Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
SOC-analisten hebben te maken met talloze beveiligingswaarschuwingen en incidenten, en het enorme volume kan teams overweldigen, wat leidt tot genegeerde waarschuwingen en ongeinvesteerde incidenten. Veel waarschuwingen en incidenten kunnen worden aangepakt door dezelfde sets vooraf gedefinieerde herstelacties, die kunnen worden geautomatiseerd om de SOC efficiënter te maken en analisten vrij te maken voor dieper onderzoek.
Gebruik Microsoft Sentinel-playbooks om vooraf geconfigureerde sets herstelacties uit te voeren om uw bedreigingsreactie te automatiseren en te organiseren. Voer playbooks automatisch uit als reactie op specifieke waarschuwingen en incidenten die een geconfigureerde automatiseringsregel activeren, of handmatig en on-demand voor een bepaalde entiteit of waarschuwing.
Als bijvoorbeeld een account en computer zijn aangetast, kan een playbook de computer automatisch isoleren van het netwerk en het account blokkeren op het moment dat het SOC-team op de hoogte wordt gesteld van het incident.
Notitie
Omdat playbooks gebruikmaken van Azure Logic Apps, kunnen er extra kosten in rekening worden gebracht. Ga naar de pagina met prijzen van Azure Logic Apps voor meer informatie.
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Aanbevolen gebruiksvoorbeelden
De volgende tabel bevat gebruiksvoorbeelden op hoog niveau waarbij we het gebruik van Microsoft Sentinel-playbooks aanbevelen om uw reactie op bedreigingen te automatiseren:
Gebruiksscenario | Beschrijving |
---|---|
Enrichment | Verzamel gegevens en voeg deze toe aan een incident om uw team te helpen slimmere beslissingen te nemen. |
Bidirectionele synchronisatie | Synchroniseer Microsoft Sentinel-incidenten met andere ticketsystemen. Maak bijvoorbeeld een automatiseringsregel voor alle incidentcreaties en voeg een playbook toe waarmee een ticket in ServiceNow wordt geopend. |
Orchestration | Gebruik het chatplatform van het SOC-team om de incidentenwachtrij beter te beheren. Verzend bijvoorbeeld een bericht naar uw beveiligingskanaal in Microsoft Teams of Slack om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident. |
Respons | Onmiddellijk reageren op bedreigingen, met minimale menselijke afhankelijkheden, zoals wanneer een aangetaste gebruiker of computer wordt aangegeven. U kunt ook handmatig een reeks geautomatiseerde stappen activeren tijdens een onderzoek of tijdens het opsporen. |
Zie Aanbevolen playbook use cases, sjablonen en voorbeelden voor meer informatie.
Vereisten
De volgende rollen zijn vereist voor het gebruik van Azure Logic Apps om playbooks te maken en uit te voeren in Microsoft Sentinel.
Rol | Beschrijving |
---|---|
Eigenaar | Hiermee kunt u toegang verlenen tot playbooks in de resourcegroep. |
Microsoft Sentinel-inzender | Hiermee kunt u een playbook koppelen aan een analyse- of automatiseringsregel. |
Microsoft Sentinel Responder | Hiermee kunt u een incident openen om een playbook handmatig uit te voeren, maar u kunt het playbook niet uitvoeren. |
Microsoft Sentinel Playbook Operator | Hiermee kunt u handmatig een playbook uitvoeren. |
Inzender voor Microsoft Sentinel Automation | Hiermee kunnen automatiseringsregels playbooks uitvoeren. Deze rol wordt niet gebruikt voor andere doeleinden. |
In de volgende tabel worden de vereiste rollen beschreven op basis van of u een logische app voor Verbruik of Standard selecteert om uw playbook te maken:
Logische apps | Azure-rollen | Beschrijving |
---|---|---|
Verbruik | Inzender voor logische apps | Logische apps bewerken en beheren. Playbooks uitvoeren. U kunt geen toegang verlenen tot playbooks. |
Verbruik | Logische app-operator | Logische apps lezen, inschakelen en uitschakelen. U kunt logische apps niet bewerken of bijwerken. |
Standaard | Logic Apps Standard Operator | Werkstromen in een logische app inschakelen, opnieuw indienen en uitschakelen. |
Standaard | Logic Apps Standard Developer | Logische apps maken en bewerken. |
Standaard | Standaardbijdrager voor Logic Apps | Beheer alle aspecten van een logische app. |
Op het tabblad Actieve playbooks op de pagina Automation worden alle actieve playbooks weergegeven die beschikbaar zijn voor alle geselecteerde abonnementen. Standaard kan een playbook alleen worden gebruikt binnen het abonnement waartoe het behoort, tenzij u specifiek Microsoft Sentinel-machtigingen verleent aan de resourcegroep van het playbook.
Extra machtigingen vereist voor Microsoft Sentinel om playbooks uit te voeren
Microsoft Sentinel gebruikt een serviceaccount om playbooks uit te voeren op incidenten, om beveiliging toe te voegen en de API voor automatiseringsregels in te schakelen ter ondersteuning van CI/CD-gebruiksscenario's. Dit serviceaccount wordt gebruikt voor door incidenten geactiveerde playbooks of wanneer u een playbook handmatig uitvoert op een specifiek incident.
Naast uw eigen rollen en machtigingen moet dit Microsoft Sentinel-serviceaccount een eigen set machtigingen hebben voor de resourcegroep waarin het playbook zich bevindt, in de vorm van de rol Microsoft Sentinel Automation-inzender . Zodra Microsoft Sentinel deze rol heeft, kan het elk playbook uitvoeren in de relevante resourcegroep, handmatig of vanuit een automatiseringsregel.
Als u Microsoft Sentinel met de vereiste machtigingen wilt verlenen, moet u de rol Eigenaar of Beheerder voor gebruikerstoegang hebben. Als u de playbooks wilt uitvoeren, hebt u ook de rol Inzender voor logische apps nodig voor de resourcegroep die de playbooks bevat die u wilt uitvoeren.
Playbooksjablonen (preview)
Belangrijk
Playbooksjablonen zijn momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Playbooksjablonen zijn vooraf samengestelde, geteste en kant-en-klare werkstromen die niet als playbooks zelf kunnen worden gebruikt, maar die u kunt aanpassen aan uw behoeften. We raden u ook aan playbooksjablonen te gebruiken als referentie voor best practices bij het ontwikkelen van volledig nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.
Toegang tot playbooksjablonen uit de volgende bronnen:
Locatie | Beschrijving |
---|---|
Microsoft Sentinel Automation-pagina | Het tabblad Playbook-sjablonen bevat alle geïnstalleerde playbooks. Maak een of meer actieve playbooks met dezelfde sjabloon. Wanneer we een nieuwe versie van een sjabloon publiceren, hebben alle actieve playbooks die op basis van die sjabloon zijn gemaakt, een extra label toegevoegd op het tabblad Actieve playbooks om aan te geven dat er een update beschikbaar is. |
Microsoft Sentinel Content Hub-pagina | Playbooksjablonen zijn beschikbaar als onderdeel van productoplossingen of zelfstandige inhoud die is geïnstalleerd vanuit de Content Hub. Zie voor meer informatie: Over Microsoft Sentinel-inhoud en -oplossingen Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren |
GitHub | De GitHub-opslagplaats van Microsoft Sentinel bevat veel andere playbooksjablonen. Selecteer Implementeren in Azure om een sjabloon te implementeren in uw Azure-abonnement. |
Technisch gezien is een playbooksjabloon een ARM-sjabloon (Azure Resource Manager), die bestaat uit verschillende resources: een Azure Logic Apps-werkstroom en API-verbindingen voor elke betrokken verbinding.
Zie voor meer informatie:
- Microsoft Sentinel-playbooks maken en aanpassen op inhoudssjablonen
- Aanbevolen playbooksjablonen
- Azure Logic Apps voor Microsoft Sentinel-playbooks
Werkstroom voor het maken en gebruiken van playbooks
Gebruik de volgende werkstroom om Microsoft Sentinel-playbooks te maken en uit te voeren:
Definieer uw automatiseringsscenario. U wordt aangeraden aanbevolen gebruiksvoorbeelden en playbooksjablonen voor playbooks te bekijken om te beginnen.
Als u geen sjabloon gebruikt, maakt u uw playbook en bouwt u uw logische app. Zie Microsoft Sentinel-playbooks maken en beheren voor meer informatie.
Test uw logische app door deze handmatig uit te voeren. Zie Een playbook handmatig uitvoeren op aanvraag voor meer informatie.
Configureer uw playbook zo dat het automatisch wordt uitgevoerd bij het maken van een nieuwe waarschuwing of incident, of voer het handmatig uit als dat nodig is voor uw processen. Zie Reageren op bedreigingen met Microsoft Sentinel-playbooks voor meer informatie.