Biztonsági vezénylés, automatizálás és válasz (SOAR) a Microsoft Sentinelben
Ez a cikk a Microsoft Sentinel biztonsági vezénylési, automatizálási és válaszképességeit ismerteti, és bemutatja, hogy az automatizálási szabályok és forgatókönyvek használata a biztonsági fenyegetésekre válaszul hogyan növeli az SOC hatékonyságát, és időt és erőforrásokat takarít meg.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A Microsoft Sentinel mint SOAR megoldás
A probléma
A SIEM/SOC-csapatokat általában rendszeresen elárasztják a biztonsági riasztások és incidensek, olyan nagy mennyiségben, hogy a rendelkezésre álló személyzet túlterhelt. Ez túl gyakran jár olyan helyzetekben, amikor sok riasztást figyelmen kívül hagynak, és sok incidenst nem vizsgálnak meg, így a szervezet sebezhetővé válik a észrevétlen támadások ellen.
A megoldás
A Microsoft Sentinel amellett, hogy biztonsági információ- és eseménykezelési (SIEM) rendszer, a biztonsági vezénylés, az automatizálás és a válasz (SOAR) platformja is. Ennek egyik elsődleges célja az, hogy automatizálja a Security Operations Center és a személyzet (SOC/SecOps) felelősségi körébe tartozó ismétlődő és kiszámítható bővítési, válasz- és szervizelési feladatokat, időt és erőforrásokat szabadítva fel a speciális fenyegetések részletesebb kivizsgálásához és kereséséhez. Az automatizálás a Microsoft Sentinelben néhány különböző formában jelenik meg, az incidenskezelés és -reagálás automatizálását központilag kezelő automatizálási szabályoktól kezdve az előre meghatározott műveletsorokat futtató forgatókönyvekig, amelyek hatékony és rugalmas fejlett automatizálást biztosítanak a fenyegetéskezelési feladatokhoz.
Automatizálási szabályok
Az automatizálási szabályok lehetővé teszik a felhasználók számára az incidenskezelés automatizálásának központi kezelését. Amellett, hogy forgatókönyveket rendelhet incidensekhez és riasztásokhoz, az automatizálási szabályok lehetővé teszik a több elemzési szabályra adott válaszok automatizálását, az incidensek automatikus címkézését, hozzárendelését vagy bezárását forgatókönyvek nélkül, az elemzők számára végrehajtandó feladatok listáját az incidensek osztályozása, kivizsgálása és elhárítása során, valamint a végrehajtott műveletek sorrendjének szabályozását. Az automatizálási szabályok lehetővé teszik az automatizálások alkalmazását az incidensek frissítésekor és létrehozásakor is. Ez az új funkció tovább egyszerűsíti a Microsoft Sentinel automatizálási használatát, és lehetővé teszi az incidens-vezénylési folyamatok összetett munkafolyamatainak egyszerűsítését.
További információ az automatizálási szabályok teljes magyarázatával.
Forgatókönyvek
A forgatókönyv a Microsoft Sentinelből rutinként futtatható válasz- és szervizelési műveletek és logika gyűjteménye. A forgatókönyvek segíthetnek automatizálni és vezénylni a fenyegetésre adott választ, integrálhatók más belső és külső rendszerekkel, és beállíthatják, hogy automatikusan fussanak adott riasztásokra vagy incidensekre reagálva, amikor egy elemzési szabály vagy egy automatizálási szabály aktiválja. Manuálisan is futtatható igény szerint, a riasztásokra válaszul az incidensek oldaláról.
A Microsoft Sentinel forgatókönyvei az Azure Logic Appsben létrehozott munkafolyamatokon alapulnak, amely egy felhőszolgáltatás, amely segít a feladatok és munkafolyamatok ütemezésében, automatizálásában és vezénylésében a nagyvállalati rendszereken. Ez azt jelenti, hogy a forgatókönyvek kihasználhatják a Logic Apps integrációs és vezénylési képességeinek, valamint a könnyen használható tervezési eszközöknek, valamint az 1. szintű Azure-szolgáltatások skálázhatóságának, megbízhatóságának és szolgáltatási szintjének előnyeit.
További információ a forgatókönyvek teljes magyarázatával.
Automatizálás az egyesített biztonsági üzemeltetési platformmal
Miután előkészítette a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra, vegye figyelembe az alábbi különbségeket a munkaterület automatizálási funkcióiban:
| Funkciók | Leírás |
|---|---|
| Automation-szabályok riasztási eseményindítókkal | Az egyesített biztonsági üzemeltetési platformon a riasztási eseményindítókkal rendelkező automatizálási szabályok csak a Microsoft Sentinel-riasztásokra vonatkoznak. További információ: Riasztás létrehozása eseményindító. |
| Automatizálási szabályok incidensindítókkal | Az Azure Portalon és az egyesített biztonsági üzemeltetési platformon az incidensszolgáltató feltételtulajdonság el lesz távolítva, mivel minden incidenshez a Microsoft Defender XDR tartozik incidensszolgáltatóként (a ProviderName mezőben szereplő érték). Ezen a ponton minden meglévő automatizálási szabály a Microsoft Sentinel és a Microsoft Defender XDR incidenseken is fut, beleértve azokat is, ahol az incidensszolgáltató feltétele csak a Microsoft Sentinel vagy a Microsoft 365 Defender. Az adott elemzési szabály nevét meghatározó automatizálási szabályok azonban csak a megadott elemzési szabály által létrehozott incidenseken fognak futni. Ez azt jelenti, hogy az elemzési szabály névfeltételének tulajdonságát olyan elemzési szabályra határozhatja meg, amely csak a Microsoft Sentinelben létezik, hogy a szabály csak a Microsoft Sentinelben fusson incidenseken. További információ: Incidensindító feltételei. |
| Meglévő incidensnevek módosítása | Az egységes SOC-üzemeltetési platformon a Defender portál egy egyedi motort használ az incidensek és riasztások korrelációja érdekében. Amikor a munkaterületet az egyesített SOC-üzemeltetési platformra készíti fel, a meglévő incidensnevek megváltozhatnak a korreláció alkalmazásakor. Ezért azt javasoljuk, hogy az automatizálási szabályok mindig megfelelően fussanak, ezért javasoljuk, hogy kerülje az incidenscímkék használatát az automatizálási szabályokban, és javasolja inkább a címkék használatát. |
| Mező szerint frissítve | További információ: Incidensfrissítési eseményindító. |
| Incidensfeladatokat hozzáadni kívánt automatizálási szabályok | Ha egy automatizálási szabály incidensfeladatot ad hozzá, a tevékenység csak az Azure Portalon jelenik meg. |
| Microsoft-incidensek létrehozási szabályai | A Microsoft incidenslétrehozási szabályai nem támogatottak az egységes biztonsági üzemeltetési platformon. További információ: Microsoft Defender XDR-incidensek és Microsoft-incidensek létrehozási szabályai. |
| Automatizálási szabályok futtatása a Defender portálról | Akár 10 percig is eltarthat attól az időtől kezdve, amikor egy riasztás aktiválódik, és egy incidens jön létre vagy frissül a Defender portálon egy automatizálási szabály futtatásakor. Ez az időeltolódás azért van, mert az incidens a Defender portálon jön létre, majd továbbítja a Microsoft Sentinelnek az automatizálási szabályhoz. |
| Aktív forgatókönyvek lap | Az egyesített biztonsági üzemeltetési platformra való előkészítés után alapértelmezés szerint az Aktív forgatókönyvek lap egy előre definiált szűrőt jelenít meg a beépített munkaterület előfizetésével. Adjon hozzá adatokat más előfizetésekhez az előfizetési szűrő használatával. További információ: Microsoft Sentinel-forgatókönyvek létrehozása és testreszabása tartalomsablonokból. |
| Forgatókönyvek manuális futtatása igény szerint | Az egyesített biztonsági üzemeltetési platform jelenleg nem támogatja a következő eljárásokat: |
| Forgatókönyvek futtatása incidensek esetén a Microsoft Sentinel szinkronizálását igényli | Ha megpróbál forgatókönyvet futtatni egy incidensről az egyesített biztonsági üzemeltetési platformról, és a következő üzenet jelenik meg: "A művelettel kapcsolatos adatok nem érhetők el. Néhány perc múlva frissítse a képernyőt." üzenettel, ez azt jelenti, hogy az incidens még nincs szinkronizálva a Microsoft Sentinelnel. Frissítse az incidensoldalt az incidens szinkronizálása után a forgatókönyv sikeres futtatásához. |
Következő lépések
Ebben a dokumentumban megtanulta, hogyan használja a Microsoft Sentinel az automatizálást az SOC hatékonyabb és hatékonyabb működéséhez.
- Az incidenskezelés automatizálásával kapcsolatos további információkért lásd : Incidenskezelés automatizálása a Microsoft Sentinelben.
- A speciális automatizálási lehetőségekről további információt a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben című témakörben talál.
- Az automatizálási szabályok létrehozásának megkezdéséhez tekintse meg a Microsoft Sentinel automatizálási szabályainak létrehozását és használatát az incidensek kezeléséhez
- A speciális automatizálás forgatókönyvekkel való implementálásával kapcsolatos segítségért tekintse meg az oktatóanyagot: Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához a Microsoft Sentinelben.