Delen via


Splunk SOAR-automatisering migreren naar Microsoft Sentinel

Microsoft Sentinel biedt SOAR-mogelijkheden (Security Orchestration, Automation and Response) met automatiseringsregels en playbooks. Automatiseringsregels vereenvoudigen de verwerking en reactie van incidenten, terwijl playbooks complexere reeksen acties uitvoeren om bedreigingen te reageren en op te lossen. In dit artikel wordt beschreven hoe u SOAR-gebruiksvoorbeelden kunt identificeren en hoe u uw Splunk SOAR-automatisering migreert naar Microsoft Sentinel-automatiseringsregels en -playbooks.

Zie de volgende artikelen voor meer informatie over de verschillen tussen automatiseringsregels en playbooks:

SOAR-use cases identificeren

Hier volgt wat u moet bedenken bij het migreren van SOAR-use cases van Splunk.

  • Kwaliteit van use-case. Gebruiksvoorbeelden voor automatisering kiezen op basis van procedures die duidelijk zijn gedefinieerd, met minimale variatie en een laag fout-positief percentage.
  • Handmatige interventie. Geautomatiseerde antwoorden kunnen grote effecten hebben. Automatiseringen met hoge impact moeten menselijke input hebben om acties met een hoge impact te bevestigen voordat ze worden uitgevoerd.
  • Binaire criteria. Om het succes van de respons te vergroten, moeten beslissingspunten binnen een geautomatiseerde werkstroom zo beperkt mogelijk zijn, met binaire criteria. Wanneer er slechts twee variabelen zijn in de geautomatiseerde besluitvorming, wordt de behoefte aan menselijke interventie verminderd en is de voorspelbaarheid van resultaten verbeterd.
  • Nauwkeurige waarschuwingen of gegevens. Reactieacties zijn afhankelijk van de nauwkeurigheid van signalen, zoals waarschuwingen. Waarschuwingen en verrijkingsbronnen moeten betrouwbaar zijn. Microsoft Sentinel-resources, zoals volglijsten en bedreigingsinformatie met hoge betrouwbaarheidsclassificaties, verbeteren de betrouwbaarheid.
  • Rol van analist. Hoewel automatisering geweldig is, reserveert u de meest complexe taken voor analisten. Geef ze de mogelijkheid voor invoer in werkstromen waarvoor validatie is vereist. Kortom, antwoordautomatisering moet de mogelijkheden van analisten uitbreiden en uitbreiden.

SOAR-werkstroom migreren

In deze sectie wordt beschreven hoe belangrijke Splunk SOAR-concepten worden omgezet in Microsoft Sentinel-onderdelen en algemene richtlijnen biedt voor het migreren van elke stap of onderdeel in de SOAR-werkstroom.

Diagram met de SOAR-werkstromen Splunk en Microsoft Sentinel.

Stap (in diagram) Splunk Microsoft Sentinel
1 Gebeurtenissen opnemen in de hoofdindex. Gebeurtenissen opnemen in de Log Analytics-werkruimte.
2 Containers maken. Tag incidenten met behulp van de functie voor aangepaste details.
3 Maak cases. Microsoft Sentinel kan incidenten automatisch groeperen op basis van door de gebruiker gedefinieerde criteria, zoals gedeelde entiteiten of ernst. Deze waarschuwingen genereren vervolgens incidenten.
4 Playbooks maken. Azure Logic Apps maakt gebruik van verschillende connectors voor het organiseren van activiteiten in Microsoft Sentinel, Azure, externe en hybride cloudomgevingen.
4 Werkmappen maken. Microsoft Sentinel voert playbooks geïsoleerd of als onderdeel van een geordende automatiseringsregel uit. U kunt playbooks ook handmatig uitvoeren op waarschuwingen of incidenten volgens een vooraf gedefinieerde SOC-procedure (Security Operations Center).

SOAR-onderdelen toewijzen

Bekijk welke functies van Microsoft Sentinel of Azure Logic Apps zijn toegewezen aan de belangrijkste Splunk SOAR-onderdelen.

Splunk Microsoft Sentinel/Azure Logic Apps
Playbook-editor Ontwerpfunctie voor logische apps
Activator Trigger
•Verbindingslijnen
•App
• Automation Broker
Verbindingslijn
Hybrid Runbook Worker
Actieblokken Actie
Connectiviteitsbroker Hybrid Runbook Worker
Community Tabblad Automatiseringssjablonen >
Inhoudshubcatalogus
GitHub
Beslissing Voorwaardelijk besturingselement
Code Azure Function-connector
Prompt Goedkeurings-e-mail verzenden
Notatie Gegevensbewerkingen
Invoerplaybooks Variabele-invoer verkrijgen uit resultaten van eerder uitgevoerde stappen of expliciet gedeclareerde variabelen
Parameters instellen met utility block API utility Incidenten beheren met de API

Playbooks en automatiseringsregels operationeel maken in Microsoft Sentinel

De meeste playbooks die u met Microsoft Sentinel gebruikt, zijn beschikbaar op het tabblad Automation-sjablonen>, de inhoudshubcatalogus of GitHub. In sommige gevallen moet u echter mogelijk helemaal zelf playbooks of bestaande sjablonen maken.

Doorgaans bouwt u uw aangepaste logische app met behulp van de functie Azure Logic App Designer. De code van logische apps is gebaseerd op ARM-sjablonen (Azure Resource Manager), die de ontwikkeling, implementatie en draagbaarheid van Azure Logic Apps in meerdere omgevingen mogelijk maken. Als u uw aangepaste playbook wilt converteren naar een draagbare ARM-sjabloon, kunt u de ARM-sjabloongenerator gebruiken.

Gebruik deze resources voor gevallen waarin u uw eigen playbooks helemaal zelf of vanuit bestaande sjablonen moet bouwen.

Best practices voor SOAR na migratie

Hier volgen best practices die u moet volgen na uw SOAR-migratie:

  • Nadat u uw playbooks hebt gemigreerd, test u de playbooks uitgebreid om ervoor te zorgen dat de gemigreerde acties werken zoals verwacht.
  • Controleer regelmatig uw automatiseringen om manieren te verkennen om uw SOAR verder te vereenvoudigen of te verbeteren. Microsoft Sentinel voegt voortdurend nieuwe connectors en acties toe waarmee u de effectiviteit van uw huidige respons-implementaties verder kunt vereenvoudigen of vergroten.
  • Bewaak de prestaties van uw playbooks met behulp van de werkmap Playbooks-statuscontrole.
  • Gebruik beheerde identiteiten en service-principals: verifieer bij verschillende Azure-services in uw Logic Apps, sla de geheimen op in Azure Key Vault en verdoezel de uitvoer van de stroomuitvoering. We raden u ook aan de activiteiten van deze service-principals te bewaken.

Volgende stappen

In dit artikel hebt u geleerd hoe u uw SOAR-automatisering kunt toewijzen van Splunk aan Microsoft Sentinel.