenyegetések elhárításának automatizálási szabályokkal és forgatókönyvekkel történő automatizálásához a Sentinel Microsoft.

Forgatókönyv létrehozása

Az alábbi lépéseket követve hozzon létre egy új forgatókönyvet Microsoft Sentinelben:

Képernyőkép a menü kiválasztásáról, amely új forgatókönyvet ad hozzá az Automation képernyőn.

  1. A Microsoft Sentinel navigációs menüjében válassza az Automation lehetőséget.

  2. A felső menüben válassza a Létrehozás lehetőséget.

  3. A Létrehozás területen megjelenő legördülő menüben három lehetőség közül választhat forgatókönyvek létrehozásához:

    1. Ha Standard forgatókönyvet hoz létre (az új típust – lásd : Logikai alkalmazástípusok), válassza az Üres forgatókönyv lehetőséget, majd kövesse az alábbi Logic Apps Standard lapon található lépéseket.

    2. Ha Használat forgatókönyvet hoz létre (az eredeti, klasszikus típust), akkor attól függően, hogy melyik eseményindítót szeretné használni, válassza a Forgatókönyv incidenses eseményindítóval vagy a Forgatókönyv riasztási eseményindítóval lehetőséget. Ezután folytassa az alábbi Logic Apps-használat lapon található lépésekkel.

      Megjegyzés

      Ne feledje, hogy automatizálási szabályok csak az incidens eseményindítóján alapuló forgatókönyveket hívhatják meg. A riasztási eseményindítón alapuló forgatókönyveket úgy kell definiálni, hogy közvetlenül az elemzési szabályokban fussanak. Mindkét típus manuálisan is futtatható.

      További információ a használni kívánt eseményindítóról: Triggerek és műveletek használata Microsoft Sentinel-forgatókönyvekben

A forgatókönyv és a logikai alkalmazás előkészítése

Függetlenül attól, hogy melyik eseményindítóval hozta létre a forgatókönyvet az előző lépésben, megjelenik a Forgatókönyv létrehozása varázsló.

Logikai alkalmazás létrehozása

  1. Az Alapok lapon:

    1. Válassza ki a kívánt előfizetést, erőforráscsoportot és régiót a megfelelő legördülő listákból. A rendszer a kiválasztott régióban tárolja a logikai alkalmazás adatait.

    2. Írja be a forgatókönyv nevét a Forgatókönyv neve mezőbe.

    3. Ha diagnosztikai célból szeretné monitorozni a forgatókönyv tevékenységeit, jelölje be a Diagnosztikai naplók engedélyezése a Log Analyticsben jelölőnégyzetet, és válassza ki a Log Analytics-munkaterületet a legördülő listából.

    4. Ha a forgatókönyveknek hozzáférésre van szükségük egy Azure-beli virtuális hálózaton belüli vagy ahhoz kapcsolódó védett erőforrásokhoz, előfordulhat, hogy integrációs szolgáltatási környezetet (ISE) kell használnia. Ha igen, jelölje be a Társítás az integrációs szolgáltatás környezetével jelölőnégyzetet, és válassza ki a kívánt ISE-t a legördülő listából.

    5. Válassza a Tovább: Kapcsolatok lehetőséget >.

  2. A Kapcsolatok lapon:

    Ideális esetben a következőképpen kell hagynia ezt a szakaszt: a Logic Apps konfigurálása Microsoft Sentinelhez való csatlakozáshoz felügyelt identitással. További információ erről és más hitelesítési lehetőségekről.

    Válassza a Tovább : Áttekintés és létrehozás >lehetőséget.

  3. A Véleményezés és létrehozás lapon:

    Tekintse át az elvégzett konfigurációs beállításokat, és válassza a Létrehozás lehetőséget, és folytassa a tervezőt.

  4. A forgatókönyv létrehozása és üzembe helyezése eltarthat néhány percig, majd megjelenik a "Az üzembe helyezés befejeződött" üzenet, amelyet a rendszer az új forgatókönyv Logikai alkalmazástervezőjébe visz. Az elején kiválasztott eseményindító automatikusan hozzá lesz adva első lépésként, és onnan folytathatja a munkafolyamat tervezését.

    Képernyőkép a logikaialkalmazás-tervező képernyőről a nyitó eseményindítóval.

Műveletek hozzáadása

Most már meghatározhatja, hogy mi történjen, amikor meghívja a forgatókönyvet. Az Új lépés lehetőséget választva műveleteket, logikai feltételeket, hurkokat vagy váltási esetfeltételeket adhat hozzá. Ez a kijelölés egy új keretet nyit meg a tervezőben, ahol kiválaszthatja a használni kívánt rendszert vagy alkalmazást, illetve egy beállítandó feltételt. Írja be a rendszer vagy alkalmazás nevét a keret tetején található keresősávba, majd válasszon az elérhető eredmények közül.

A lépések mindegyikében egy mezőre kattintva megjelenik egy panel két menüvel: Dinamikus tartalom és Kifejezés. A Dinamikus tartalom menüben hivatkozásokat adhat a forgatókönyvnek átadott riasztás vagy incidens attribútumaihoz, beleértve a riasztásban vagy incidensben található összes leképezett entitás értékét és attribútumait, valamint egyéni részleteket . A Kifejezés menüben egy nagy függvénytár közül választhat, hogy további logikát adjon hozzá a lépésekhez.

Logikaialkalmazás-tervező

Ez a képernyőkép azokat a műveleteket és feltételeket mutatja be, amelyeket a dokumentum elején, a példában ismertetett forgatókönyv létrehozásához adna hozzá. Az egyetlen különbség az, hogy az itt bemutatott forgatókönyvben a riasztási eseményindítót használja az incidens-eseményindító helyett. Ez azt jelenti, hogy ezt a forgatókönyvet közvetlenül egy elemzési szabályból fogja meghívni, nem egy automatizálási szabályból. A forgatókönyvek meghívásának mindkét módját az alábbiakban ismertetjük.

Veszélyforrás-válaszok automatizálása

Létrehozta a forgatókönyvet, meghatározta az eseményindítót, beállította a feltételeket, és előírta a végrehajtandó műveleteket és az általa előállított kimeneteket. Most meg kell határoznia azokat a feltételeket, amelyek alapján futni fog, és be kell állítania azt az automatizálási mechanizmust, amely a feltételek teljesülése esetén futtatja azt.

Reagálás incidensekre

Forgatókönyv használatával reagálhat egy incidensre egy olyan automatizálási szabály létrehozásával, amely az incidens létrehozásakor fog futni, és ezzel meghívja a forgatókönyvet.

Automatizálási szabály létrehozása:

  1. A Microsoft Sentinel navigációs menüjének Automation paneljén válassza a létrehozás lehetőséget a felső menüben, majd az Új szabály hozzáadása lehetőséget.

    Új szabály hozzáadása

  2. Megnyílik az Új automatizálási szabály létrehozása panel. Adja meg a szabály nevét.

    Automatizálási szabály létrehozása

  3. Ha azt szeretné, hogy az automatizálási szabály csak bizonyos elemzési szabályokra legyen érvényes, adja meg, hogy melyek azok az If Analytics-szabálynév feltételének módosításával.

  4. Adja hozzá azokat a feltételeket, amelyektől az automatizálási szabály aktiválása függ. Kattintson a Feltétel hozzáadása elemre, és válassza ki a feltételeket a legördülő listából. A feltételek listáját a riasztás részletei és az entitásazonosító mezői töltik ki.

  5. Válassza ki azokat a műveleteket, amelyeket az automatizálási szabálynak el kell végeznie. Az elérhető műveletek közé tartozik a Tulajdonos hozzárendelése, az Állapot módosítása, a Súlyosság módosítása, a Címkék hozzáadása és a Forgatókönyv futtatása. Tetszőleges számú műveletet adhat hozzá.

  6. Ha hozzáad egy forgatókönyv-futtatási műveletet, a rendszer kérni fogja, hogy válasszon az elérhető forgatókönyvek legördülő listájából. Csak az incidens-eseményindítóval kezdődő forgatókönyvek futtathatók automatizálási szabályokból, így csak azok jelennek meg a listában.

    Fontos

    Microsoft Sentinelnek explicit engedélyekkel kell rendelkeznie ahhoz, hogy forgatókönyveket futtasson az incidens-eseményindító alapján, akár manuálisan, akár automatizálási szabályokból. Ha egy forgatókönyv "szürkén jelenik meg" a legördülő listában, az azt jelenti, hogy a Sentinel nem rendelkezik engedéllyel a forgatókönyv erőforráscsoportjához. Kattintson a Forgatókönyv-engedélyek kezelése hivatkozásra engedélyek hozzárendeléséhez.

    A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzetét, és kattintson az Alkalmaz gombra.

    Engedélyek kezelése

    • Saját magának kell tulajdonosi engedélyekkel rendelkeznie minden olyan erőforráscsoporthoz, amelyhez Microsoft Sentinel-engedélyeket szeretne adni, és a futtatni kívánt forgatókönyveket tartalmazó bármely erőforráscsoportban rendelkeznie kell a Logikai alkalmazás közreműködője szerepkörrel.

    • Több-bérlős üzemelő példányban, ha a futtatni kívánt forgatókönyv egy másik bérlőben található, meg kell adnia Microsoft Sentinel-engedélyt a forgatókönyv futtatásához a forgatókönyv bérlőjében.

      1. A forgatókönyvek bérlőjének Microsoft Sentinel navigációs menüjében válassza a Beállítások lehetőséget.
      2. A Beállítások panelen válassza a Beállítások lapot, majd a Forgatókönyv engedélyei bővítőt.
      3. Az Engedélyek konfigurálása gombra kattintva nyissa meg a fent említett Engedélyek kezelése panelt, és folytassa az ott leírtak szerint.
    • Ha MSSP-forgatókönyv esetén egy forgatókönyvet szeretne futtatni egy ügyfélbérlőben egy, a szolgáltató bérlőjébe bejelentkezve létrehozott automatizálási szabályból, meg kell adnia Microsoft Sentinel-engedélyt a forgatókönyv mindkét bérlőben való futtatásához. Az ügyfélbérlőben kövesse a több-bérlős üzembe helyezésre vonatkozó utasításokat az előző felsorolásban. A szolgáltató bérlőjében hozzá kell adnia az Azure Security Insights alkalmazást az Azure Lighthouse előkészítési sablonjához:

      1. Az Azure Portalon lépjen az Azure Active Directoryba.
      2. Kattintson a Vállalati alkalmazások elemre.
      3. Válassza az Alkalmazástípus lehetőséget, és szűrjön az Microsoft-alkalmazásokra.
      4. A keresőmezőbe írja be az Azure Security Insights kifejezést.
      5. Másolja ki az Objektumazonosító mezőt. Ezt a további engedélyt hozzá kell adnia a meglévő Azure Lighthouse-delegáláshoz.

      A Microsoft Sentinel Automation-közreműködő szerepkör rögzített GUID azonosítóval rendelkezik, amely a következőf4c81013-99ee-4d62-a7ee-b3f1f648599a: . Egy Azure Lighthouse-mintaengedélyezés így nézne ki a paramétersablonban:

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
      }
      
  7. Állítson be egy lejárati dátumot az automatizálási szabályhoz, ha azt szeretné, hogy legyen.

  8. Adjon meg egy számot a Sorrend csoportban annak meghatározásához, hogy az automatizálási szabályok sorrendjében hol fut ez a szabály.

  9. Kattintson az Alkalmaz gombra. Ennyi az egész!

Fedezze fel az automatizálási szabályok létrehozásának egyéb módjait.

Reagálás riasztásokra

Forgatókönyv használatával válaszolhat egy riasztásra egy elemzési szabály létrehozásával vagy egy meglévő szerkesztésével, amely a riasztás létrehozásakor fut, és a forgatókönyvet automatikus válaszként választja ki az elemzési szabály varázslójában.

  1. A Microsoft Sentinel navigációs menüjének Elemzés paneljén válassza ki azt az elemzési szabályt, amelynek a válaszát automatizálni szeretné, majd kattintson a Szerkesztés gombra a részletek panelen.

  2. Az Elemzési szabály varázsló – Meglévő ütemezett szabály szerkesztése lapon válassza az Automatizált válasz lapot.

    Automatizált válasz lap

  3. Válassza ki a forgatókönyvet a legördülő listából. Több forgatókönyvet is választhat, de csak a riasztási eseményindítót használó forgatókönyvek lesznek elérhetők.

  4. A Véleményezés és frissítés lapon válassza a Mentés lehetőséget.

Forgatókönyvek igény szerinti futtatása

Igény szerint manuálisan is futtathat forgatókönyvet az incidensek (előzetes verzió) és a riasztások esetében. Ez olyan helyzetekben lehet hasznos, amikor több emberi bemenetre van szüksége a vezénylési és válaszfolyamatok felett.

Forgatókönyv manuális futtatása riasztáson

  1. Az Incidensek lapon válasszon ki egy incidenst.

  2. Válassza a Teljes adatok megtekintése lehetőséget az incidens részletei panel alján.

  3. Az incidens részletei lapon válassza a Riasztások lapot, válassza ki azt a riasztást, amelyen futtatni szeretné a forgatókönyvet, majd válassza a forgatókönyvek megtekintése hivatkozást a riasztás sorának végén.

  4. Ekkor megnyílik a Riasztás forgatókönyvek panel. Megjelenik azoknak a forgatókönyveknek a listája, amelyekhez hozzáféréssel rendelkezik, Microsoft Sentinel Alert Logic Apps-eseményindítóval konfigurálva.

  5. Egy adott forgatókönyv sorában válassza a Futtatás lehetőséget, hogy azonnal futtathassa.

A forgatókönyvek futtatási előzményeit egy riasztásban a Riasztás forgatókönyvek panel Futtatások lapján tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztásakor megnyílik a teljes futtatási napló a Logic Appsben.

Forgatókönyv manuális futtatása incidens esetén

  1. Az Incidensek lapon válasszon ki egy incidenst.

  2. A jobb oldalon megjelenő incidens részletei panelen válassza az Actions > Run forgatókönyv (előzetes verzió) lehetőséget.
    (Ha kiválasztja az incidens vonalának végén található három elemet a rácson, vagy a jobb gombbal az incidensre kattint, ugyanaz a lista jelenik meg, mint a Művelet gomb.)

  3. Megnyílik a forgatókönyv futtatása incidenspanelen a jobb oldalon. Megjelenik azoknak a forgatókönyveknek a listája, amelyekhez hozzáféréssel rendelkezik, Microsoft Sentinel Incident Logic Apps-eseményindítóval konfigurálva.

    Megjegyzés

    Ha nem látja a listában futtatni kívánt forgatókönyvet, az azt jelenti, Microsoft a Sentinelnek nincs engedélye a forgatókönyvek futtatására az adott erőforráscsoportban (lásd a fenti megjegyzést). Az engedélyek megadásához válassza a Beállítások lehetőséget a főmenüben, válassza a Beállítások lapot, bontsa ki a Forgatókönyv engedélyeinek kibontóját, és válassza az Engedélyek konfigurálása lehetőséget. A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget.

  4. Egy adott forgatókönyv sorában válassza a Futtatás lehetőséget, hogy azonnal futtathassa.

Az incidensek forgatókönyveinek futtatási előzményeit a Forgatókönyv futtatása incidens panel Futtatások lapján tekintheti meg. Eltarthat néhány másodpercig, hogy az éppen befejezett futtatás megjelenjen a listában. Egy adott futtatás kiválasztásakor megnyílik a teljes futtatási napló a Logic Appsben.

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan használhat forgatókönyveket és automatizálási szabályokat Microsoft Sentinelben a fenyegetésekre való reagáláshoz.