Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben
Az SOC-elemzők számos biztonsági riasztással és incidenssel foglalkoznak, és a nagy mennyiség túlterhelheti a csapatokat, így figyelmen kívül hagyhatja a riasztásokat és a váratlan incidenseket. Számos riasztást és incidenst ugyanazokkal az előre definiált szervizelési műveletekkel lehet kezelni, amelyek automatizálhatók, hogy az SOC hatékonyabbá és mélyebb vizsgálatokhoz szabadítson fel elemzőket.
A Microsoft Sentinel forgatókönyveivel előre konfigurált szervizelési műveleteket futtathat a fenyegetésmegoldás automatizálásához és vezényléséhez. Forgatókönyvek automatikus futtatása adott riasztásokra és incidensekre válaszul, amelyek egy konfigurált automatizálási szabályt aktiválnak, vagy manuálisan és igény szerint egy adott entitás vagy riasztás esetében.
Ha például egy fiók és gép biztonsága sérül, a forgatókönyvek automatikusan elkülönítik a gépet a hálózattól, és letiltják a fiókot addig, amíg az SOC-csapat értesítést kap az incidensről.
Feljegyzés
Mivel a forgatókönyvek az Azure Logic Appst használják, további díjak is vonatkozhatnak. További részletekért látogasson el az Azure Logic Apps díjszabási oldalára.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Ajánlott használati esetek
Az alábbi táblázat azokat a magas szintű használati eseteket sorolja fel, amelyekben a Microsoft Sentinel forgatókönyveinek használatát javasoljuk a fenyegetésmegoldás automatizálásához:
| Használati eset | Leírás |
|---|---|
| Dúsítás | Gyűjtse össze az adatokat, és csatolja egy incidenshez, hogy a csapat intelligensebb döntéseket hozzon. |
| Kétirányú szinkronizálás | Szinkronizálja a Microsoft Sentinel-incidenseket más jegykezelő rendszerekkel. Hozzon létre például egy automatizálási szabályt az összes incidens létrehozásához, és csatoljon egy forgatókönyvet, amely megnyitja a jegyet a ServiceNow-ban. |
| Vezénylés | Az SOC-csapat csevegőplatformjával jobban szabályozhatja az incidensek üzenetsorát. Küldjön például egy üzenetet a Microsoft Teams vagy a Slack biztonsági üzemeltetési csatornájának, hogy a biztonsági elemzők értesüljenek az incidensről. |
| Válasz | Azonnal reagáljon a fenyegetésekre, minimális emberi függőségekkel, például ha sérült felhasználót vagy gépet jelez. Másik lehetőségként manuálisan aktiválhat automatizált lépések sorozatát egy vizsgálat vagy a vadászat során. |
További információ: Ajánlott forgatókönyv használati esetek, sablonok és példák.
Előfeltételek
A következő szerepkörök szükségesek ahhoz, hogy az Azure Logic Apps segítségével forgatókönyveket hozzon létre és futtasson a Microsoft Sentinelben.
| Szerepkör | Leírás |
|---|---|
| Tulajdonos | Lehetővé teszi, hogy hozzáférést biztosítson az erőforráscsoport forgatókönyveihez. |
| Microsoft Sentinel-közreműködő | Segítségével forgatókönyvet csatolhat egy elemzési vagy automatizálási szabályhoz. |
| Microsoft Sentinel-válaszadó | Lehetővé teszi az incidensek elérését a forgatókönyv manuális futtatásához, de nem teszi lehetővé a forgatókönyv futtatását. |
| Microsoft Sentinel Forgatókönyv-kezelő | Lehetővé teszi a forgatókönyv manuális futtatását. |
| Microsoft Sentinel Automation-közreműködő | Lehetővé teszi az automatizálási szabályok számára forgatókönyvek futtatását. Ez a szerepkör semmilyen más célra nem használható. |
Az alábbi táblázat a kötelező szerepköröket írja le attól függően, hogy a forgatókönyv létrehozásához a Használat vagy a Standard logikai alkalmazást választja-e:
| Logikai alkalmazás | Azure-szerepkörök | Leírás |
|---|---|---|
| Felhasználás | Logikai alkalmazás közreműködője | Logikai alkalmazások szerkesztése és kezelése. Forgatókönyvek futtatása. Nem engedélyezi a hozzáférést a forgatókönyvekhez. |
| Felhasználás | Logikai alkalmazás operátora | Logikai alkalmazások olvasása, engedélyezése és letiltása. Nem teszi lehetővé a logikai alkalmazások szerkesztését és frissítését. |
| Standard | Logic Apps Standard operátor | Munkafolyamatok engedélyezése, újraküldése és letiltása egy logikai alkalmazásban. |
| Standard | Logic Apps Standard Developer | Logikai alkalmazások létrehozása és szerkesztése. |
| Standard | Logic Apps Standard közreműködő | A logikai alkalmazások minden aspektusának kezelése. |
Az Automation lapon az Aktív forgatókönyvek lap megjeleníti a kiválasztott előfizetésekben elérhető összes aktív forgatókönyvet. Alapértelmezés szerint a forgatókönyvek csak azon az előfizetésen belül használhatók, amelyhez tartoznak, kivéve, ha kifejezetten engedélyt ad a Microsoft Sentinelnek a forgatókönyv erőforráscsoportjának.
További engedélyek szükségesek a Microsoft Sentinelhez forgatókönyvek futtatásához
A Microsoft Sentinel szolgáltatásfiókkal forgatókönyveket futtat az incidensekről, biztonsági beállításokat ad hozzá, és engedélyezi az automatizálási szabályok API-t a CI/CD-használati esetek támogatásához. Ez a szolgáltatásfiók incidens által aktivált forgatókönyvekhez, illetve forgatókönyvek manuális futtatásához használható egy adott incidensen.
A saját szerepkörei és engedélyei mellett ennek a Microsoft Sentinel szolgáltatásfióknak saját engedélykészlettel kell rendelkeznie azon erőforráscsoporthoz, amelyben a forgatókönyv található, a Microsoft Sentinel Automation Közreműködői szerepkör formájában. Miután a Microsoft Sentinel megkapta ezt a szerepkört, bármilyen forgatókönyvet futtathat a megfelelő erőforráscsoportban manuálisan vagy egy automatizálási szabályból.
Ahhoz, hogy a Microsoft Sentinel megkapja a szükséges engedélyeket, tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel kell rendelkeznie. A forgatókönyvek futtatásához a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoport logikai alkalmazás közreműködői szerepkörére is szüksége lesz.
Forgatókönyvsablonok (előzetes verzió)
Fontos
A forgatókönyvsablonok jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A forgatókönyvsablonok előre összeállított, tesztelt és használatra kész munkafolyamatok, amelyek maguk nem használhatók forgatókönyvként, de készen állnak az igényeinek megfelelő testreszabásra. Azt is javasoljuk, hogy forgatókönyvsablonokat használjon a forgatókönyv-sablonok referenciaként a forgatókönyvek alapoktól való fejlesztésekor, vagy új automatizálási forgatókönyvek ihletéseként.
Az alábbi forrásokból érheti el a forgatókönyvsablonokat:
| Hely | Leírás |
|---|---|
| Microsoft Sentinel Automation oldal | A Forgatókönyvsablonok lap felsorolja az összes telepített forgatókönyvet. Hozzon létre egy vagy több aktív forgatókönyvet ugyanazzal a sablonnal. A sablon új verziójának közzétételekor a sablonból létrehozott aktív forgatókönyvek az Aktív forgatókönyvek lapon egy további címkével rendelkeznek, amely jelzi, hogy elérhető frissítés. |
| Microsoft Sentinel Content Hub oldal | A forgatókönyvsablonok termékmegoldások vagy a Content Hubról telepített különálló tartalmak részeként érhetők el. További információ: A Microsoft Sentinel tartalmai és megoldásai A Microsoft Sentinel beépített tartalmainak felderítése és kezelése |
| GitHub | A Microsoft Sentinel GitHub-adattár számos más forgatókönyvsablont tartalmaz. Válassza az Üzembe helyezés az Azure-ban lehetőséget, ha sablont szeretne üzembe helyezni az Azure-előfizetésében. |
A forgatókönyvsablonok gyakorlatilag egy Azure Resource Manager-sablont (ARM) alkotnak, amely több erőforrásból áll: egy Azure Logic Apps-munkafolyamatból és az egyes kapcsolatokHOZ tartozó API-kapcsolatokból.
További információk:
- Microsoft Sentinel-forgatókönyvek létrehozása és testreszabása tartalomsablonokból
- Ajánlott forgatókönyvsablonok
- Azure Logic Apps for Microsoft Sentinel forgatókönyvek
Forgatókönyv-létrehozási és -használati munkafolyamat
A microsoft sentinel forgatókönyvek létrehozásához és futtatásához használja az alábbi munkafolyamatot:
Határozza meg az automatizálási forgatókönyvet. Javasoljuk, hogy tekintse át az ajánlott forgatókönyveket, és használja az eseteket és a forgatókönyvsablonokat a kezdéshez.
Ha nem sablont használ, hozza létre a forgatókönyvet, és hozza létre a logikai alkalmazást. További információ: Microsoft Sentinel forgatókönyvek létrehozása és kezelése.
A logikai alkalmazás manuális futtatásával tesztelheti. További információ: Forgatókönyv manuális futtatása igény szerint.
Konfigurálja a forgatókönyvet úgy, hogy automatikusan fusson egy új riasztás vagy incidens létrehozásakor, vagy futtassa manuálisan a folyamatokhoz szükséges módon. További információ: Válasz a fenyegetésekre a Microsoft Sentinel forgatókönyveivel.