Migrar a automatização DO Splunk SOAR para o Microsoft Sentinel
O Microsoft Sentinel fornece capacidades de Orquestração de Segurança, Automatização e Resposta (SOAR) com regras de automatização e manuais de procedimentos. As regras de automatização automatizam o processamento e a resposta de incidentes e os manuais de procedimentos executam sequências pré-determinadas de ações para responder e remediar ameaças. Este artigo aborda como identificar casos de utilização soar e como migrar a automatização do Splunk SOAR para o Microsoft Sentinel.
As regras de automatização simplificam os fluxos de trabalho complexos para os seus processos de orquestração de incidentes e permitem-lhe gerir centralmente a automatização de processamento de incidentes.
Com as regras de automatização, pode:
- Executar tarefas de automatização simples sem utilizar necessariamente manuais de procedimentos. Por exemplo, pode atribuir, etiquetar incidentes, alterar o estado e fechar incidentes.
- Automatizar respostas para múltiplas regras de análise ao mesmo tempo.
- Controlar a ordem das ações executadas.
- Execute manuais de procedimentos para os casos em que são necessárias tarefas de automatização mais complexas.
Identificar casos de utilização soar
Eis o que precisa de pensar ao migrar casos de utilização SOAR do Splunk.
- Utilize a qualidade das maiúsculas/minúsculas. Escolha casos de utilização adequados para automatização. Os casos de utilização devem basear-se em procedimentos claramente definidos, com uma variação mínima e uma taxa de falsos positivos baixa. A automatização deve funcionar com casos de utilização eficientes.
- Intervenção manual. A resposta automatizada pode ter efeitos abrangentes e automatizações de alto impacto devem ter entrada humana para confirmar as ações de alto impacto antes de serem tomadas.
- Critérios binários. Para aumentar o sucesso da resposta, os pontos de decisão num fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Os critérios binários reduzem a necessidade de intervenção humana e melhoram a previsibilidade dos resultados.
- Alertas ou dados precisos. As ações de resposta dependem da precisão dos sinais, como alertas. Os alertas e as origens de melhoramento devem ser fiáveis. Os recursos do Microsoft Sentinel, como listas de observação e informações fiáveis sobre ameaças, podem melhorar a fiabilidade.
- Função de analista. Embora a automatização sempre que possível seja ótima, reserve tarefas mais complexas para analistas e dê-lhes a oportunidade de introduzir em fluxos de trabalho que requerem validação. Resumindo, a automatização de respostas deve aumentar e expandir as capacidades dos analistas.
Migrar fluxo de trabalho SOAR
Esta secção mostra como os principais conceitos do Splunk SOAR se traduzem para componentes do Microsoft Sentinel e fornece diretrizes gerais sobre como migrar cada passo ou componente no fluxo de trabalho SOAR.
| Passo (no diagrama) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Ingerir eventos no índice principal. | Ingerir eventos na área de trabalho do Log Analytics. |
| 2 | Criar contentores. | Identificar incidentes com a funcionalidade de detalhes personalizados. |
| 3 | Criar casos. | O Microsoft Sentinel pode agrupar automaticamente incidentes de acordo com critérios definidos pelo utilizador, como entidades partilhadas ou gravidade. Estes alertas geram incidentes. |
| 4 | Criar manuais de procedimentos. | O Azure Logic Apps utiliza vários conectores para orquestrar atividades em ambientes microsoft Sentinel, Azure, terceiros e na cloud híbrida. |
| 4 | Criar livros. | O Microsoft Sentinel executa manuais de procedimentos isoladamente ou como parte de uma regra de automatização ordenada. Também pode executar manuais de procedimentos em alertas ou incidentes, de acordo com um procedimento predefinido do Centro de Operações de Segurança (SOC). |
Mapear componentes SOAR
Reveja as funcionalidades do Microsoft Sentinel ou do Azure Logic Apps que mapeiam para os principais componentes do Splunk SOAR.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Editor de manuais de procedimentos | Estruturador da Aplicação Lógica |
| Acionador | Acionador |
| • Conectores • Aplicação • Mediador de automatização |
• Conector • Função de Trabalho de Runbook Híbrida |
| Blocos de ação | Ação |
| Mediador de conectividade | Função de Trabalho de Runbook Híbrida |
| Comunidade | • Separador Modelos de Automatização > • Catálogo do hub de conteúdos • GitHub |
| Decisão | Controlo condicional |
| Código | Conector de Funções do Azure |
| Prompt | Enviar o e-mail de aprovação |
| Formato | Operações de dados |
| Manuais de procedimentos de entrada | Obter entradas variáveis a partir de resultados de passos executados anteriormente ou variáveis explicitamente declaradas |
| Definir parâmetros com o utilitário de API de bloco utilitário | Gerir Incidentes com a API |
Operacionalizar manuais de procedimentos e regras de automatização no Microsoft Sentinel
A maioria dos manuais de procedimentos que utiliza com o Microsoft Sentinel estão disponíveis no separador Modelos de Automatização>, no catálogo do Hub de conteúdos ou no GitHub. No entanto, em alguns casos, poderá ter de criar manuais de procedimentos de raiz ou a partir de modelos existentes.
Normalmente, cria a sua aplicação lógica personalizada com a funcionalidade Estruturador de Aplicações Lógicas do Azure. O código das aplicações lógicas baseia-se em modelos do Azure Resource Manager (ARM), que facilitam o desenvolvimento, implementação e portabilidade do Azure Logic Apps em vários ambientes. Para converter o seu manual de procedimentos personalizado num modelo portátil do ARM, pode utilizar o gerador de modelos arm.
Utilize estes recursos para casos em que precisa de criar os seus próprios manuais de procedimentos do zero ou de modelos existentes.
- Automatizar o processamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel
- Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel
- Como utilizar o Microsoft Sentinel para Resposta a Incidentes, Orquestração e Automatização
- Cartões Adaptáveis para melhorar a resposta a incidentes no Microsoft Sentinel
Soar após as melhores práticas de migração
Eis as melhores práticas que deve ter em conta após a migração soar:
- Depois de migrar os manuais de procedimentos, teste os manuais de procedimentos extensivamente para garantir que as ações migradas funcionam conforme esperado.
- Reveja periodicamente as automatizações para explorar formas de simplificar ou melhorar ainda mais o SOAR. O Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das suas implementações de resposta atuais.
- Monitorize o desempenho dos manuais de procedimentos com o livro Monitorização do estado de funcionamento dos Manuais de Procedimentos.
- Utilizar identidades geridas e principais de serviço: autentique-se em vários serviços do Azure no Logic Apps, armazene os segredos no Azure Key Vault e obscureça a saída de execução do fluxo. Também recomendamos que monitorize as atividades destes principais de serviço.
Passos seguintes
Neste artigo, aprendeu a mapear a automatização SOAR do Splunk para o Microsoft Sentinel.