Security Orchestration, Automation, and Response (SOAR) in Microsoft Sentinel

  • Artikel

In dit artikel worden de SOAR-mogelijkheden (Security Orchestration, Automation, and Response) van Microsoft Sentinel beschreven en wordt beschreven hoe het gebruik van automatiseringsregels en playbooks als reactie op beveiligingsrisico's de effectiviteit van uw SOC verhoogt en u tijd en resources bespaart.

Microsoft Sentinel als soar-oplossing

Het probleem

SIEM-/SOC-teams worden meestal regelmatig overspoeld met beveiligingswaarschuwingen en incidenten, op volumes die zo groot zijn dat beschikbaar personeel wordt overspoeld. Dit resulteert maar al te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar is voor aanvallen die onopgemerkt blijven.

De oplossing

Microsoft Sentinel is niet alleen een SIEM-systeem (Security Information and Event Management), maar ook een platform voor SOAR (Security Orchestration, Automation, and Response). Een van de primaire doelen is het automatiseren van terugkerende en voorspelbare verrijkings-, reactie- en hersteltaken die de verantwoordelijkheid zijn van uw Security Operations Center en personeel (SOC/SecOps), waardoor tijd en resources worden vrijgemaakt voor een diepgaander onderzoek naar en opsporing van geavanceerde bedreigingen. Automatisering heeft een aantal verschillende vormen in Microsoft Sentinel, van automatiseringsregels die de automatisering van de verwerking en reactie van incidenten centraal beheren, tot playbooks die vooraf bepaalde reeksen acties uitvoeren om krachtige en flexibele geavanceerde automatisering te bieden voor uw reactietaken op bedreigingen.

Automatiseringsregels

Met automatiseringsregels kunnen gebruikers de automatisering van incidentafhandeling centraal beheren. Met automatiseringsregels kunt u niet alleen playbooks toewijzen aan incidenten en waarschuwingen, maar ook antwoorden voor meerdere analyseregels tegelijk automatiseren, incidenten automatisch taggen, toewijzen of sluiten zonder dat er playbooks nodig zijn, lijsten maken met taken die uw analisten kunnen uitvoeren bij het trillen, onderzoeken en herstellen van incidenten, en de volgorde bepalen van acties die worden uitgevoerd. Met automatiseringsregels kunt u ook automatiseringen toepassen wanneer een incident wordt bijgewerkt (nu in preview) en wanneer het wordt gemaakt. Deze nieuwe mogelijkheid stroomlijnt het automatiseringsgebruik in Microsoft Sentinel verder en stelt u in staat om complexe werkstromen voor uw incidentindelingsprocessen te vereenvoudigen.

Meer informatie met deze volledige uitleg van automatiseringsregels.

Playbooks

Een playbook is een verzameling reactie- en herstelacties en logica die als routine vanuit Microsoft Sentinel kunnen worden uitgevoerd. Een playbook kan helpen bij het automatiseren en organiseren van uw reactie op bedreigingen, het kan worden geïntegreerd met andere systemen, zowel intern als extern, en het kan worden ingesteld om automatisch te worden uitgevoerd als reactie op specifieke waarschuwingen of incidenten, wanneer deze wordt geactiveerd door respectievelijk een analyseregel of een automatiseringsregel. Het kan ook handmatig op aanvraag worden uitgevoerd, als reactie op waarschuwingen, vanaf de incidentenpagina.

Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn ingebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in de hele onderneming kunt plannen, automatiseren en organiseren. Dit betekent dat playbooks kunnen profiteren van alle kracht en aanpasbaarheid van de integratie- en indelingsmogelijkheden van Logic Apps en gebruiksvriendelijke ontwerphulpprogramma's, en van de schaalbaarheid, betrouwbaarheid en serviceniveau van een Laag 1 Azure-service.

Meer informatie met deze volledige uitleg over playbooks.

Volgende stappen

In dit document hebt u geleerd hoe Microsoft Sentinel automatisering gebruikt om uw SOC effectiever en efficiënter te laten werken.