Automatisering in Microsoft Sentinel: Beveiligingsindeling, automatisering en respons (SOAR)
SIEM-teams (Security Information and Event Management) en SOC-teams (Security Information and Event Management) worden doorgaans regelmatig overspoeld met beveiligingswaarschuwingen en incidenten, op volumes die zo groot zijn dat het beschikbare personeel wordt overweldigd. Dit resulteert te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar blijft voor aanvallen die onopgemerkt blijven.
Microsoft Sentinel, naast een SIEM-systeem, is ook een platform voor beveiligingsindeling, automatisering en respons (SOAR). Een van de belangrijkste doeleinden is het automatiseren van terugkerende en voorspelbare verrijkingstaken, reacties en hersteltaken die de verantwoordelijkheid zijn van uw Security Operations Center en personeel (SOC/SecOps), waardoor tijd en resources worden vrijgemaakt voor uitgebreider onderzoek naar en opsporing van geavanceerde bedreigingen.
In dit artikel worden de SOAR-mogelijkheden van Microsoft Sentinel beschreven en wordt beschreven hoe het gebruik van automatiseringsregels en playbooks als reactie op beveiligingsrisico's de effectiviteit van uw SOC verhoogt en u tijd en resources bespaart.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Automatiseringsregels
Microsoft Sentinel maakt gebruik van automatiseringsregels om gebruikers toe te staan om automatisering van incidenten te beheren vanaf een centrale locatie. Automatiseringsregels gebruiken om het volgende te doen:
- Meer geavanceerde automatisering toewijzen aan incidenten en waarschuwingen met behulp van playbooks
- Incidenten automatisch taggen, toewijzen of sluiten zonder een playbook
- Antwoorden voor meerdere analyseregels tegelijk automatiseren
- Lijsten met taken maken die uw analisten moeten uitvoeren bij het sorteren, onderzoeken en oplossen van incidenten
- De volgorde bepalen van acties die worden uitgevoerd
U wordt aangeraden automatiseringsregels toe te passen wanneer incidenten worden gemaakt of bijgewerkt om de automatisering verder te stroomlijnen en complexe werkstromen voor uw incidentenindelingsprocessen te vereenvoudigen.
Zie Bedreigingsreacties automatiseren in Microsoft Sentinel met automatiseringsregels voor meer informatie.
Draaiboeken
Een playbook is een verzameling reactie- en herstelacties en -logica die als routine vanuit Microsoft Sentinel kan worden uitgevoerd. Een playbook kan:
- Hulp bij het automatiseren en organiseren van uw reactie op bedreigingen
- Integreren met andere systemen, zowel intern als extern
- Worden geconfigureerd om automatisch te worden uitgevoerd als reactie op specifieke waarschuwingen of incidenten, of handmatig op aanvraag worden uitgevoerd, zoals als reactie op nieuwe waarschuwingen
In Microsoft Sentinel zijn playbooks gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in de hele onderneming kunt plannen, automatiseren en organiseren. Dit betekent dat playbooks kunnen profiteren van alle mogelijkheden voor integratie en indeling van Logic Apps en eenvoudig te gebruiken ontwerphulpprogramma's, en het schaalbaarheids-, betrouwbaarheids- en serviceniveau van een Azure-service op laag 1.
Zie Bedreigingsreacties automatiseren met playbooks in Microsoft Sentinel voor meer informatie.
Automatisering met het geïntegreerde platform voor beveiligingsbewerkingen
Nadat u uw Microsoft Sentinel-werkruimte hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, moet u rekening houden met de volgende verschillen in de manier waarop automatisering in uw werkruimte werkt:
| Functionaliteit | Beschrijving |
|---|---|
| Automatiseringsregels met waarschuwingstriggers | In het geïntegreerde platform voor beveiligingsbewerkingen handelen automatiseringsregels met waarschuwingstriggers alleen op Microsoft Sentinel-waarschuwingen. Zie Trigger voor het maken van waarschuwingen voor meer informatie. |
| Automatiseringsregels met incidenttriggers | In zowel De Azure-portal als het geïntegreerde beveiligingsbewerkingsplatform wordt de eigenschap Incidentprovidervoorwaarde verwijderd, omdat alle incidenten Microsoft Defender XDR hebben als de incidentprovider (de waarde in het veld ProviderName). Op dat moment worden alle bestaande automatiseringsregels uitgevoerd op zowel Microsoft Sentinel- als Microsoft Defender XDR-incidenten, inclusief incidenten waarbij de voorwaarde van de incidentprovider is ingesteld op alleen Microsoft Sentinel of Microsoft 365 Defender. Automatiseringsregels die een specifieke naam van een analyseregel opgeven, worden echter alleen uitgevoerd op de incidenten die zijn gemaakt door de opgegeven analyseregel. Dit betekent dat u de eigenschap naamvoorwaarde van de analyseregel kunt definiëren voor een analyseregel die alleen in Microsoft Sentinel bestaat om uw regel te beperken tot uitvoering op incidenten in Microsoft Sentinel. Zie Voorwaarden voor incidenttriggers voor meer informatie. |
| Wijzigingen in bestaande incidentnamen | In het geïntegreerde SOC-bewerkingsplatform gebruikt de Defender-portal een unieke engine om incidenten en waarschuwingen te correleren. Wanneer u uw werkruimte onboardt naar het geïntegreerde SOC-bewerkingsplatform, kunnen bestaande incidentnamen worden gewijzigd als de correlatie wordt toegepast. Om ervoor te zorgen dat uw automatiseringsregels altijd correct worden uitgevoerd, raden we u daarom aan om incidenttitels in uw automatiseringsregels te vermijden en in plaats daarvan het gebruik van tags voor te stellen. |
| Bijgewerkt per veld | Zie de trigger voor incidentupdates voor meer informatie. |
| Automatiseringsregels waarmee incidenttaken worden toegevoegd | Als een automatiseringsregel een incidenttaak toevoegt, wordt de taak alleen weergegeven in Azure Portal. |
| Regels voor het maken van microsoft-incidenten | Regels voor het maken van microsoft-incidenten worden niet ondersteund in het geïntegreerde beveiligingsbewerkingsplatform. Zie Microsoft Defender XDR-incidenten en regels voor het maken van microsoft-incidenten voor meer informatie. |
| Automatiseringsregels uitvoeren vanuit de Defender-portal | Het kan tot 10 minuten duren voordat een waarschuwing wordt geactiveerd en een incident wordt gemaakt of bijgewerkt in de Defender-portal tot wanneer een automatiseringsregel wordt uitgevoerd. Deze vertraging komt doordat het incident wordt gemaakt in de Defender-portal en vervolgens wordt doorgestuurd naar Microsoft Sentinel voor de automatiseringsregel. |
| Tabblad Actieve playbooks | Na onboarding naar het geïntegreerde platform voor beveiligingsbewerkingen toont het tabblad Actieve playbooks standaard een vooraf gedefinieerd filter met het abonnement van de onboarded werkruimte. Voeg in Azure Portal gegevens toe voor andere abonnementen met behulp van het abonnementsfilter. Zie Microsoft Sentinel-playbooks maken en aanpassen op basis van inhoudssjablonen voor meer informatie. |
| Playbooks handmatig uitvoeren op aanvraag | De volgende procedures worden momenteel niet ondersteund in het geïntegreerde platform voor beveiligingsbewerkingen: |
| Voor het uitvoeren van playbooks op incidenten is Microsoft Sentinel-synchronisatie vereist | Als u een playbook probeert uit te voeren op een incident vanuit het geïntegreerde beveiligingsbewerkingsplatform en het bericht 'Kan geen toegang krijgen tot gegevens met betrekking tot deze actie. Vernieuw het scherm over een paar minuten' . dit betekent dat het incident nog niet is gesynchroniseerd met Microsoft Sentinel. Vernieuw de incidentpagina nadat het incident is gesynchroniseerd om het playbook uit te voeren. |