IBM Security QRadar SOAR-automatisering migreren naar Microsoft Sentinel
Microsoft Sentinel biedt SOAR-mogelijkheden (Security Orchestration, Automation, and Response) met automatiseringsregels en playbooks. Automatiseringsregels automatiseren incidentafhandeling en -reactie, en playbooks voeren vooraf bepaalde reeksen acties uit om bedreigingen te reageren en te herstellen. In dit artikel wordt beschreven hoe u SOAR-use cases kunt identificeren en hoe u uw IBM Security QRadar SOAR-automatisering migreert naar Microsoft Sentinel.
Automatiseringsregels vereenvoudigen complexe werkstromen voor uw incidentindelingsprocessen en stellen u in staat om de automatisering van incidentafhandeling centraal te beheren.
Met automatiseringsregels kunt u het volgende doen:
- Eenvoudige automatiseringstaken uitvoeren zonder gebruik te maken van playbooks. U kunt bijvoorbeeld incidenten toewijzen, taggen, status wijzigen en incidenten sluiten.
- Automatiseer antwoorden voor meerdere analyseregels tegelijk.
- De volgorde bepalen van de acties die worden uitgevoerd.
- Voer playbooks uit voor die gevallen waarin complexere automatiseringstaken nodig zijn.
SOAR-use cases identificeren
Dit is waar u aan moet denken bij het migreren van SOAR-use cases van IBM Security QRadar SOAR.
- Kwaliteit van use-case. Kies goede use cases voor automatisering. Gebruiksvoorbeelden moeten worden gebaseerd op duidelijk gedefinieerde procedures, met minimale variatie en een laag fout-positief percentage. Automatisering moet werken met efficiënte gebruiksvoorbeelden.
- Handmatige interventie. Geautomatiseerde reacties kunnen uiteenlopende effecten hebben en automatiseringen met een hoge impact moeten menselijke input hebben om acties met een hoge impact te bevestigen voordat ze worden uitgevoerd.
- Binaire criteria. Als u het antwoord wilt verbeteren, moeten beslissingspunten binnen een geautomatiseerde werkstroom zo beperkt mogelijk zijn, met binaire criteria. Binaire criteria verminderen de noodzaak van menselijke interventie en verbeteren de voorspelbaarheid van resultaten.
- Nauwkeurige waarschuwingen of gegevens. Reactieacties zijn afhankelijk van de nauwkeurigheid van signalen, zoals waarschuwingen. Waarschuwingen en verrijkingsbronnen moeten betrouwbaar zijn. Microsoft Sentinel-resources, zoals volglijsten en betrouwbare bedreigingsinformatie, kunnen de betrouwbaarheid verbeteren.
- Rol van analist. Hoewel automatisering waar mogelijk geweldig is, reserveert u complexere taken voor analisten en biedt u hen de mogelijkheid voor invoer in werkstromen die validatie vereisen. Kortom, antwoordautomatisering moet de mogelijkheden van analisten uitbreiden en uitbreiden.
SOAR-werkstroom migreren
In deze sectie ziet u hoe de belangrijkste SOAR-concepten in IBM Security QRadar SOAR worden omgezet in Microsoft Sentinel-onderdelen. De sectie bevat ook algemene richtlijnen voor het migreren van elke stap of onderdeel in de SOAR-werkstroom.
| Stap (in diagram) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Regels en voorwaarden definiëren. | Automatiseringsregels definiëren. |
| 2 | Geordende activiteiten uitvoeren. | Automatiseringsregels uitvoeren die meerdere playbooks bevatten. |
| 3 | Geselecteerde werkstromen uitvoeren. | Voer andere playbooks uit op basis van tags die zijn toegepast door playbooks die eerder zijn uitgevoerd. |
| 4 | Gegevens posten op berichtbestemmingen. | Codefragmenten uitvoeren met behulp van inlineacties in Logic Apps. |
SOAR-onderdelen toewijzen
Controleer welke functies van Microsoft Sentinel of Azure Logic Apps zijn toegewezen aan de belangrijkste QRadar SOAR-onderdelen.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Regels | Analyseregels die zijn gekoppeld aan playbooks of automatiseringsregels |
| Gateway | Voorwaardebeheer |
| Scripts | Inlinecode |
| Aangepaste actieprocessors | Aangepaste API-aanroepen in Azure Logic Apps of connectors van derden |
| Functions | Azure Function-connector |
| Berichtbestemmingen | Azure Logic Apps met Azure Service Bus |
| IBM X-Force Exchange | • Tabblad Automatiseringssjablonen > • Inhoudshub-catalogus • GitHub |
Playbooks en automatiseringsregels operationeel maken in Microsoft Sentinel
De meeste playbooks die u met Microsoft Sentinel gebruikt, zijn beschikbaar op het tabblad Automatiseringssjablonen>, in de catalogus van de inhoudshub of op GitHub. In sommige gevallen moet u echter mogelijk playbooks helemaal zelf maken of op basis van bestaande sjablonen.
Meestal bouwt u uw aangepaste logische app met behulp van de functie Azure Logic App Designer. De code voor logische apps is gebaseerd op ARM-sjablonen (Azure Resource Manager), die de ontwikkeling, implementatie en portabiliteit van Azure Logic Apps in meerdere omgevingen mogelijk maken. Als u uw aangepaste playbook wilt converteren naar een draagbare ARM-sjabloon, kunt u de ARM-sjabloongenerator gebruiken.
Gebruik deze resources voor gevallen waarin u uw eigen playbooks moet bouwen, geheel nieuw of op basis van bestaande sjablonen.
- Incidentafhandeling automatiseren in Microsoft Sentinel
- Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
- Microsoft Sentinel gebruiken voor incidentrespons, indeling en automatisering
- Adaptieve kaarten voor het verbeteren van incidentrespons in Microsoft Sentinel
Best practices voor SOAR na migratie
Hier volgen best practices waar u rekening mee moet houden na uw SOAR-migratie:
- Nadat u uw playbooks hebt gemigreerd, test u de playbooks uitgebreid om ervoor te zorgen dat de gemigreerde acties werken zoals verwacht.
- Controleer regelmatig uw automatiseringen om manieren te verkennen om uw SOAR verder te vereenvoudigen of te verbeteren. Microsoft Sentinel voegt voortdurend nieuwe connectors en acties toe waarmee u de effectiviteit van uw huidige antwoord-implementaties verder kunt vereenvoudigen of vergroten.
- Bewaak de prestaties van uw playbooks met behulp van de werkmap Statuscontrole van Playbooks.
- Beheerde identiteiten en service-principals gebruiken: verifieer met verschillende Azure-services in uw Logic Apps, sla de geheimen op in Azure Key Vault en verdoezel de uitvoer van de stroomuitvoering. We raden u ook aan de activiteiten van deze service-principals te controleren.
Volgende stappen
In dit artikel hebt u geleerd hoe u uw SOAR-automatisering van IBM Security QRadar SOAR kunt toewijzen aan Microsoft Sentinel.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor