Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Sentinel biztonsági vezénylési, automatizálási és reagálási (SOAR) képességeket biztosít automatizálási szabályokkal és forgatókönyvekkel. Az automatizálási szabályok automatizálják az incidenskezelést és a reagálást, a forgatókönyvek pedig előre meghatározott műveletsorozatokat futtatnak a fenyegetések elhárításához és elhárításához. Ez a cikk bemutatja, hogyan azonosíthatja a SOAR használati eseteit, és hogyan migrálhatja az IBM Security QRadar SOAR automatizálását a Microsoft Sentinelbe.
Az automatizálási szabályok leegyszerűsítik az incidensvezénylési folyamatok összetett munkafolyamatait, és lehetővé teszik az incidenskezelés automatizálásának központi kezelését.
Automatizálási szabályokkal a következőket teheti:
- Egyszerű automatizálási feladatok végrehajtása forgatókönyvek nélkül. Hozzárendelheti például az incidenseket, címkézheti az incidenseket, módosíthatja az állapotot, és lezárhatja az incidenseket.
- Egyszerre több elemzési szabály válaszainak automatizálása.
- A végrehajtott műveletek sorrendjének szabályozása.
- Forgatókönyvek futtatása olyan esetekben, amikor összetettebb automatizálási feladatokra van szükség.
A SOAR használati eseteinek azonosítása
A SOAR használati esetek IBM Security QRadar SOAR-ból való migrálásakor a következőre kell gondolnia.
- Használati eset minősége. Válassza ki a megfelelő használati eseteket az automatizáláshoz. A használati eseteknek egyértelműen meghatározott eljárásokon kell alapulnia, minimális eltéréssel és alacsony téves pozitív aránysal. Az automatizálásnak hatékony használati esetekkel kell működnie.
- Manuális beavatkozás. Az automatizált válasz sokféle hatással rendelkezhet, és a nagy hatású automatizálásoknak emberi beavatkozással kell rendelkezniük a nagy hatású műveletek megerősítéséhez azok végrehajtása előtt.
- Bináris feltételek. A válasz sikerességének növelése érdekében az automatizált munkafolyamatok döntési pontjainak a lehető legrövidebbnek kell lenniük bináris feltételekkel. A bináris kritériumok csökkentik az emberi beavatkozás szükségességét, és javítják az eredmények kiszámíthatóságát.
- Pontos riasztások vagy adatok. A válaszműveletek a jelek, például a riasztások pontosságától függenek. A riasztási és bővítési forrásoknak megbízhatónak kell lenniük. A Microsoft Sentinel-erőforrások, például a figyelőlisták és a megbízható fenyegetésfelderítés növelhetik a megbízhatóságot.
- Elemzői szerepkör. Bár az automatizálás lehetőség szerint nagyszerű, összetettebb feladatokat foglaljon le az elemzők számára, és lehetőséget biztosítson számukra az ellenőrzésre szoruló munkafolyamatokba való bevitelre. Röviden, a válaszautomatizálásnak ki kell egészítenie és ki kell terjesztenie az elemzői képességeket.
SOAR-munkafolyamat migrálása
Ez a szakasz bemutatja, hogyan fordítják le az IBM Security QRadar SOAR legfontosabb fogalmait a Microsoft Sentinel összetevőire. A szakasz általános irányelveket is tartalmaz a SOAR munkafolyamat egyes lépéseinek vagy összetevőinek migrálásához.
| Lépés (a diagramon) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Szabályok és feltételek meghatározása. | Automatizálási szabályok definiálása. |
| 2 | Rendezett tevékenységek végrehajtása. | Több forgatókönyvet tartalmazó automatizálási szabályok végrehajtása. |
| 3 | A kijelölt munkafolyamatok végrehajtása. | Hajtsa végre a többi forgatókönyvet a korábban végrehajtott forgatókönyvek címkéi alapján. |
| 4 | Adatok közzététele az üzenet célhelyére. | Kódrészletek végrehajtása beágyazott műveletekkel a Logic Appsben. |
SOAR-összetevők leképezése
Tekintse át, hogy a Microsoft Sentinel vagy az Azure Logic Apps mely funkciói képezhetők le a QRadar SOAR fő összetevőire.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Szabályok | Forgatókönyvekhez vagy automatizálási szabályokhoz csatolt elemzési szabályok |
| Átjáró | Feltétel vezérlőelem |
| Parancsfájlok | Beágyazott kód |
| Egyéni műveletfeldolgozók | Egyéni API-hívások az Azure Logic Appsben vagy külső összekötőkben |
| Functions | Azure-függvény-összekötő |
| Üzenet célhelyei | Azure Logic Apps Azure Service Bus |
| IBM X-Force Exchange | • Automation > Templates tab • Tartalomközpont-katalógus • GitHub |
Forgatókönyvek és automatizálási szabályok üzembe helyezése a Microsoft Sentinelben
A Microsoft Sentinelrel használt forgatókönyvek többsége az Automation Templates (Automation-sablonok > ) lapon, a Content Hub catalog (Tartalomközpont katalógusa) vagy a GitHubon érhető el. Bizonyos esetekben azonban szükség lehet forgatókönyvek létrehozására az alapoktól vagy a meglévő sablonokból.
Az egyéni logikai alkalmazásokat általában az Azure Logic App Tervező szolgáltatással hozhatja létre. A logic apps-kód Azure Resource Manager -sablonokon alapul, amelyek megkönnyítik az Azure Logic Apps fejlesztését, üzembe helyezését és hordozhatóságát több környezetben. Az egyéni forgatókönyv hordozható ARM-sablonlá alakításához használhatja az ARM-sablongenerátort.
Ezeket az erőforrásokat olyan esetekhez használhatja, amikor saját forgatókönyveket kell létrehoznia akár az alapoktól, akár a meglévő sablonokból.
- Incidenskezelés automatizálása a Microsoft Sentinelben
- Veszélyforrás-reagálás automatizálása forgatókönyvekkel a Microsoft Sentinelben
- Oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben
- A Microsoft Sentinel használata incidensmegoldáshoz, vezényléshez és automatizáláshoz
- Adaptív kártyák az incidensmegoldás javításához a Microsoft Sentinelben
SOAR post migrálás utáni ajánlott eljárások
Az alábbi ajánlott eljárásokat érdemes figyelembe venni a SOAR-migrálás után:
- A forgatókönyvek migrálása után alaposan tesztelje a forgatókönyveket, hogy az áttelepített műveletek a várt módon működjenek.
- Időnként tekintse át az automatizálásokat, és fedezze fel, hogyan egyszerűsítheti vagy javíthatja tovább a SOAR-t. A Microsoft Sentinel folyamatosan új összekötőket és műveleteket ad hozzá, amelyek segítségével tovább egyszerűsítheti vagy növelheti a jelenlegi válaszimplementációk hatékonyságát.
- A forgatókönyvek teljesítményének monitorozása a Forgatókönyvek állapotmonitorozási munkafüzetével.
- Felügyelt identitások és szolgáltatásnevek használata: Hitelesítés a Logic Apps különböző Azure-szolgáltatásain, a titkos kódok tárolása az Azure Key Vault- és a folyamatvégrehajtás kimenetének elrejtése. Azt is javasoljuk, hogy figyelje ezeknek a szolgáltatásneveknek a tevékenységeit.
Következő lépések
Ebben a cikkben megtanulta, hogyan képezheti le a SOAR automatizálását az IBM Security QRadar SOAR-tól a Microsoft Sentinelig.