Migrar a automatização QRadar SOAR de Segurança da IBM para o Microsoft Sentinel
O Microsoft Sentinel fornece capacidades de Orquestração de Segurança, Automatização e Resposta (SOAR) com regras de automatização e manuais de procedimentos. As regras de automatização automatizam o processamento e a resposta de incidentes e os manuais de procedimentos executam sequências de ações pré-determinadas para responder e remediar ameaças. Este artigo aborda como identificar casos de utilização soar e como migrar a automatização QRadar SOAR da Segurança IBM para o Microsoft Sentinel.
As regras de automatização simplificam fluxos de trabalho complexos para os seus processos de orquestração de incidentes e permitem-lhe gerir centralmente a automatização do processamento de incidentes.
Com as regras de automatização, pode:
- Executar tarefas de automatização simples sem utilizar necessariamente manuais de procedimentos. Por exemplo, pode atribuir, etiquetar incidentes, alterar o estado e fechar incidentes.
- Automatizar respostas para múltiplas regras de análise ao mesmo tempo.
- Controle a ordem das ações executadas.
- Execute manuais de procedimentos para os casos em que são necessárias tarefas de automatização mais complexas.
Identificar casos de utilização do SOAR
Eis o que precisa de pensar ao migrar casos de utilização SOAR da QRadar SOAR de Segurança da IBM.
- Qualidade das maiúsculas e minúsculas. Escolha bons casos de utilização para automatização. Os casos de utilização devem basear-se em procedimentos claramente definidos, com variação mínima e uma taxa de falsos positivos baixa. A automatização deve funcionar com casos de utilização eficientes.
- Intervenção manual. A resposta automatizada pode ter efeitos abrangentes e as automatizações de alto impacto devem ter contributos humanos para confirmar as ações de alto impacto antes de serem tomadas.
- Critérios binários. Para aumentar o êxito da resposta, os pontos de decisão num fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Os critérios binários reduzem a necessidade de intervenção humana e melhoram a previsibilidade dos resultados.
- Alertas ou dados precisos. As ações de resposta dependem da precisão dos sinais, como alertas. Os alertas e as origens de melhoramento devem ser fiáveis. Os recursos do Microsoft Sentinel, como listas de observação e informações fiáveis sobre ameaças, podem melhorar a fiabilidade.
- Função de analista. Embora a automatização, sempre que possível, seja ótima, reserve tarefas mais complexas para os analistas e dê-lhes a oportunidade de introduzir em fluxos de trabalho que requerem validação. Resumindo, a automatização de respostas deve aumentar e expandir as capacidades dos analistas.
Migrar fluxo de trabalho soar
Esta secção mostra como os principais conceitos SOAR na QRadar SOAR de Segurança da IBM se traduzem em componentes do Microsoft Sentinel. A secção também fornece diretrizes gerais sobre como migrar cada passo ou componente no fluxo de trabalho SOAR.
| Passo (no diagrama) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Definir regras e condições. | Definir regras de automatização. |
| 2 | Execute atividades ordenadas. | Execute regras de automatização que contenham vários manuais de procedimentos. |
| 3 | Execute fluxos de trabalho selecionados. | Execute outros manuais de procedimentos de acordo com as etiquetas aplicadas pelos manuais de procedimentos que foram executados anteriormente. |
| 4 | Publicar dados em destinos de mensagens. | Execute fragmentos de código com ações inline no Logic Apps. |
Mapear componentes SOAR
Reveja as funcionalidades do Microsoft Sentinel ou do Azure Logic Apps mapeadas para os principais componentes QRadar SOAR.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Regras | Regras de análise anexadas a manuais de procedimentos ou regras de automatização |
| Gateway | Controlo de condição |
| Scripts | Código inline |
| Processadores de ações personalizados | Chamadas à API personalizadas no Azure Logic Apps ou conectores de terceiros |
| Funções | Conector da Função do Azure |
| Destinos de mensagens | Azure Logic Apps com Azure Service Bus |
| IBM X-Force Exchange | • Separador Modelos de Automatização > • Catálogo do hub de conteúdos • GitHub |
Operacionalizar manuais de procedimentos e regras de automatização no Microsoft Sentinel
A maioria dos manuais de procedimentos que utiliza com o Microsoft Sentinel estão disponíveis no separador Modelos de Automatização>, no catálogo do Hub de conteúdos ou no GitHub. No entanto, em alguns casos, poderá ter de criar manuais de procedimentos de raiz ou a partir de modelos existentes.
Normalmente, cria a sua aplicação lógica personalizada com a funcionalidade Designer do Azure Logic App. O código das aplicações lógicas baseia-se em modelos do Azure Resource Manager (ARM), que facilitam o desenvolvimento, a implementação e a portabilidade do Azure Logic Apps em vários ambientes. Para converter o manual de procedimentos personalizado num modelo portátil do ARM, pode utilizar o gerador de modelos arm.
Utilize estes recursos para casos em que precisa de criar os seus próprios manuais de procedimentos de raiz ou a partir de modelos existentes.
- Automatizar o processamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel
- Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel
- Como utilizar o Microsoft Sentinel para Resposta a Incidentes, Orquestração e Automatização
- Cartões Ajustáveis para melhorar a resposta a incidentes no Microsoft Sentinel
Soar após as melhores práticas de migração
Eis as melhores práticas que deve ter em conta após a migração soar:
- Depois de migrar os manuais de procedimentos, teste os manuais de procedimentos extensivamente para garantir que as ações migradas funcionam conforme esperado.
- Reveja periodicamente as automatizações para explorar formas de simplificar ou melhorar ainda mais o SOAR. O Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das suas implementações de resposta atuais.
- Monitorize o desempenho dos manuais de procedimentos com o livro Monitorização do estado de funcionamento dos Manuais de Procedimentos.
- Utilizar identidades geridas e principais de serviço: autentique-se em vários serviços do Azure no Logic Apps, armazene os segredos no Azure Key Vault e obscureça a saída da execução do fluxo. Também recomendamos que monitorize as atividades destes principais de serviço.
Passos seguintes
Neste artigo, aprendeu a mapear a automatização SOAR do QRadar SOAR de Segurança da IBM para o Microsoft Sentinel.