Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) w usłudze Microsoft Sentinel
W tym artykule opisano możliwości orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) usługi Microsoft Sentinel oraz pokazano, jak korzystanie z reguł automatyzacji i podręczników w odpowiedzi na zagrożenia bezpieczeństwa zwiększa efektywność SOC i pozwala zaoszczędzić czas i zasoby.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Microsoft Sentinel jako rozwiązanie SOAR
Problem
Zespoły SIEM/SOC są zwykle zalewane alertami i zdarzeniami zabezpieczeń w regularnych ilościach tak dużych, że dostępni pracownicy są przytłoczeni. Wynika to zbyt często w sytuacjach, w których wiele alertów jest ignorowanych, a wiele zdarzeń nie jest badanych, pozostawiając organizację podatną na ataki, które pozostają niezauważone.
Rozwiązanie
Usługa Microsoft Sentinel, oprócz systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), jest również platformą do orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Jednym z jego głównych celów jest zautomatyzowanie wszelkich cyklicznych i przewidywalnych zadań wzbogacania, reagowania i korygowania, które są obowiązkiem centrum operacji zabezpieczeń i personelu (SOC/SecOps), zwalniając czas i zasoby w celu dokładniejszego zbadania i wyszukiwania zagrożeń dla zaawansowanych zagrożeń. Automatyzacja przyjmuje kilka różnych form w usłudze Microsoft Sentinel, od reguł automatyzacji, które centralnie zarządzają automatyzacją obsługi i reagowania na zdarzenia, do podręczników, które uruchamiają wstępnie określone sekwencje akcji, aby zapewnić zaawansowaną i elastyczną zaawansowaną automatyzację zadań reagowania na zagrożenia.
Reguły automatyzacji
Reguły automatyzacji umożliwiają użytkownikom centralne zarządzanie automatyzacją obsługi zdarzeń. Oprócz umożliwienia przypisywania podręczników do zdarzeń i alertów reguły automatyzacji umożliwiają również automatyzowanie odpowiedzi dla wielu reguł analizy jednocześnie, automatyczne tagowanie, przypisywanie lub zamykanie zdarzeń bez potrzeby podręczników, tworzenie list zadań, które mają być wykonywane przez analityków podczas klasyfikowania, badania i korygowania zdarzeń oraz kontrolowania kolejności wykonywanych akcji. Reguły automatyzacji umożliwiają również stosowanie automatyzacji po zaktualizowaniu zdarzenia, a także podczas jego tworzenia. Ta nowa funkcja jeszcze bardziej usprawni użycie automatyzacji w usłudze Microsoft Sentinel i umożliwi uproszczenie złożonych przepływów pracy dla procesów aranżacji zdarzeń.
Aby dowiedzieć się więcej, zapoznaj się z tym kompletnym wyjaśnieniem reguł automatyzacji.
Podręczniki
Podręcznik to zbiór akcji reagowania i korygowania oraz logiki, które mogą być uruchamiane z usługi Microsoft Sentinel jako rutynowe. Podręcznik może pomóc zautomatyzować i zorganizować odpowiedź na zagrożenia, może integrować się z innymi systemami zarówno wewnętrznymi, jak i zewnętrznymi, i można go ustawić tak, aby był uruchamiany automatycznie w odpowiedzi na określone alerty lub zdarzenia, odpowiednio wyzwolony przez regułę analizy lub regułę automatyzacji. Można go również uruchamiać ręcznie na żądanie w odpowiedzi na alerty ze strony zdarzeń.
Podręczniki w usłudze Microsoft Sentinel są oparte na przepływach pracy wbudowanych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w systemach w całym przedsiębiorstwie. Oznacza to, że podręczniki mogą korzystać ze wszystkich możliwości i możliwości dostosowywania możliwości integracji i orkiestracji usługi Logic Apps oraz łatwych w użyciu narzędzi projektowych oraz skalowalności, niezawodności i poziomu usług usługi platformy Azure w warstwie 1.
Aby dowiedzieć się więcej, zapoznaj się z pełnym wyjaśnieniem podręczników.
Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń
Po dołączeniu obszaru roboczego usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń zwróć uwagę na następujące różnice w sposobie automatyzacji funkcji w obszarze roboczym:
Funkcjonalność | opis |
---|---|
Reguły automatyzacji z wyzwalaczami alertów | Na ujednoliconej platformie operacji zabezpieczeń reguły automatyzacji z wyzwalaczami alertów działają tylko w przypadku alertów usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wyzwalacz tworzenia alertów. |
Reguły automatyzacji z wyzwalaczami zdarzeń | W witrynie Azure Portal i ujednoliconej platformie operacji zabezpieczeń właściwość Warunek dostawcy zdarzeń jest usuwana, ponieważ wszystkie zdarzenia mają usługę Microsoft Defender XDR jako dostawcę zdarzeń (wartość w polu ProviderName). W tym momencie wszystkie istniejące reguły automatyzacji są uruchamiane zarówno w przypadku zdarzeń Microsoft Sentinel, jak i Microsoft Defender XDR, w tym tych, w których warunek dostawcy zdarzeń jest ustawiony tylko na usługę Microsoft Sentinel lub Microsoft 365 Defender. Jednak reguły automatyzacji określające określoną nazwę reguły analizy będą uruchamiane tylko na zdarzeniach utworzonych przez określoną regułę analizy. Oznacza to, że można zdefiniować właściwość warunku nazwy reguły analitycznej na regułę analizy, która istnieje tylko w usłudze Microsoft Sentinel, aby ograniczyć działanie reguły tylko w przypadku zdarzeń w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Warunki wyzwalacza zdarzeń. |
Zmiany istniejących nazw zdarzeń | W ujednoliconej platformie operacji SOC portal usługi Defender używa unikatowego aparatu do korelowania zdarzeń i alertów. Podczas dołączania obszaru roboczego do ujednoliconej platformy operacji SOC istniejące nazwy zdarzeń mogą zostać zmienione w przypadku zastosowania korelacji. Aby upewnić się, że reguły automatyzacji zawsze działają prawidłowo, zalecamy unikanie używania tytułów zdarzeń w regułach automatyzacji i sugerowanie użycia tagów. |
Zaktualizowane według pola | Aby uzyskać więcej informacji, zobacz Wyzwalacz aktualizacji zdarzeń. |
Reguły automatyzacji, które dodają zadania zdarzeń | Jeśli reguła automatyzacji dodaje zadanie zdarzenia, zadanie jest wyświetlane tylko w witrynie Azure Portal. |
Reguły tworzenia zdarzeń firmy Microsoft | Reguły tworzenia zdarzeń firmy Microsoft nie są obsługiwane na ujednoliconej platformie operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft). |
Uruchamianie reguł automatyzacji z poziomu portalu usługi Defender | Może upłynąć do 10 minut od momentu wyzwolenia alertu i utworzenia lub zaktualizowania zdarzenia w portalu usługi Defender do momentu uruchomienia reguły automatyzacji. Tym razem opóźnienie jest spowodowane tym, że zdarzenie jest tworzone w portalu usługi Defender, a następnie przekazywane do usługi Microsoft Sentinel dla reguły automatyzacji. |
Karta Aktywnych podręczników | Po dołączeniu do ujednoliconej platformy operacji zabezpieczeń domyślnie karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. Dodaj dane dla innych subskrypcji przy użyciu filtru subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości. |
Ręczne uruchamianie podręczników na żądanie | Następujące procedury nie są obecnie obsługiwane na ujednoliconej platformie operacji zabezpieczeń: |
Uruchamianie podręczników dotyczących zdarzeń wymaga synchronizacji usługi Microsoft Sentinel | Jeśli spróbujesz uruchomić podręcznik na incydencie z ujednoliconej platformy operacji zabezpieczeń i zobaczysz komunikat "Nie można uzyskać dostępu do danych związanych z tą akcją. Odśwież ekran w ciągu kilku minut". komunikat oznacza to, że zdarzenie nie zostało jeszcze zsynchronizowane z usługą Microsoft Sentinel. Odśwież stronę zdarzenia po pomyślnym zsynchronizowaniu zdarzenia w celu pomyślnego uruchomienia podręcznika. |
Następne kroki
W tym dokumencie przedstawiono sposób, w jaki usługa Microsoft Sentinel używa automatyzacji, aby pomóc soc działać wydajniej i wydajniej.
- Aby dowiedzieć się więcej na temat automatyzacji obsługi zdarzeń, zobacz Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel.
- Aby dowiedzieć się więcej na temat zaawansowanych opcji automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.
- Aby rozpocząć tworzenie reguł automatyzacji, zobacz Tworzenie reguł automatyzacji usługi Microsoft Sentinel i używanie ich do zarządzania zdarzeniami
- Aby uzyskać pomoc dotyczącą implementowania zaawansowanej automatyzacji za pomocą podręczników, zobacz Samouczek: automatyzowanie odpowiedzi na zagrożenia w usłudze Microsoft Sentinel przy użyciu podręczników.