Megosztás a következőn keresztül:


Feladatok használata incidensek kezeléséhez a Microsoft Sentinelben

A biztonsági műveletek (SecOps) hatékony és hatékony futtatásának egyik legfontosabb tényezője a folyamatok szabványosítása. A SecOps-elemzők várhatóan elvégzik a lépések vagy feladatok listáját az incidensek osztályozása, kivizsgálása vagy szervizelése során. A feladatok listájának szabványosítása és formalizálása segíthet zökkenőmentesen futni az SOC-ben, biztosítva, hogy minden elemzőre ugyanazok a követelmények vonatkozzanak. Így függetlenül attól, hogy ki van műszakban, egy incidens mindig ugyanazt a kezelést és SLA-kat kapja. Az elemzőknek nem kell azzal tölteniük az időt, hogy átgondolják, mit kell tenniük, vagy amiatt kell aggódniuk, hogy hiányzik egy kritikus lépés. Ezeket a lépéseket az SOC-kezelő vagy a vezető elemzők (2/3. szint) határozzák meg a gyakori biztonsági ismeretek (például az NIST) alapján, a múltbeli incidensekkel kapcsolatos tapasztalataik vagy az incidenst észlelő biztonsági szállító javaslatai alapján.

Használati esetek

  • Az SOC-elemzők egyetlen központi ellenőrzőlistával kezelhetik az incidensek osztályozásának, vizsgálatának és válaszának folyamatát anélkül, hogy egy kritikus lépés hiányával kellene foglalkozniuk.

  • Az SOC mérnökei vagy vezető elemzői dokumentálhatják, frissíthetik és igazíthatják az incidenskezelés szabványait az elemzők csapatai és műszakjai között. Emellett feladatlistákat is létrehozhatnak az új típusú incidensekkel szembesülő új elemzők vagy elemzők betanításához.

  • SOC-kezelőként vagy MSSP-ként meggyőződhet arról, hogy az incidensek kezelése a vonatkozó SLA-knak/SOP-knak megfelelően történik.

Előfeltételek

A Microsoft Sentinel Válaszadó szerepkör szükséges az automatizálási szabályok létrehozásához, valamint az incidensek megtekintéséhez és szerkesztéséhez, amelyek mind a tevékenységek hozzáadásához, megtekintéséhez és szerkesztéséhez szükségesek.

Forgatókönyvek létrehozásához és szerkesztéséhez a Logic Apps közreműködői szerepköre szükséges.

Forgatókönyvek

Elemző

Feladatok követése incidens kezelésekor

Amikor kijelöl egy incidenst, és megtekinti a teljes részleteket, a jobb oldali panelen láthatja az incidenshez hozzáadott összes feladatot, manuálisan vagy automatizálási szabályokkal.

Bontsa ki a feladatot a teljes leírás megtekintéséhez, beleértve a felhasználót, az automatizálási szabályt vagy az azt létrehozó forgatókönyvet.

Jelölje be a feladat befejezését a "jelölőnégyzet" kör kiválasztásával.

Screenshot of incident tasks panel for analysts on incident details screen.

Tevékenységek hozzáadása helyszíni incidenshez

Tevékenységeket adhat hozzá egy megnyitott incidenshez, amelyen éppen dolgozik, vagy emlékeztetőt adhat magának azokról a műveletekről, amelyeket szükségesnek talált, vagy rögzítheti azokat a műveleteket, amelyeket saját kezdeményezése során hajtott végre, és amelyek nem jelennek meg a feladatlistában. Az így hozzáadott feladatok csak a nyitott incidensre vonatkoznak.

Munkafolyamat létrehozója

Tevékenységek hozzáadása incidensekhez automatizálási szabályokkal

A Feladat hozzáadása automatizálási szabályokban művelettel automatikusan megjeleníti az összes incidenst az elemzők feladatainak ellenőrzőlistájával. Az elemzési szabály névfeltételének beállítása az automatizálási szabályban a hatókör meghatározásához:

  • Alkalmazza az automatizálási szabályt az összes elemzési szabályra , hogy meghatározza az összes incidensre alkalmazandó feladatok szabványos készletét.

  • Ha az automatizálási szabályt korlátozott elemzési szabályokra alkalmazza, meghatározott feladatokat rendelhet hozzá adott incidensekhez az elemzési szabály vagy az incidenseket létrehozó szabályok által észlelt fenyegetéseknek megfelelően.

Vegye figyelembe, hogy a tevékenységek incidensben való megjelenésének sorrendjét a tevékenységek létrehozási ideje határozza meg. Beállíthatja az automatizálási szabályok sorrendjét, hogy az összes incidenshez szükséges feladatokat tartalmazó szabályok fussanak először, és csak utána minden olyan szabály, amely az adott elemzési szabályok által létrehozott incidensekhez szükséges feladatokat adja hozzá. Egyetlen szabályon belül a műveletek meghatározásának sorrendje határozza meg, hogy milyen sorrendben jelenjenek meg egy incidensben.

Egy új automatizálási szabály létrehozása előtt tekintse meg, hogy mely incidensekre vonatkoznak a meglévő automatizálási szabályok és feladatok.
Az Automation-szabályok listájában található Műveletszűrővel csak azokat a szabályokat tekintheti meg, amelyek tevékenységeket adnak hozzá az incidensekhez, és megtekintheti, hogy ezek az automatizálási szabályok mely elemzési szabályokra vonatkoznak, hogy megértse, mely incidensekhez lesznek hozzáadva ezek a tevékenységek.

Feladatok hozzáadása incidensekhez forgatókönyvekkel

A Feladat hozzáadása művelettel a forgatókönyvben (a Microsoft Sentinel-összekötőben) automatikusan hozzáadhat egy feladatot a forgatókönyvet kiváltó incidenshez.

Ezután a feladat tartalmának befejezéséhez használjon más forgatókönyvműveleteket – a megfelelő Logic Apps-összekötőkben.

Végül használja a Tevékenység megjelölése befejezettként műveletet (ismét a Microsoft Sentinel-összekötőben) a feladat befejezésének automatikus megjelöléséhez.

Vegyük példaként az alábbi forgatókönyveket:

  • A forgatókönyvek felvehetnek és végrehajthatnak feladatokat: Incidens létrehozásakor egy forgatókönyvet aktivál, amely a következőket teszi:

    1. Hozzáad egy feladatot az incidenshez a felhasználó jelszavának alaphelyzetbe állításához.
    2. A feladatot úgy hajtja végre, hogy api-hívást indít a felhasználó kiépítési rendszerének a felhasználó jelszavának alaphelyzetbe állításához.
    3. Választ vár a rendszertől az alaphelyzetbe állítás sikerességére vagy sikertelenségére.
      • Ha a jelszó-visszaállítás sikeres volt, a forgatókönyv befejezettként jelöli meg az incidensben létrehozott feladatot.
      • Ha a jelszó-visszaállítás sikertelen volt, a forgatókönyv nem jelöli meg a feladatot befejezettként, így egy elemzőnek kell elvégeznie.
  • Adja meg a forgatókönyvnek, hogy szükség van-e feltételes feladatok hozzáadására: Incidens létrehozásakor elindít egy forgatókönyvet, amely ip-címjelentést kér egy külső fenyegetésintelligencia-forrástól.

    • Ha az IP-cím rosszindulatú, a forgatókönyv hozzáad egy bizonyos feladatot (például "Az IP-cím letiltása").
    • Ellenkező esetben a forgatókönyv nem hajt végre további műveletet.

Automatizálási szabályokat vagy forgatókönyveket használ a feladatok hozzáadásához?

Milyen szempontok alapján kell meghatározni, hogy ezek közül a módszerek közül melyiket kell használni az incidensfeladatok létrehozásához?

  • Automatizálási szabályok: Ha lehetséges, használja. Egyszerű, statikus feladatokhoz használható, amelyek nem igényelnek interaktivitást.
  • Forgatókönyvek: Speciális használati esetekhez használható – feltételeken alapuló feladatok létrehozása vagy integrált automatizált műveletekkel rendelkező feladatok létrehozása.

Következő lépések