Automatizálás a Microsoft Sentinelben: Biztonsági vezénylés, automatizálás és válasz (SOAR)
A biztonsági információk és események kezelése (SIEM) és a biztonsági műveleti központ (SOC) csapatai általában rendszeresen elárasztják a biztonsági riasztásokat és incidenseket, olyan nagy mennyiségben, hogy a rendelkezésre álló személyzet túlterhelt legyen. Ez túl gyakran jár olyan helyzetekben, amikor sok riasztást figyelmen kívül hagynak, és sok incidenst nem vizsgálnak meg, így a szervezet sebezhetővé válik a észrevétlen támadások ellen.
A Microsoft Sentinel a SIEM-rendszer mellett a biztonsági vezénylés, az automatizálás és a válasz (SOAR) platformja is. Ennek egyik elsődleges célja, hogy automatizálja a biztonsági műveleti központ és személyzet (SOC/SecOps) felelősségi körébe tartozó ismétlődő és kiszámítható bővítési, válasz- és szervizelési feladatokat, időt és erőforrásokat szabadítva fel a speciális fenyegetések részletesebb kivizsgálásához és kereséséhez.
Ez a cikk a Microsoft Sentinel soAR képességeit ismerteti, és bemutatja, hogy az automatizálási szabályok és forgatókönyvek biztonsági fenyegetésekre válaszul történő használata hogyan növeli az SOC hatékonyságát, és időt és erőforrásokat takarít meg.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Automatizálási szabályok
A Microsoft Sentinel automatizálási szabályokkal teszi lehetővé a felhasználók számára az incidenskezelési automatizálás központi helyről történő kezelését. Automatizálási szabályok használata:
- Speciálisabb automatizálás hozzárendelése incidensekhez és riasztásokhoz forgatókönyvek használatával
- Incidensek automatikus címkézése, hozzárendelése vagy bezárása forgatókönyv nélkül
- Több elemzési szabály válaszainak automatizálása egyszerre
- Az elemzők által az incidensek osztályozása, kivizsgálása és szervizelése során végrehajtandó feladatok listája
- A végrehajtott műveletek sorrendjének szabályozása
Azt javasoljuk, hogy az incidensek létrehozásakor vagy frissítésekor alkalmazzon automatizálási szabályokat az automatizálás további egyszerűsítése és az incidens-vezénylési folyamatok összetett munkafolyamatainak egyszerűsítése érdekében.
További információ: Fenyegetéskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal.
Forgatókönyvek
A forgatókönyv a Microsoft Sentinelből rutinként futtatható válasz- és szervizelési műveletek és logika gyűjteménye. A forgatókönyvek:
- Segítség a fenyegetésmegoldás automatizálásához és vezényléséhez
- Integrálás más rendszerekkel, belső és külső rendszerekkel
- Konfigurálható úgy, hogy adott riasztásokra vagy incidensekre reagálva automatikusan fusson, vagy manuálisan fusson igény szerint, például új riasztásokra adott válaszként
A Microsoft Sentinelben a forgatókönyvek az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, amely egy felhőszolgáltatás, amely segít a feladatok és munkafolyamatok ütemezésében, automatizálásában és vezénylésében a vállalat különböző rendszereiben. Ez azt jelenti, hogy a forgatókönyvek kihasználhatják a Logic Apps integrációs és vezénylési képességeinek, valamint a könnyen használható tervezési eszközöknek, valamint az 1. szintű Azure-szolgáltatások skálázhatóságának, megbízhatóságának és szolgáltatási szintjének előnyeit.
További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben.
Automatizálás az egyesített biztonsági üzemeltetési platformmal
Miután előkészítette a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra, vegye figyelembe az alábbi különbségeket a munkaterület automatizálási funkcióiban:
| Funkciók | Leírás |
|---|---|
| Automation-szabályok riasztási eseményindítókkal | Az egyesített biztonsági üzemeltetési platformon a riasztási eseményindítókkal rendelkező automatizálási szabályok csak a Microsoft Sentinel-riasztásokra vonatkoznak. További információ: Riasztás létrehozása eseményindító. |
| Automatizálási szabályok incidensindítókkal | Az Azure Portalon és az egyesített biztonsági üzemeltetési platformon az incidensszolgáltató feltételtulajdonság el lesz távolítva, mivel minden incidenshez a Microsoft Defender XDR tartozik incidensszolgáltatóként (a ProviderName mezőben szereplő érték). Ezen a ponton minden meglévő automatizálási szabály a Microsoft Sentinel és a Microsoft Defender XDR incidenseken is fut, beleértve azokat is, ahol az incidensszolgáltató feltétele csak a Microsoft Sentinel vagy a Microsoft 365 Defender. Az adott elemzési szabály nevét meghatározó automatizálási szabályok azonban csak a megadott elemzési szabály által létrehozott riasztásokat tartalmazó incidenseken futnak. Ez azt jelenti, hogy az elemzési szabály névfeltételének tulajdonságát olyan elemzési szabályra határozhatja meg, amely csak a Microsoft Sentinelben létezik, hogy a szabály csak a Microsoft Sentinelben fusson incidenseken. További információ: Incidensindító feltételei. |
| Meglévő incidensnevek módosítása | Az egységes SOC-üzemeltetési platformon a Defender portál egy egyedi motort használ az incidensek és riasztások korrelációja érdekében. Amikor a munkaterületet az egyesített SOC-üzemeltetési platformra készíti fel, a meglévő incidensnevek megváltozhatnak a korreláció alkalmazásakor. Ezért azt javasoljuk, hogy az automatizálási szabályok mindig megfelelően fussanak, ezért javasoljuk, hogy kerülje az incidenscímek feltételfeltételként való használatát az automatizálási szabályokban, és helyette javasolja az incidensben szereplő riasztásokat létrehozó elemzési szabály nevét, illetve ha további specifikusságra van szükség. |
| Mező szerint frissítve | További információ: Incidensfrissítési eseményindító. |
| Incidensfeladatokat hozzáadni kívánt automatizálási szabályok | Ha egy automatizálási szabály incidensfeladatot ad hozzá, a feladat csak az Azure Portalon jelenik meg. |
| Microsoft-incidensek létrehozási szabályai | A Microsoft incidenslétrehozási szabályai nem támogatottak az egységes biztonsági üzemeltetési platformon. További információ: Microsoft Defender XDR-incidensek és Microsoft-incidensek létrehozási szabályai. |
| Automatizálási szabályok futtatása a Defender portálról | Akár 10 percig is eltarthat attól az időtől kezdve, amikor egy riasztás aktiválódik, és egy incidens jön létre vagy frissül a Defender portálon egy automatizálási szabály futtatásakor. Ez az időeltolódás azért van, mert az incidens a Defender portálon jön létre, majd továbbítja a Microsoft Sentinelnek az automatizálási szabályhoz. |
| Aktív forgatókönyvek lap | Az egyesített biztonsági üzemeltetési platformra való előkészítés után alapértelmezés szerint az Aktív forgatókönyvek lap egy előre definiált szűrőt jelenít meg a beépített munkaterület előfizetésével. Az Azure Portalon adjon hozzá adatokat más előfizetésekhez az előfizetési szűrő használatával. További információ: Microsoft Sentinel-forgatókönyvek létrehozása és testreszabása tartalomsablonokból. |
| Forgatókönyvek manuális futtatása igény szerint | Az egyesített biztonsági üzemeltetési platform jelenleg nem támogatja a következő eljárásokat: |
| Forgatókönyvek futtatása incidensek esetén a Microsoft Sentinel szinkronizálását igényli | Ha megpróbál forgatókönyvet futtatni egy incidensről az egyesített biztonsági üzemeltetési platformról, és a következő üzenet jelenik meg: "A művelettel kapcsolatos adatok nem érhetők el. Néhány perc múlva frissítse a képernyőt." üzenettel, ez azt jelenti, hogy az incidens még nincs szinkronizálva a Microsoft Sentinelnel. Frissítse az incidensoldalt az incidens szinkronizálása után a forgatókönyv sikeres futtatásához. |
| Incidensek: Riasztások hozzáadása incidensekhez / Riasztások eltávolítása incidensekből |
Mivel a riasztások hozzáadása vagy az incidensek riasztásainak eltávolítása nem támogatott a munkaterület egységes biztonsági üzemeltetési platformra való bevezetése után, ezek a műveletek a forgatókönyveken belül sem támogatottak. További információt a portálok közötti képességbeli különbségek című témakörben talál. |