Leggere in inglese

Condividi tramite


Eseguire la migrazione dell'automazione SOAR di ArcSight a Microsoft Sentinel

Microsoft Sentinel offre funzionalità di orchestrazione della sicurezza, automazione e risposta (SOAR) con regole di automazione e playbook. Le regole di automazione automatizzano la gestione e la risposta degli eventi imprevisti e i playbook eseguono sequenze predeterminate di azioni per rispondere e correggere le minacce. Questo articolo illustra come identificare i casi d'uso SOAR e come eseguire la migrazione dell'automazione SOAR di ArcSight a Microsoft Sentinel.

Le regole di automazione semplificano flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti e consentono di gestire centralmente l'automazione della gestione degli eventi imprevisti.

Con le regole di automazione è possibile:

  • Eseguire attività di automazione semplici senza necessariamente usare playbook. Ad esempio, è possibile assegnare, contrassegnare eventi imprevisti, modificare lo stato e chiudere gli eventi imprevisti.
  • Automatizzare le risposte per più regole di analisi contemporaneamente.
  • Controllare l'ordine delle azioni eseguite.
  • Eseguire playbook per questi casi in cui sono necessarie attività di automazione più complesse.

Identificare i casi d'uso SOAR

Ecco cosa è necessario considerare quando si eseguono la migrazione di casi d'uso SOAR da ArcSight.

  • Qualità del caso d'uso. Scegliere casi d'uso validi per l'automazione. I casi d'uso devono essere basati su procedure chiaramente definite, con variazioni minime e una bassa frequenza false positiva. L'automazione deve funzionare con casi d'uso efficienti.
  • Intervento manuale. La risposta automatizzata può avere effetti di ampia gamma e automazione ad alto impatto deve avere input umano per confermare azioni di impatto elevato prima di essere eseguite.
  • Criteri binari. Per aumentare il successo della risposta, i punti decisionali all'interno di un flusso di lavoro automatizzato devono essere il più limitati possibile, con criteri binari. I criteri binari riducono la necessità di intervento umano e migliorano la stima dei risultati.
  • Avvisi o dati accurati. Le azioni di risposta dipendono dall'accuratezza dei segnali, ad esempio gli avvisi. Gli avvisi e le origini di arricchimento devono essere affidabili. Le risorse di Microsoft Sentinel, ad esempio gli elenchi di controllo e l'analisi affidabile delle minacce, possono migliorare l'affidabilità.
  • Ruolo dell'analista. Anche se l'automazione, dove possibile, riserva attività più complesse per gli analisti e offre loro l'opportunità di input nei flussi di lavoro che richiedono la convalida. In breve, l'automazione delle risposte deve aumentare ed estendere le funzionalità di analista.

Eseguire la migrazione del flusso di lavoro SOAR

In questa sezione viene illustrato il modo in cui i concetti di SOAR chiave in ArcSight vengono convertiti nei componenti di Microsoft Sentinel e vengono fornite linee guida generali per la migrazione di ogni passaggio o componente nel flusso di lavoro SOAR.

Diagramma che mostra i flussi di lavoro arcSight e Microsoft Sentinel SOAR.

Passaggio (diagramma) ArcSight Microsoft Sentinel
1 Inserire eventi in Enterprise Security Manager (ESM) e attivare eventi di correlazione. Inserire eventi nell'area di lavoro Log Analytics.
2 Filtra automaticamente gli avvisi per la creazione di case. Usare le regole di analisi per attivare gli avvisi. Arricchire gli avvisi usando la funzionalità dei dettagli personalizzati per creare nomi di eventi imprevisti dinamici.
3 Classificare i casi. Usare le regole di automazione. Con le regole di automazione, Microsoft Sentinel tratta gli eventi imprevisti in base alla regola di analisi che ha attivato l'evento imprevisto e le proprietà degli eventi imprevisti che corrispondono ai criteri definiti.
4 Consolidare i casi. È possibile consolidare diversi avvisi a un singolo evento imprevisto in base alle proprietà, ad esempio entità corrispondenti, dettagli di avviso o intervallo di tempo di creazione, usando la funzionalità di raggruppamento degli avvisi.
5 Casi di invio. Assegnare eventi imprevisti a analisti specifici usando un'integrazione tra Microsoft Teams, App per la logica di Azure e regole di automazione di Microsoft Sentinel.

Eseguire il mapping dei componenti SOAR

Esaminare quali funzionalità di Microsoft Sentinel o App per la logica di Azure vengono mappate ai principali componenti SOAR di ArcSight.

ArcSight App per la logica di Microsoft Sentinel/Azure
Trigger Trigger
Bit di automazione Connettore funzione di Azure
Azione Azione
Playbook pianificati Playbook avviato dal trigger di ricorrenza
Playbook del flusso di lavoro Playbook avviato automaticamente da trigger di avviso o eventi imprevisti di Microsoft Sentinel
Marketplace Scheda Modelli di automazione >
Catalogo hub contenuto
GitHub

Rendere operativi i playbook e le regole di automazione in Microsoft Sentinel

La maggior parte dei playbook usati con Microsoft Sentinel è disponibile nella scheda Modelli di automazione>, nel catalogo dell'hub contenuto o in GitHub. In alcuni casi, tuttavia, potrebbe essere necessario creare playbook da zero o da modelli esistenti.

In genere si compila l'app per la logica personalizzata usando la funzionalità app per la logica di Azure Designer. Il codice delle app per la logica si basa sui modelli di Azure Resource Manager (ARM), che facilitano lo sviluppo, la distribuzione e la portabilità di App per la logica di Azure in più ambienti. Per convertire il playbook personalizzato in un modello arm portatile, è possibile usare il generatore di modelli di Resource Manager.

Usare queste risorse per i casi in cui è necessario creare playbook personalizzati da zero o da modelli esistenti.

Procedure consigliate per la migrazione soAR dopo la migrazione

Di seguito sono riportate le procedure consigliate da tenere in considerazione dopo la migrazione SOAR:

  • Dopo aver eseguito la migrazione dei playbook, testare ampiamente i playbook per assicurarsi che le azioni migrate funzionino come previsto.
  • Esaminare periodicamente le automazione per esplorare i modi per semplificare o migliorare ulteriormente il soAR. Microsoft Sentinel aggiunge costantemente nuovi connettori e azioni che consentono di semplificare ulteriormente o aumentare l'efficacia delle implementazioni di risposta correnti.
  • Monitorare le prestazioni dei playbook usando la cartella di lavoro di monitoraggio dell'integrità dei Playbook.
  • Usare identità gestite e entità servizio: eseguire l'autenticazione su vari servizi di Azure all'interno delle app per la logica, archiviare i segreti in Azure Key Vault e nascondere l'output dell'esecuzione del flusso. È anche consigliabile monitorare le attività di queste entità servizio.

Passaggi successivi

In questo articolo si è appreso come eseguire il mapping dell'automazione SOAR da ArcSight a Microsoft Sentinel.