Memigrasikan automasi IBM Security QRadar SOAR ke Microsoft Sentinel
Microsoft Azure Sentinel menyediakan kemampuan Security Orchestration, Automation, and Response (SOAR) dengan aturan automasi dan playbook. Aturan Azure Automation mengotomatiskan penanganan dan respons insiden, dan playbook menjalankan urutan tindakan yang telah ditentukan untuk menanggapi dan memulihkan ancaman. Artikel ini membahas cara mengidentifikasi kasus penggunaan SOAR, dan cara memigrasikan automasi IBM Security QRadar SOAR Anda ke Microsoft Sentinel.
Aturan Azure Automation menyederhanakan alur kerja yang kompleks untuk proses orkestrasi insiden Anda, dan memungkinkan Anda mengelola automasi penanganan insiden secara terpusat.
Dengan aturan automasi, Anda dapat:
- Melakukan tugas automasi sederhana tanpa harus menggunakan playbook. Misalnya, Anda dapat menetapkan, menandai insiden, mengubah status, dan menutup insiden.
- Mengotomatiskan respons untuk beberapa aturan analitik sekaligus.
- Mengontrol urutan tindakan yang dijalankan.
- Menjalankan playbook untuk kasus-kasus di mana tugas automasi yang lebih kompleks diperlukan.
Mengidentifikasi kasus penggunaan SOAR
Anda perlu memikirkan hal berikut saat memigrasikan kasus penggunaan SOAR dari IBM Security QRadar SOAR.
- Menggunakan kualitas kasus. Pilih kasus penggunaan yang baik untuk automasi. Kasus penggunaan harus didasarkan pada prosedur yang jelas, dengan variasi minimal, dan tingkat positif palsu yang rendah. Azure Automation harus bekerja dengan kasus penggunaan yang efisien.
- Intervensi manual. Respons otomatis dapat memiliki efek yang luas dan automasi berdampak tinggi harus memiliki input manusia untuk mengonfirmasi tindakan berdampak tinggi sebelum diambil.
- Kriteria biner. Untuk meningkatkan keberhasilan respons, poin keputusan dalam alur kerja otomatis harus sebatas mungkin, dengan kriteria biner. Kriteria biner mengurangi kebutuhan intervensi manusia, dan meningkatkan prediksi hasil.
- Peringatan atau data yang akurat. Tindakan respons tergantung pada akurasi sinyal seperti peringatan. Peringatan dan sumber pengayaan harus dapat diandalkan. Sumber daya Microsoft Azure Sentinel seperti daftar tonton dan inteligensi ancaman yang andal dapat meningkatkan keandalan.
- Peran Analis. Meskipun automasi jika memungkinkan sangat bagus, cadangkan tugas yang lebih kompleks untuk analis, dan beri mereka kesempatan untuk masukan ke dalam alur kerja yang memerlukan validasi. Singkatnya, automasi respons harus menambah dan memperluas kemampuan analis.
Memigrasikan alur kerja SOAR
Bagian ini menunjukkan konsep SOAR utama dalam IBM Security QRadar SOAR menerjemahkan komponen Microsoft Sentinel. Bagian ini juga memberikan panduan umum tentang cara memigrasikan setiap langkah atau komponen dalam alur kerja SOAR.
Langkah (dalam diagram) | IBM Security QRadar SOAR | Microsoft Sentinel |
---|---|---|
1 | Tentukan aturan dan ketentuan. | Tentukan aturan automasi. |
2 | Jalankan aktivitas yang diurutkan. | Jalankan aturan automasi yang berisi beberapa playbook. |
3 | Jalankan alur kerja yang dipilih. | Jalankan playbook lain sesuai dengan tag yang diterapkan oleh playbook yang dijalankan sebelumnya. |
4 | Kirim data ke tujuan pesan. | Jalankan cuplikan kode menggunakan tindakan sebaris di Logic Apps. |
Memetakan komponen SOAR
Tinjau fitur Microsoft Sentinel atau Azure Logic Apps mana yang dipetakan ke komponen utama QRadar SOAR.
QRadar | Microsoft Sentinel/Azure Logic Apps |
---|---|
Aturan | Aturan analitik yang dilampirkan ke playbook atau aturan automasi |
Gateway | Kontrol ketentuan |
Skrip | Kode sebaris |
Prosesor tindakan kustom | Panggilan API kustom di konektor pihak ketiga atau Azure Logic Apps |
Fungsi | Konektor Azure Function |
Tujuan pesan | Azure Logic Apps dengan Azure Service Bus |
IBM X-Force Exchange | • Tab > Templat Automation • Katalog hub konten • GitHub |
Menggunakan playbook dengan aturan automasi di Microsoft Azure Sentinel
Sebagian besar playbook yang Anda gunakan dengan Microsoft Azure Sentinel tersedia di tab > Templat Automation, katalog hub Konten, atau GitHub. Namun, dalam beberapa kasus, Anda mungkin perlu membuat playbook dari awal atau dari templat yang ada.
Anda biasanya membuat aplikasi logika kustom menggunakan fitur Azure Logic App Designer. Kode aplikasi logika didasarkan pada templat Azure Resource Manager (ARM), yang memfasilitasi pengembangan, penyebaran, dan portabilitas Azure Logic Apps di beberapa lingkungan. Untuk mengonversi playbook kustom Anda menjadi templat ARM portabel, Anda dapat menggunakan generator templat ARM.
Gunakan sumber daya ini untuk kasus di mana Anda perlu membangun playbook Anda sendiri baik dari awal atau dari templat yang ada.
- Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel
- Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel
- Tutorial: Menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel
- Cara menggunakan Microsoft Azure Sentinel untuk Respons Insiden, Orkestrasi, dan Automasi
- Kartu Adaptif untuk meningkatkan respons insiden di Microsoft Azure Sentinel
Praktik terbaik pasca migrasi SOAR
Berikut adalah praktik terbaik yang harus Anda mempertimbangkan setelah migrasi SOAR Anda:
- Setelah memigrasikan playbook, uji playbook secara ekstensif untuk memastikan bahwa tindakan yang dimigrasikan berfungsi seperti yang diharapkan.
- Tinjau automasi Anda secara berkala untuk mengeksplorasi cara untuk lebih menyederhanakan atau meningkatkan SOAR Anda. Microsoft Azure Sentinel terus menambahkan konektor dan tindakan baru yang dapat membantu Anda menyederhanakan atau meningkatkan efektivitas implementasi respons Anda saat ini.
- Pantau performa playbook Anda menggunakan buku kerja pemantauan kesehatan Playbook.
- Gunakan identitas terkelola dan perwakilan layanan: Mengautentikasi terhadap berbagai layanan Azure dalam Logic Apps Anda, menyimpan rahasia di Azure Key Vault, dan mengaburkan output eksekusi alur. Kami juga menyarankan agar Anda memantau aktivitas perwakilan layanan ini.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari cara memetakan automasi IBM Security QRadar SOAR ke Microsoft Sentinel.