Microsoft Sentinel-forgatókönyv használata a potenciálisan sérült felhasználók leállításához
Ez a cikk egy példaforgatókönyvet ismertet, amelyből megtudhatja, hogyan automatizálhatja az incidensek elhárítását és a biztonsági fenyegetések elhárítását forgatókönyvek és automatizálási szabályok használatával. Az automatizálási szabályok segítenek az incidensek osztályozásában a Microsoft Sentinelben, és forgatókönyvek futtatására is használhatók incidensekre vagy riasztásokra válaszul. További információ: Automation in Microsoft Sentinel: Security vezénylés, automatizálás és válasz (SOAR).
A cikkben ismertetett példaforgatókönyv bemutatja, hogyan állíthat le egy potenciálisan sérült felhasználót egy incidens létrehozásakor egy automatizálási szabály és forgatókönyv használatával.
Feljegyzés
Mivel a forgatókönyvek az Azure Logic Appst használják, további díjak is vonatkozhatnak. További részletekért látogasson el az Azure Logic Apps díjszabási oldalára.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
A következő szerepkörök szükségesek ahhoz, hogy az Azure Logic Apps segítségével forgatókönyveket hozzon létre és futtasson a Microsoft Sentinelben.
| Szerepkör | Leírás |
|---|---|
| Tulajdonos | Lehetővé teszi, hogy hozzáférést biztosítson az erőforráscsoport forgatókönyveihez. |
| Logikai alkalmazás közreműködője | Lehetővé teszi a logikai alkalmazások kezelését és forgatókönyvek futtatását. Nem engedélyezi a hozzáférést a forgatókönyvekhez. |
| Logikai alkalmazás operátora | Lehetővé teszi a logikai alkalmazások olvasását, engedélyezését és letiltását. Nem teszi lehetővé a logikai alkalmazások szerkesztését és frissítését. |
| Microsoft Sentinel-közreműködő | Segítségével forgatókönyvet csatolhat egy elemzési vagy automatizálási szabályhoz. |
| Microsoft Sentinel-válaszadó | Lehetővé teszi az incidensek elérését a forgatókönyv manuális futtatásához, de nem teszi lehetővé a forgatókönyv futtatását. |
| Microsoft Sentinel Forgatókönyv-kezelő | Lehetővé teszi a forgatókönyv manuális futtatását. |
| Microsoft Sentinel Automation-közreműködő | Lehetővé teszi az automatizálási szabályok számára forgatókönyvek futtatását. Ez a szerepkör semmilyen más célra nem használható. |
Az Automation lapon az Aktív forgatókönyvek lap megjeleníti a kiválasztott előfizetésekben elérhető összes aktív forgatókönyvet. Alapértelmezés szerint a forgatókönyvek csak azon az előfizetésen belül használhatók, amelyhez tartoznak, kivéve, ha kifejezetten engedélyt ad a Microsoft Sentinelnek a forgatókönyv erőforráscsoportjának.
További engedélyek szükségesek forgatókönyvek futtatásához incidensek esetén
A Microsoft Sentinel szolgáltatásfiókkal forgatókönyveket futtat az incidensekről, biztonsági beállításokat ad hozzá, és engedélyezi az automatizálási szabályok API-t a CI/CD-használati esetek támogatásához. Ez a szolgáltatásfiók incidens által aktivált forgatókönyvekhez, illetve forgatókönyvek manuális futtatásához használható egy adott incidensen.
A saját szerepkörei és engedélyei mellett ennek a Microsoft Sentinel szolgáltatásfióknak saját engedélykészlettel kell rendelkeznie azon erőforráscsoporthoz, amelyben a forgatókönyv található, a Microsoft Sentinel Automation Közreműködői szerepkör formájában. Miután a Microsoft Sentinel megkapta ezt a szerepkört, bármilyen forgatókönyvet futtathat a megfelelő erőforráscsoportban manuálisan vagy egy automatizálási szabályból.
Ahhoz, hogy a Microsoft Sentinel megkapja a szükséges engedélyeket, tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel kell rendelkeznie. A forgatókönyvek futtatásához a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoport logikai alkalmazás közreműködői szerepkörére is szüksége lesz.
Potenciálisan sérült felhasználók leállítása
Az SOC-csapatok biztosítani szeretnék, hogy a potenciálisan sérült felhasználók ne mozoghassanak a hálózatukon, és ne lophassanak adatokat. Javasoljuk, hogy hozzon létre egy automatizált, sokoldalú választ az olyan szabályok által generált incidensekre, amelyek feltört felhasználókat észlelnek az ilyen forgatókönyvek kezelése érdekében.
Konfigurálja az automatizálási szabályt és a forgatókönyvet a következő folyamat használatára:
A rendszer incidenst hoz létre egy potenciálisan sérült felhasználó számára, és egy automatizálási szabály aktiválódik a forgatókönyv meghívásához.
A forgatókönyv megnyit egy jegyet az informatikai jegykezelő rendszerben, például a ServiceNow-ban.
A forgatókönyv egy üzenetet is küld a Microsoft Teams vagy a Slack biztonsági üzemeltetési csatornájának, hogy a biztonsági elemzők értesüljenek az incidensről.
A forgatókönyv egy e-mailben is elküldi az incidens összes információját a felsőbb szintű hálózati rendszergazdának és biztonsági rendszergazdának. Az e-mail tartalmazza a Felhasználói beállítások blokkolása és mellőzése gombokat.
A forgatókönyv megvárja, amíg választ kap a rendszergazdáktól, majd folytatja a következő lépéseket.
Ha a rendszergazdák a Tiltás lehetőséget választják, a forgatókönyv egy parancsot küld a Microsoft Entra-azonosítónak a felhasználó letiltásához, egyet pedig a tűzfalnak az IP-cím letiltásához.
Ha a rendszergazdák a Mellőzés lehetőséget választják, a forgatókönyv bezárja az incidenst a Microsoft Sentinelben, a jegyet pedig a ServiceNow-ban.
Az alábbi képernyőképen azokat a műveleteket és feltételeket láthatja, amelyeket a minta forgatókönyv létrehozásakor adna hozzá:
