Een Microsoft Sentinel-playbook gebruiken om mogelijk gecompromitteerde gebruikers te stoppen
In dit artikel wordt een voorbeeldscenario beschreven van hoe u een playbook en automatiseringsregel kunt gebruiken om incidentrespons te automatiseren en beveiligingsrisico's op te lossen. Automatiseringsregels helpen u bij het classificeren van incidenten in Microsoft Sentinel en worden ook gebruikt om playbooks uit te voeren als reactie op incidenten of waarschuwingen. Zie Automation in Microsoft Sentinel: Security orchestration, automation and response (SOAR) voor meer informatie.
In het voorbeeldscenario dat in dit artikel wordt beschreven, wordt beschreven hoe u een automatiseringsregel en playbook gebruikt om een mogelijk aangetaste gebruiker te stoppen wanneer er een incident wordt gemaakt.
Notitie
Omdat playbooks gebruikmaken van Azure Logic Apps, kunnen er extra kosten in rekening worden gebracht. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
De volgende rollen zijn vereist voor het gebruik van Azure Logic Apps om playbooks te maken en uit te voeren in Microsoft Sentinel.
| Rol | Beschrijving |
|---|---|
| Eigenaar | Hiermee kunt u toegang verlenen tot playbooks in de resourcegroep. |
| Inzender voor logische apps | Hiermee kunt u logische apps beheren en playbooks uitvoeren. U kunt geen toegang verlenen tot playbooks. |
| Logische app-operator | Hiermee kunt u logische apps lezen, inschakelen en uitschakelen. U kunt logische apps niet bewerken of bijwerken. |
| Microsoft Sentinel-inzender | Hiermee kunt u een playbook koppelen aan een analyse- of automatiseringsregel. |
| Microsoft Sentinel Responder | Hiermee kunt u een incident openen om een playbook handmatig uit te voeren, maar u kunt het playbook niet uitvoeren. |
| Microsoft Sentinel Playbook Operator | Hiermee kunt u handmatig een playbook uitvoeren. |
| Inzender voor Microsoft Sentinel Automation | Hiermee kunnen automatiseringsregels playbooks uitvoeren. Deze rol wordt niet gebruikt voor andere doeleinden. |
Op het tabblad Actieve playbooks op de pagina Automation worden alle actieve playbooks weergegeven die beschikbaar zijn voor alle geselecteerde abonnementen. Standaard kan een playbook alleen worden gebruikt binnen het abonnement waartoe het behoort, tenzij u specifiek Microsoft Sentinel-machtigingen verleent aan de resourcegroep van het playbook.
Extra machtigingen die vereist zijn om playbooks uit te voeren op incidenten
Microsoft Sentinel gebruikt een serviceaccount om playbooks uit te voeren op incidenten, om beveiliging toe te voegen en de API voor automatiseringsregels in te schakelen ter ondersteuning van CI/CD-gebruiksscenario's. Dit serviceaccount wordt gebruikt voor door incidenten geactiveerde playbooks of wanneer u een playbook handmatig uitvoert op een specifiek incident.
Naast uw eigen rollen en machtigingen moet dit Microsoft Sentinel-serviceaccount een eigen set machtigingen hebben voor de resourcegroep waarin het playbook zich bevindt, in de vorm van de rol Microsoft Sentinel Automation-inzender . Zodra Microsoft Sentinel deze rol heeft, kan het elk playbook uitvoeren in de relevante resourcegroep, handmatig of vanuit een automatiseringsregel.
Als u Microsoft Sentinel met de vereiste machtigingen wilt verlenen, moet u de rol Eigenaar of Beheerder voor gebruikerstoegang hebben. Als u de playbooks wilt uitvoeren, hebt u ook de rol Inzender voor logische apps nodig voor de resourcegroep die de playbooks bevat die u wilt uitvoeren.
Mogelijk aangetaste gebruikers stoppen
SOC-teams willen ervoor zorgen dat mogelijk gecompromitteerde gebruikers hun netwerk niet kunnen verplaatsen en informatie kunnen stelen. U wordt aangeraden een geautomatiseerde, meervoudige reactie te maken op incidenten die worden gegenereerd door regels waarmee gecompromitteerde gebruikers worden gedetecteerd om dergelijke scenario's af te handelen.
Configureer uw automatiseringsregel en playbook om de volgende stroom te gebruiken:
Er wordt een incident gemaakt voor een mogelijk aangetaste gebruiker en er wordt een automatiseringsregel geactiveerd om uw playbook aan te roepen.
Het playbook opent een ticket in uw IT-ticketsysteem, zoals ServiceNow.
Het playbook verzendt ook een bericht naar uw beveiligingskanaal in Microsoft Teams of Slack om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident.
Het playbook verzendt ook alle informatie in het incident in een e-mailbericht naar uw senior netwerkbeheerder en beveiligingsbeheerder. Het e-mailbericht bevatknoppen voor de optie Blokkeren en Negeren van gebruikers.
Het playbook wacht totdat een antwoord van de beheerders wordt ontvangen en gaat vervolgens verder met de volgende stappen.
Als de beheerders Blokkeren kiezen, stuurt het playbook een opdracht naar Microsoft Entra ID om de gebruiker uit te schakelen en een naar de firewall om het IP-adres te blokkeren.
Als de beheerders Negeren kiezen, sluit het playbook het incident in Microsoft Sentinel en het ticket in ServiceNow.
In de volgende schermopname ziet u de acties en voorwaarden die u zou toevoegen bij het maken van dit voorbeeldplaybook:
Gerelateerde inhoud
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor