Eseguire la migrazione dell'automazione SOAR di Splunk a Microsoft Sentinel
Microsoft Sentinel offre funzionalità di orchestrazione della sicurezza, automazione e risposta (SOAR) con regole di automazione e playbook. Le regole di automazione semplificano la gestione e la risposta degli eventi imprevisti semplici, mentre i playbook eseguono sequenze più complesse di azioni per rispondere e correggere le minacce. Questo articolo illustra come identificare i casi d'uso SOAR e come eseguire la migrazione dell'automazione SOAR di Splunk alle regole e ai playbook di automazione di Microsoft Sentinel.
Per altre informazioni sulle differenze tra regole di automazione e playbook, vedere gli articoli seguenti:
- Automatizzare la risposta alle minacce con regole di automazione
- Automatizzare la risposta alle minacce con playbook
Ecco cosa occorre considerare quando si esegue la migrazione dei casi d'uso SOAR da Splunk.
- Qualità del caso d'uso. Scegliere i casi d'uso di automazione in base a procedure chiaramente definite, con variazione minima e una bassa percentuale di falsi positivi.
- Intervento manuale. Le risposte automatizzate possono avere effetti di ampia portata. Le automazione ad alto impatto devono avere input umano per confermare le azioni ad alto impatto prima che vengano eseguite.
- Criteri binari. Per aumentare il successo della risposta, i punti decisionali all'interno di un flusso di lavoro automatizzato devono essere il più limitati possibile, con criteri binari. Quando sono presenti solo due variabili nel processo decisionale automatizzato, la necessità di intervento umano viene ridotta e la prevedibilità dei risultati viene migliorata.
- Avvisi o dati accurati. Le azioni di risposta dipendono dall'accuratezza dei segnali, ad esempio gli avvisi. Gli avvisi e le origini di arricchimento devono essere affidabili. Le risorse di Microsoft Sentinel, ad esempio watchlist e intelligence per le minacce, con valutazioni con attendibilità elevata migliorano l'affidabilità.
- Ruolo analista. Anche se l'automazione è ottimale, riservare le attività più complesse per gli analisti. Fornire loro l'opportunità di input nei flussi di lavoro che richiedono la convalida. In breve, l'automazione delle risposte dovrebbe aumentare ed estendere le funzionalità di analista.
Questa sezione illustra in che modo i concetti principali di Splunk SOAR vengono convertiti in componenti di Microsoft Sentinel e forniscono linee guida generali su come eseguire la migrazione di ogni passaggio o componente nel flusso di lavoro SOAR.
Passaggio (nel diagramma) | Splunk | Microsoft Sentinel |
---|---|---|
1 | Inserire eventi nell'indice principale. | Inserire eventi nell'area di lavoro Log Analytics. |
2 | Creare contenitori. | Contrassegna gli eventi imprevisti usando la funzionalità dettagli personalizzata. |
3 | Creare casi. | Microsoft Sentinel può raggruppare automaticamente gli eventi imprevisti in base ai criteri definiti dall'utente, ad esempio entità condivise o gravità. Questi avvisi generano quindi eventi imprevisti. |
4 | Creare playbook. | App per la logica di Azure usa diversi connettori per orchestrare le attività tra Microsoft Sentinel, Azure, ambienti cloud di terze parti e ibridi. |
4 | Creare cartelle di lavoro. | Microsoft Sentinel esegue playbook in isolamento o come parte di una regola di automazione ordinata. È anche possibile eseguire i playbook manualmente in caso di avvisi o eventi imprevisti, in base a una procedura predefinita di Security Operations Center (SOC). |
Esaminare le funzionalità di Microsoft Sentinel o App per la logica di Azure mappate ai componenti SOAR principali di Splunk.
Splunk | Microsoft Sentinel/App per la logica di Azure |
---|---|
Editor playbook | Progettazione app per la logica |
Trigger | Trigger |
•Connettori •App • Broker di automazione |
• Connettore • Ruolo di lavoro ibrido per runbook |
Blocchi di azioni | Azione |
Gestore connettività | Ruolo di lavoro ibrido per runbook |
Community | • Scheda Modelli di automazione > • Catalogo dell'hub del contenuto • GitHub |
Decisione | Controllo condizionale |
Codice | Connettore di funzioni di Azure |
Richiesta | Invia messaggio di posta elettronica di approvazione |
Formato | Operazioni dati |
Playbook di input | Ottenere input di variabili dai risultati di passaggi eseguiti in precedenza o variabili dichiarate in modo esplicito |
Impostare i parametri con l'utilità API del blocco di utilità | Gestire gli eventi imprevisti con l'API |
La maggior parte dei playbook usati con Microsoft Sentinel è disponibile nella scheda Modelli di automazione>, nel catalogo dell'hub del contenuto o in GitHub. In alcuni casi, tuttavia, potrebbe essere necessario creare playbook da zero o da modelli esistenti.
In genere si compila l'app per la logica personalizzata usando la funzionalità Progettazione app per la logica di Azure. Il codice delle app per la logica si basa su modelli di Azure Resource Manager (ARM), che facilitano lo sviluppo, la distribuzione e la portabilità di App per la logica di Azure in più ambienti. Per convertire il playbook personalizzato in un modello arm portatile, è possibile usare il generatore di modelli di Resource Manager.
Usare queste risorse per i casi in cui è necessario creare playbook personalizzati da zero o da modelli esistenti.
- Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel
- Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel
- Come usare Microsoft Sentinel per la risposta agli eventi imprevisti, l'orchestrazione e l'automazione
- Schede adattive per migliorare la risposta agli eventi imprevisti in Microsoft Sentinel
Di seguito sono riportate le procedure consigliate da tenere in considerazione dopo la migrazione SOAR:
- Dopo aver eseguito la migrazione dei playbook, testare ampiamente i playbook per assicurarsi che le azioni di cui è stata eseguita la migrazione funzionino come previsto.
- Esaminare periodicamente le automazione per esplorare i modi per semplificare o migliorare ulteriormente il soAR. Microsoft Sentinel aggiunge costantemente nuovi connettori e azioni che consentono di semplificare ulteriormente o aumentare l'efficacia delle implementazioni di risposta correnti.
- Monitorare le prestazioni dei playbook usando la cartella di lavoro Di monitoraggio dell'integrità dei Playbook.
- Usare identità gestite e entità servizio: eseguire l'autenticazione con vari servizi di Azure all'interno di App per la logica, archiviare i segreti in Azure Key Vault e nascondere l'output di esecuzione del flusso. È anche consigliabile monitorare le attività di queste entità servizio.
In questo articolo si è appreso come eseguire il mapping dell'automazione SOAR da Splunk a Microsoft Sentinel.