Automatyzacja w usłudze Microsoft Sentinel: orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR)

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zespoły ds. zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i centrum operacji zabezpieczeń (SOC) są zwykle zapełniane alertami zabezpieczeń i zdarzeniami regularnie w woluminach tak dużych, że dostępni pracownicy są przeciążeni. Wynika to zbyt często w sytuacjach, w których wiele alertów jest ignorowanych, a wiele zdarzeń nie jest badanych, pozostawiając organizację podatną na ataki, które pozostają niezauważone.

Microsoft Sentinel, oprócz bycia systemem SIEM, jest również platformą do orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Jednym z jego głównych celów jest zautomatyzowanie wszelkich cyklicznych i przewidywalnych zadań wzbogacania, reagowania i korygowania, które są odpowiedzialne za centrum operacji zabezpieczeń i personel (SOC/SecOps), zwalniając czas i zasoby w celu dokładniejszego badania i wyszukiwania zagrożeń dla zaawansowanych zagrożeń.

W tym artykule opisano możliwości SOAR usługi Microsoft Sentinel i pokazano, jak korzystanie z reguł automatyzacji i podręczników w odpowiedzi na zagrożenia bezpieczeństwa zwiększa skuteczność SOC i oszczędza czas i zasoby.

Ważne

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Reguły automatyzacji

Usługa Microsoft Sentinel używa reguł automatyzacji, aby umożliwić użytkownikom zarządzanie automatyzacją obsługi zdarzeń z centralnej lokalizacji. Użyj reguł automatyzacji, aby:

• Przypisywanie bardziej zaawansowanej automatyzacji do zdarzeń i alertów przy użyciu podręczników
• Automatyczne tagowanie, przypisywanie lub zamykanie zdarzeń bez podręcznika
• Automatyzowanie odpowiedzi dla wielu reguł analizy jednocześnie
• Tworzenie list zadań, które mają być wykonywane przez analityków podczas klasyfikowania, badania i korygowania zdarzeń
• Kontrolowanie kolejności wykonywanych akcji

Zalecamy stosowanie reguł automatyzacji podczas tworzenia lub aktualizowania zdarzeń, aby jeszcze bardziej usprawnić automatyzację i uprościć złożone przepływy pracy dla procesów aranżacji zdarzeń.

Aby uzyskać więcej informacji, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji.

Podręczniki

Podręcznik to zbiór akcji reagowania i korygowania oraz logiki, które mogą być uruchamiane z usługi Microsoft Sentinel jako rutynowe. Podręcznik może:

• Pomoc w automatyzowaniu i organizowaniu reagowania na zagrożenia
• Integracja z innymi systemami, zarówno wewnętrznymi, jak i zewnętrznymi
• Należy skonfigurować automatyczne uruchamianie w odpowiedzi na określone alerty lub zdarzenia albo uruchamiać ręcznie na żądanie, na przykład w odpowiedzi na nowe alerty

W usłudze Microsoft Sentinel podręczniki są oparte na przepływach pracy utworzonych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w systemach w całym przedsiębiorstwie. Oznacza to, że podręczniki mogą korzystać ze wszystkich możliwości i możliwości dostosowywania możliwości integracji i orkiestracji usługi Logic Apps oraz łatwych w użyciu narzędzi projektowych oraz skalowalności, niezawodności i poziomu usług usługi platformy Azure w warstwie 1.

Aby uzyskać więcej informacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.

Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń

Po dołączeniu obszaru roboczego usługi Microsoft Sentinel do ujednoliconej platformy operacji zabezpieczeń zwróć uwagę na następujące różnice w sposobie automatyzacji funkcji w obszarze roboczym:

Funkcjonalność	opis
Reguły automatyzacji z wyzwalaczami alertów	Na ujednoliconej platformie operacji zabezpieczeń reguły automatyzacji z wyzwalaczami alertów działają tylko w przypadku alertów usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wyzwalacz tworzenia alertów.
Reguły automatyzacji z wyzwalaczami zdarzeń	W witrynie Azure Portal i ujednoliconej platformie operacji zabezpieczeń właściwość Warunek dostawcy zdarzeń jest usuwana, ponieważ wszystkie zdarzenia mają usługę Microsoft Defender XDR jako dostawcę zdarzeń (wartość w polu ProviderName). W tym momencie wszystkie istniejące reguły automatyzacji są uruchamiane zarówno w przypadku zdarzeń Microsoft Sentinel, jak i Microsoft Defender XDR, w tym tych, w których warunek dostawcy zdarzeń jest ustawiony tylko na usługę Microsoft Sentinel lub Microsoft 365 Defender. Jednak reguły automatyzacji określające określoną nazwę reguły analizy będą uruchamiane tylko na zdarzeniach utworzonych przez określoną regułę analizy. Oznacza to, że można zdefiniować właściwość warunku nazwy reguły analitycznej na regułę analizy, która istnieje tylko w usłudze Microsoft Sentinel, aby ograniczyć działanie reguły tylko w przypadku zdarzeń w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Warunki wyzwalacza zdarzeń.
Zmiany istniejących nazw zdarzeń	W ujednoliconej platformie operacji SOC portal usługi Defender używa unikatowego aparatu do korelowania zdarzeń i alertów. Podczas dołączania obszaru roboczego do ujednoliconej platformy operacji SOC istniejące nazwy zdarzeń mogą zostać zmienione w przypadku zastosowania korelacji. Aby upewnić się, że reguły automatyzacji zawsze działają prawidłowo, zalecamy unikanie używania tytułów zdarzeń w regułach automatyzacji i sugerowanie użycia tagów.
Zaktualizowane według pola	Po dołączeniu obszaru roboczego pole Zaktualizowane według zawiera nowy zestaw obsługiwanych wartości, które nie obejmują już usługi Microsoft 365 Defender. W istniejących regułach automatyzacji usługa Microsoft 365 Defender jest zastępowana wartością Inne po dołączeniu obszaru roboczego. Jeśli w okresie 5–10 minut wprowadzono wiele zmian w tym samym zdarzeniu, pojedyncza aktualizacja zostanie wysłana do usługi Microsoft Sentinel z tylko najnowszą zmianą. Aby uzyskać więcej informacji, zobacz Wyzwalacz aktualizacji zdarzeń.
Reguły automatyzacji, które dodają zadania zdarzeń	Jeśli reguła automatyzacji dodaje zadanie zdarzenia, zadanie jest wyświetlane tylko w witrynie Azure Portal.
Reguły tworzenia zdarzeń firmy Microsoft	Reguły tworzenia zdarzeń firmy Microsoft nie są obsługiwane na ujednoliconej platformie operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft).
Uruchamianie reguł automatyzacji z poziomu portalu usługi Defender	Może upłynąć do 10 minut od momentu wyzwolenia alertu i utworzenia lub zaktualizowania zdarzenia w portalu usługi Defender do momentu uruchomienia reguły automatyzacji. Tym razem opóźnienie jest spowodowane tym, że zdarzenie jest tworzone w portalu usługi Defender, a następnie przekazywane do usługi Microsoft Sentinel dla reguły automatyzacji.
Karta Aktywnych podręczników	Po dołączeniu do ujednoliconej platformy operacji zabezpieczeń domyślnie karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. W witrynie Azure Portal dodaj dane dla innych subskrypcji przy użyciu filtru subskrypcji. Aby uzyskać więcej informacji, zobacz Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości.
Ręczne uruchamianie podręczników na żądanie	Poniższe procedury nie są obecnie obsługiwane na ujednoliconej platformie operacji zabezpieczeń: Ręczne uruchamianie podręcznika w alercie Ręczne uruchamianie podręcznika w jednostce
Uruchamianie podręczników dotyczących zdarzeń wymaga synchronizacji usługi Microsoft Sentinel	Jeśli spróbujesz uruchomić podręcznik na incydencie z ujednoliconej platformy operacji zabezpieczeń i zobaczysz komunikat "Nie można uzyskać dostępu do danych związanych z tą akcją. Odśwież ekran w ciągu kilku minut". komunikat oznacza to, że zdarzenie nie zostało jeszcze zsynchronizowane z usługą Microsoft Sentinel. Odśwież stronę zdarzenia po pomyślnym zsynchronizowaniu zdarzenia w celu pomyślnego uruchomienia podręcznika.
Zdarzenia: dodawanie alertów do zdarzeń / Usuwanie alertów ze zdarzeń	Ponieważ dodawanie alertów do lub usuwanie alertów ze zdarzeń nie jest obsługiwane po dołączeniu obszaru roboczego do ujednoliconej platformy operacji zabezpieczeń, te akcje nie są również obsługiwane z poziomu podręczników. Aby uzyskać więcej informacji, zobacz Możliwości różnic między portalami.

Powiązana zawartość

• Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
• Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
• Tworzenie reguł automatyzacji usługi Microsoft Sentinel i używanie ich do zarządzania odpowiedzią