Zarządzanie zdarzeniami w usłudze Microsoft Sentinel za pomocą zadań

Jednym z najważniejszych czynników efektywnego i wydajnego uruchamiania operacji zabezpieczeń (SecOps) jest standaryzacja procesów. Analitycy SecOps powinni wykonać listę kroków lub zadań w procesie klasyfikowania, badania lub korygowania zdarzenia. Standaryzacja i sformalizowanie listy zadań może ułatwić bezproblemowe działanie SOC, zapewniając, że te same wymagania mają zastosowanie do wszystkich analityków. W ten sposób, niezależnie od tego, kto jest na zmianę, incydent zawsze otrzyma to samo leczenie i umowy SLA. Analitycy nie będą musieli poświęcać czasu na myślenie o tym, co należy zrobić, ani martwić się o brak krytycznego kroku. Te kroki są definiowane przez menedżera SOC lub starszych analityków (warstwa 2/3) na podstawie wspólnej wiedzy na temat zabezpieczeń (np. NIST), doświadczenia z przeszłymi zdarzeniami lub rekomendacjami dostarczonymi przez dostawcę zabezpieczeń, który wykrył zdarzenie.

Przypadki użycia

• Analitycy SOC mogą używać jednej centralnej listy kontrolnej do obsługi procesów klasyfikacji zdarzeń, badania i reagowania, nie martwiąc się o brak kroku krytycznego.

• Inżynierowie SOC lub starsi analitycy mogą dokumentować, aktualizować i dostosowywać standardy reagowania na zdarzenia w zespołach analityków i zmianach. Mogą również tworzyć listy kontrolne zadań do trenowania nowych analityków lub analityków napotykających nowe typy zdarzeń.

• Jako menedżer SOC lub jako mssp możesz upewnić się, że zdarzenia są obsługiwane zgodnie z odpowiednimi umowami SLA/SOP.

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Rola Współautor usługi Logic Apps jest wymagana do tworzenia i edytowania podręczników.

Scenariusze

Analityk

Wykonywanie zadań podczas obsługi zdarzenia

Po wybraniu zdarzenia i wyświetl pełne szczegóły na stronie szczegółów zdarzenia zobaczysz na panelu po prawej stronie wszystkie zadania, które zostały dodane do tego zdarzenia, niezależnie od tego, czy ręcznie, czy przez reguły automatyzacji.

Rozwiń zadanie, aby wyświetlić jego pełny opis, w tym użytkownika, regułę automatyzacji lub podręcznik, który go utworzył.

Oznacz zadanie ukończone, wybierając okrąg "pole wyboru".

Dodawanie zadań do zdarzenia na miejscu

Możesz dodać zadania do otwartego zdarzenia, nad którym pracujesz, aby przypomnieć sobie o akcjach, które zostały wykryte, lub zarejestrować akcje, które zostały wykonane z własnej inicjatywy, które nie są wyświetlane na liście zadań. Zadania dodane w ten sposób będą miały zastosowanie tylko do otwartego zdarzenia.

Twórca przepływu pracy

Dodawanie zadań do zdarzeń przy użyciu reguł automatyzacji

Użyj akcji Dodaj zadanie w regułach automatyzacji, aby automatycznie dostarczyć wszystkie zdarzenia z listą kontrolną zadań dla analityków. Ustaw warunek nazwy reguły analizy w regule automatyzacji, aby określić zakres:

• Zastosuj regułę automatyzacji do wszystkich reguł analizy, aby zdefiniować standardowy zestaw zadań, które mają być stosowane do wszystkich zdarzeń.

• Stosując regułę automatyzacji do ograniczonego zestawu reguł analizy, można przypisać określone zadania do określonych zdarzeń, zgodnie z zagrożeniami wykrytymi przez regułę analizy lub reguły, które wygenerowały te zdarzenia.

Należy wziąć pod uwagę, że kolejność, w jakiej zadania pojawiają się w zdarzeniu, jest określana przez czas tworzenia zadań. Można ustawić kolejność reguł automatyzacji, tak aby reguły, które dodają zadania wymagane dla wszystkich zdarzeń, będą uruchamiane jako pierwsze, a dopiero potem wszystkie reguły, które dodają zadania wymagane dla zdarzeń generowanych przez określone reguły analizy. W ramach jednej reguły kolejność, w której zdefiniowano akcje, określa kolejność, w jakiej występują w incydencie.

Przed utworzeniem nowej reguły automatyzacji sprawdź, które zdarzenia są objęte istniejącymi regułami i zadaniami automatyzacji.
Użyj filtru Akcja na liście Reguł automatyzacji, aby wyświetlić tylko te reguły, które dodają zadania do zdarzeń, i zobacz, do których reguł analizy mają zastosowanie te reguły automatyzacji, aby zrozumieć, do których zdarzeń zostaną dodane te zadania.

Dodawanie zadań do zdarzeń za pomocą podręczników

Użyj akcji Dodaj zadanie w podręczniku (w łączniku usługi Microsoft Sentinel), aby automatycznie dodać zadanie do zdarzenia, które wyzwoliło podręcznik.

Następnie użyj innych akcji podręcznika — w odpowiednich łącznikach usługi Logic Apps — aby ukończyć zawartość zadania.

Na koniec użyj akcji Oznacz zadanie jako ukończone (ponownie w łączniku usługi Microsoft Sentinel), aby automatycznie oznaczyć ukończenie zadania.

Rozważ następujące scenariusze jako przykłady:

• Pozwól podręcznikom dodawać i wykonywać zadania: po utworzeniu zdarzenia zostanie wyzwolony podręcznik, który wykonuje następujące czynności:

  1. Dodaje zadanie do zdarzenia w celu zresetowania hasła użytkownika.
  2. Wykonuje zadanie, wysyłając wywołanie interfejsu API do systemu aprowizacji użytkowników w celu zresetowania hasła użytkownika.
  3. Oczekuje na odpowiedź z systemu co do powodzenia lub niepowodzenia resetowania.
     • Jeśli resetowanie hasła zakończyło się pomyślnie, podręcznik oznacza zadanie, które zostało właśnie utworzone w zdarzeniu jako ukończone.
     • Jeśli resetowanie hasła nie powiedzie się, podręcznik nie oznaczy zadania jako ukończonego, pozostawiając go analitykowi do wykonania.

• Let playbook evaluate if conditional tasks should be added: When an incident is created, it will trigger a playbook that requests an IP address report from an external threat intelligence source .Let playbook that requests an IP address report from an external threat intelligence source.

  • Jeśli adres IP jest złośliwy, podręcznik dodaje określone zadanie (np. "Blokuj ten adres IP").
  • W przeciwnym razie podręcznik nie podejmuje dalszych działań.

Czy dodać zadania przy użyciu reguł automatyzacji lub podręczników?

Jakie zagadnienia należy dyktować, które z tych metod należy użyć do tworzenia zadań zdarzeń?

• Reguły automatyzacji: używaj zawsze, gdy jest to możliwe. Służy do wykonywania zwykłych, statycznych zadań, które nie wymagają interakcyjności.
• Podręczniki: służy do wykonywania zaawansowanych przypadków użycia — tworzenia zadań na podstawie warunków lub zadań ze zintegrowanymi akcjami automatycznymi.

Następne kroki

• Dowiedz się, jak analitycy mogą używać zadań do obsługi przepływu pracy zdarzeń w usłudze Microsoft Sentinel.
• Dowiedz się więcej na temat badania zdarzeń w usłudze Microsoft Sentinel.
• Dowiedz się, jak automatycznie dodawać zadania do grup zdarzeń przy użyciu reguł automatyzacji lub podręczników.
• Dowiedz się więcej o regułach automatyzacji i sposobie ich tworzenia.
• Dowiedz się więcej o podręcznikach i sposobie ich tworzenia.