Udostępnij za pośrednictwem


Używanie podręcznika usługi Microsoft Sentinel w celu zatrzymania potencjalnie naruszonych użytkowników

W tym artykule opisano przykładowy scenariusz użycia podręcznika i reguły automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa. Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel i są również używane do uruchamiania podręczników w odpowiedzi na zdarzenia lub alerty. Aby uzyskać więcej informacji, zobacz Automatyzacja w usłudze Microsoft Sentinel: aranżacja zabezpieczeń, automatyzacja i odpowiedź (SOAR).

W przykładowym scenariuszu opisanym w tym artykule opisano sposób użycia reguły automatyzacji i podręcznika w celu zatrzymania potencjalnie naruszonego użytkownika podczas tworzenia zdarzenia.

Uwaga

Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Do tworzenia i uruchamiania podręczników w usłudze Microsoft Sentinel wymagane są następujące role.

Rola Opis
Właściciel Umożliwia udzielanie dostępu do podręczników w grupie zasobów.
Współautor usługi Microsoft Sentinel Umożliwia dołączenie podręcznika do reguły analizy lub automatyzacji.
Osoba odpowiadająca w usłudze Microsoft Sentinel Umożliwia dostęp do zdarzenia w celu ręcznego uruchamiania podręcznika, ale nie umożliwia uruchamiania podręcznika.
Operator podręcznika usługi Microsoft Sentinel Umożliwia ręczne uruchamianie podręcznika.
Współautor automatyzacji usługi Microsoft Sentinel Umożliwia uruchamianie podręczników przez reguły automatyzacji. Ta rola nie jest używana w żadnym innym celu.

W poniższej tabeli opisano wymagane role na podstawie tego, czy wybrano aplikację logiki Zużycie, czy Standardowa, aby utworzyć podręcznik:

Aplikacja logiki Role na platformie Azure opis
Zużycie Współautor aplikacji logiki Edytowanie aplikacji logiki i zarządzanie nimi. Uruchamianie podręczników. Nie zezwala na udzielanie dostępu do podręczników.
Zużycie Operator aplikacji logiki Odczytywanie, włączanie i wyłączanie aplikacji logiki. Nie umożliwia edytowania ani aktualizowania aplikacji logiki.
Standardowa Operator usługi Logic Apps w warstwie Standardowa Włącz, prześlij ponownie i wyłącz przepływy pracy w aplikacji logiki.
Standardowa Deweloper usługi Logic Apps w warstwie Standardowa Tworzenie i edytowanie aplikacji logiki.
Standardowa Współautor usługi Logic Apps w warstwie Standardowa Zarządzanie wszystkimi aspektami aplikacji logiki.

Karta Aktywne elementy playbook na stronie Automatyzacja zawiera wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach. Domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że w szczególności udzielasz uprawnień usługi Microsoft Sentinel grupie zasobów podręcznika.

Dodatkowe uprawnienia wymagane do uruchamiania podręczników dotyczących zdarzeń

Usługa Microsoft Sentinel używa konta usługi do uruchamiania podręczników dotyczących zdarzeń, dodawania zabezpieczeń i włączania interfejsu API reguł automatyzacji w celu obsługi przypadków użycia ciągłej integracji/ciągłego wdrażania. To konto usługi jest używane na potrzeby podręczników wyzwalanych przez zdarzenia lub ręcznego uruchamiania podręcznika w określonym zdarzeniu.

Oprócz własnych ról i uprawnień to konto usługi Microsoft Sentinel musi mieć własny zestaw uprawnień do grupy zasobów, w której znajduje się podręcznik, w postaci roli Współautor automatyzacji usługi Microsoft Sentinel. Gdy usługa Microsoft Sentinel ma tę rolę, może uruchomić dowolny podręcznik w odpowiedniej grupie zasobów, ręcznie lub z reguły automatyzacji.

Aby przyznać usłudze Microsoft Sentinel wymagane uprawnienia, musisz mieć rolę administratora dostępu właściciela lub użytkownika. Aby uruchomić podręczniki, musisz również mieć rolę Współautor aplikacji logiki w grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

Zatrzymywanie potencjalnie naruszonych użytkowników

Zespoły SOC chcą upewnić się, że potencjalnie naruszone zabezpieczenia użytkowników nie mogą poruszać się po sieci i kraść informacje. Zalecamy utworzenie automatycznej, wielowymiarowej odpowiedzi na zdarzenia generowane przez reguły, które wykrywają naruszone zabezpieczenia użytkowników w celu obsługi takich scenariuszy.

Skonfiguruj regułę automatyzacji i podręcznik, aby używać następującego przepływu:

  1. Zdarzenie jest tworzone dla potencjalnie naruszonego użytkownika, a reguła automatyzacji jest wyzwalana w celu wywołania podręcznika.

  2. Podręcznik otwiera bilet w systemie obsługi biletów IT, na przykład ServiceNow.

  3. Podręcznik wysyła również komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack, aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.

  4. Podręcznik wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail zawiera przyciski opcji Blokuj i Ignoruj użytkownika.

  5. Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.

    • Jeśli administratorzy wybiorą pozycję Blokuj, podręcznik wysyła polecenie do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika, a jeden do zapory w celu zablokowania adresu IP.

    • Jeśli administratorzy wybiorą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.

Poniższy zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia tego przykładowego podręcznika:

Zrzut ekranu aplikacji logiki przedstawiający akcje i warunki tego podręcznika.