Leggere in inglese

Condividi tramite


Eseguire la migrazione dell'automazione SOAR di Splunk a Microsoft Sentinel

Microsoft Sentinel offre funzionalità di orchestrazione della sicurezza, automazione e risposta (SOAR) con regole di automazione e playbook. Le regole di automazione semplificano la gestione e la risposta degli eventi imprevisti semplici, mentre i playbook eseguono sequenze più complesse di azioni per rispondere e correggere le minacce. Questo articolo illustra come identificare i casi d'uso SOAR e come eseguire la migrazione dell'automazione SOAR di Splunk alle regole e ai playbook di automazione di Microsoft Sentinel.

Per altre informazioni sulle differenze tra regole di automazione e playbook, vedere gli articoli seguenti:

Identificare i casi d'uso SOAR

Ecco cosa occorre considerare quando si esegue la migrazione dei casi d'uso SOAR da Splunk.

  • Qualità del caso d'uso. Scegliere i casi d'uso di automazione in base a procedure chiaramente definite, con variazione minima e una bassa percentuale di falsi positivi.
  • Intervento manuale. Le risposte automatizzate possono avere effetti di ampia portata. Le automazione ad alto impatto devono avere input umano per confermare le azioni ad alto impatto prima che vengano eseguite.
  • Criteri binari. Per aumentare il successo della risposta, i punti decisionali all'interno di un flusso di lavoro automatizzato devono essere il più limitati possibile, con criteri binari. Quando sono presenti solo due variabili nel processo decisionale automatizzato, la necessità di intervento umano viene ridotta e la prevedibilità dei risultati viene migliorata.
  • Avvisi o dati accurati. Le azioni di risposta dipendono dall'accuratezza dei segnali, ad esempio gli avvisi. Gli avvisi e le origini di arricchimento devono essere affidabili. Le risorse di Microsoft Sentinel, ad esempio watchlist e intelligence per le minacce, con valutazioni con attendibilità elevata migliorano l'affidabilità.
  • Ruolo analista. Anche se l'automazione è ottimale, riservare le attività più complesse per gli analisti. Fornire loro l'opportunità di input nei flussi di lavoro che richiedono la convalida. In breve, l'automazione delle risposte dovrebbe aumentare ed estendere le funzionalità di analista.

Eseguire la migrazione del flusso di lavoro SOAR

Questa sezione illustra in che modo i concetti principali di Splunk SOAR vengono convertiti in componenti di Microsoft Sentinel e forniscono linee guida generali su come eseguire la migrazione di ogni passaggio o componente nel flusso di lavoro SOAR.

Diagramma che mostra i flussi di lavoro SOAR di Splunk e Microsoft Sentinel.

Passaggio (nel diagramma) Splunk Microsoft Sentinel
1 Inserire eventi nell'indice principale. Inserire eventi nell'area di lavoro Log Analytics.
2 Creare contenitori. Contrassegna gli eventi imprevisti usando la funzionalità dettagli personalizzata.
3 Creare casi. Microsoft Sentinel può raggruppare automaticamente gli eventi imprevisti in base ai criteri definiti dall'utente, ad esempio entità condivise o gravità. Questi avvisi generano quindi eventi imprevisti.
4 Creare playbook. App per la logica di Azure usa diversi connettori per orchestrare le attività tra Microsoft Sentinel, Azure, ambienti cloud di terze parti e ibridi.
4 Creare cartelle di lavoro. Microsoft Sentinel esegue playbook in isolamento o come parte di una regola di automazione ordinata. È anche possibile eseguire i playbook manualmente in caso di avvisi o eventi imprevisti, in base a una procedura predefinita di Security Operations Center (SOC).

Eseguire il mapping dei componenti SOAR

Esaminare le funzionalità di Microsoft Sentinel o App per la logica di Azure mappate ai componenti SOAR principali di Splunk.

Splunk Microsoft Sentinel/App per la logica di Azure
Editor playbook Progettazione app per la logica
Trigger Trigger
•Connettori
•App
• Broker di automazione
Connettore
Ruolo di lavoro ibrido per runbook
Blocchi di azioni Azione
Gestore connettività Ruolo di lavoro ibrido per runbook
Community Scheda Modelli di automazione >
Catalogo dell'hub del contenuto
GitHub
Decisione Controllo condizionale
Codice Connettore di funzioni di Azure
Richiesta Invia messaggio di posta elettronica di approvazione
Formato Operazioni dati
Playbook di input Ottenere input di variabili dai risultati di passaggi eseguiti in precedenza o variabili dichiarate in modo esplicito
Impostare i parametri con l'utilità API del blocco di utilità Gestire gli eventi imprevisti con l'API

Rendere operativi i playbook e le regole di automazione in Microsoft Sentinel

La maggior parte dei playbook usati con Microsoft Sentinel è disponibile nella scheda Modelli di automazione>, nel catalogo dell'hub del contenuto o in GitHub. In alcuni casi, tuttavia, potrebbe essere necessario creare playbook da zero o da modelli esistenti.

In genere si compila l'app per la logica personalizzata usando la funzionalità Progettazione app per la logica di Azure. Il codice delle app per la logica si basa su modelli di Azure Resource Manager (ARM), che facilitano lo sviluppo, la distribuzione e la portabilità di App per la logica di Azure in più ambienti. Per convertire il playbook personalizzato in un modello arm portatile, è possibile usare il generatore di modelli di Resource Manager.

Usare queste risorse per i casi in cui è necessario creare playbook personalizzati da zero o da modelli esistenti.

Procedure consigliate per la migrazione post-migrazione SOAR

Di seguito sono riportate le procedure consigliate da tenere in considerazione dopo la migrazione SOAR:

  • Dopo aver eseguito la migrazione dei playbook, testare ampiamente i playbook per assicurarsi che le azioni di cui è stata eseguita la migrazione funzionino come previsto.
  • Esaminare periodicamente le automazione per esplorare i modi per semplificare o migliorare ulteriormente il soAR. Microsoft Sentinel aggiunge costantemente nuovi connettori e azioni che consentono di semplificare ulteriormente o aumentare l'efficacia delle implementazioni di risposta correnti.
  • Monitorare le prestazioni dei playbook usando la cartella di lavoro Di monitoraggio dell'integrità dei Playbook.
  • Usare identità gestite e entità servizio: eseguire l'autenticazione con vari servizi di Azure all'interno di App per la logica, archiviare i segreti in Azure Key Vault e nascondere l'output di esecuzione del flusso. È anche consigliabile monitorare le attività di queste entità servizio.

Passaggi successivi

In questo articolo si è appreso come eseguire il mapping dell'automazione SOAR da Splunk a Microsoft Sentinel.