Eseguire la migrazione dell'automazione DI IBM Security QRadar a Microsoft Sentinel
Microsoft Sentinel offre funzionalità di orchestrazione della sicurezza, automazione e risposta (SOAR) con regole di automazione e playbook. Le regole di automazione automatizzano la gestione e la risposta degli eventi imprevisti e i playbook eseguono sequenze predeterminate di azioni per rispondere e correggere le minacce. Questo articolo illustra come identificare i casi d'uso SOAR e come eseguire la migrazione dell'automazione QRadar SOAR di IBM Security a Microsoft Sentinel.
Le regole di automazione semplificano flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti e consentono di gestire centralmente l'automazione della gestione degli eventi imprevisti.
Con le regole di automazione è possibile:
- Eseguire attività di automazione semplici senza necessariamente usare playbook. Ad esempio, è possibile assegnare, contrassegnare eventi imprevisti, modificare lo stato e chiudere gli eventi imprevisti.
- Automatizzare le risposte per più regole di analisi contemporaneamente.
- Controllare l'ordine delle azioni eseguite.
- Eseguire playbook per questi casi in cui sono necessarie attività di automazione più complesse.
Ecco ciò che è necessario considerare durante la migrazione dei casi d'uso SOAR da IBM Security QRadar SOAR.
- Qualità del caso d'uso. Scegliere casi d'uso validi per l'automazione. I casi d'uso devono essere basati su procedure chiaramente definite, con variazioni minime e una bassa frequenza false positiva. L'automazione deve funzionare con casi d'uso efficienti.
- Intervento manuale. La risposta automatizzata può avere effetti di ampia gamma e automazione ad alto impatto deve avere input umano per confermare azioni di impatto elevato prima di essere eseguite.
- Criteri binari. Per aumentare il successo della risposta, i punti decisionali all'interno di un flusso di lavoro automatizzato devono essere il più limitati possibile, con criteri binari. I criteri binari riducono la necessità di intervento umano e migliorano la stima dei risultati.
- Avvisi o dati accurati. Le azioni di risposta dipendono dall'accuratezza dei segnali, ad esempio gli avvisi. Gli avvisi e le origini di arricchimento devono essere affidabili. Le risorse di Microsoft Sentinel, ad esempio gli elenchi di controllo e l'analisi affidabile delle minacce, possono migliorare l'affidabilità.
- Ruolo dell'analista. Anche se l'automazione, dove possibile, riserva attività più complesse per gli analisti e offre loro l'opportunità di input nei flussi di lavoro che richiedono la convalida. In breve, l'automazione delle risposte deve aumentare ed estendere le funzionalità di analista.
In questa sezione viene illustrato il modo in cui i concetti di SOAR chiave in IBM Security QRadar SOAR vengono convertiti nei componenti di Microsoft Sentinel. La sezione fornisce anche linee guida generali per la migrazione di ogni passaggio o componente nel flusso di lavoro SOAR.
Passaggio (diagramma) | IBM Security QRadar SOAR | Microsoft Sentinel |
---|---|---|
1 | Definire regole e condizioni. | Definire le regole di automazione. |
2 | Eseguire attività ordinate. | Eseguire regole di automazione contenenti più playbook. |
3 | Eseguire flussi di lavoro selezionati. | Eseguire altri playbook in base ai tag applicati dai playbook eseguiti in precedenza. |
4 | Inviare i dati alle destinazioni dei messaggi. | Eseguire frammenti di codice usando azioni inline in App per la logica. |
Esaminare quali funzionalità di Microsoft Sentinel o App per la logica di Azure vengono mappate ai componenti principali di QRadar SOAR.
QRadar | App per la logica di Microsoft Sentinel/Azure |
---|---|
Regole | Regole di analisi associate a playbook o regole di automazione |
Gateway | Controllo condizione |
Script | Codice inline |
Processori di azioni personalizzati | Chiamate API personalizzate in App per la logica di Azure o connettori di terze parti |
Funzioni | Connettore funzione di Azure |
Destinazioni del messaggio | App per la logica di Azure con bus di servizio di Azure |
IBM X-Force Exchange | • Scheda Modelli di automazione > • Catalogo hub contenuto • GitHub |
La maggior parte dei playbook usati con Microsoft Sentinel è disponibile nella scheda Modelli di automazione>, nel catalogo dell'hub contenuto o in GitHub. In alcuni casi, tuttavia, potrebbe essere necessario creare playbook da zero o da modelli esistenti.
In genere si compila l'app per la logica personalizzata usando la funzionalità app per la logica di Azure Designer. Il codice delle app per la logica si basa sui modelli di Azure Resource Manager (ARM), che facilitano lo sviluppo, la distribuzione e la portabilità di App per la logica di Azure in più ambienti. Per convertire il playbook personalizzato in un modello arm portatile, è possibile usare il generatore di modelli di Resource Manager.
Usare queste risorse per i casi in cui è necessario creare playbook personalizzati da zero o da modelli esistenti.
- Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel
- Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel
- Come usare Microsoft Sentinel per la risposta agli eventi imprevisti, l'orchestrazione e l'automazione
- Schede adattive per migliorare la risposta agli eventi imprevisti in Microsoft Sentinel
Di seguito sono riportate le procedure consigliate da tenere in considerazione dopo la migrazione SOAR:
- Dopo aver eseguito la migrazione dei playbook, testare ampiamente i playbook per assicurarsi che le azioni migrate funzionino come previsto.
- Esaminare periodicamente le automazione per esplorare i modi per semplificare o migliorare ulteriormente il soAR. Microsoft Sentinel aggiunge costantemente nuovi connettori e azioni che consentono di semplificare ulteriormente o aumentare l'efficacia delle implementazioni di risposta correnti.
- Monitorare le prestazioni dei playbook usando la cartella di lavoro di monitoraggio dell'integrità dei Playbook.
- Usare identità gestite e entità servizio: eseguire l'autenticazione su vari servizi di Azure all'interno delle app per la logica, archiviare i segreti in Azure Key Vault e nascondere l'output dell'esecuzione del flusso. È anche consigliabile monitorare le attività di queste entità servizio.
In questo articolo si è appreso come eseguire il mapping dell'automazione SOAR da IBM Security QRadar SOAR a Microsoft Sentinel.