Оркестрация, автоматизация и реагирование системы безопасности (SOAR) в Microsoft Sentinel
В этой статье описываются возможности оркестрации, автоматизации и реагирования системы безопасности (SOAR) в Microsoft Sentinel, а также демонстрируется, как использование правил автоматизации и сборников схем в ответ на угрозы безопасности повышает эффективность SOC, а также экономит время и ресурсы.
Внимание
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Microsoft Sentinel как решение SOAR
задачи;
Команды SIEM/SOC регулярно получают настолько большое количество оповещений и инцидентов системы безопасности, что все доступные специалисты оказываются перегружены. В результате этого очень часто многие оповещения игнорируются, а многие инциденты не анализируются, из-за чего организация остается уязвимой для атак, которые не были замечены.
Решение
Microsoft Sentinel — это не только система управления информационной безопасностью и событиями безопасности (SIEM), но и платформа для оркестрации, автоматизации и реагирования системы безопасности (SOAR). Одной из ее основных целей является автоматизация повторяющихся и предсказуемых задач обогащения, реагирования и исправления, которые входят в сферу ответственности центра информационной безопасности и соответствующих специалистов (SOC/SecOps), что позволяет освободить время и ресурсы для более глубокого изучения и поиска дополнительных угроз. Автоматизация в Microsoft Sentinel принимает разные формы: от правил автоматизации, централизованно управляющих автоматизацией обработки инцидентов и реагирования на них, до сборников схем, которые выполняют предварительно определенные последовательности действий для обеспечения эффективной и гибкой автоматизации задач реагирования на угрозы.
Правила автоматизации
Правила автоматизации позволяют пользователям централизованно управлять автоматизацией обработки инцидентов. Кроме того, вы можете назначать сборники схем инцидентам и оповещениям, правила автоматизации также позволяют автоматизировать ответы для нескольких правил аналитики одновременно, автоматически помечать, назначать или закрывать инциденты без необходимости в сборниках схем, создавать списки задач для аналитиков для выполнения при обработке, изучении и устранении инцидентов, а также управлять порядком выполняемых действий. Правила автоматизации также позволяют применять автоматизацию при обновлении инцидента, а также при его создании. Эта новая возможность продолжает модернизировать использование автоматизации в Microsoft Sentinel и позволит упростить сложные рабочие процессы управления инцидентами.
Дополнительные сведения о правилах автоматизации см. в этом подробном описании.
Сборники схем
Сборник схем — это набор таких действий по исправлению, которые можно запустить из Microsoft Sentinel в качестве подпрограммы. Сборник схем может помочь автоматизировать и оркестрировать реагирование на угрозы. Он интегрируется как с внешними, так и с внутренними системами. При активации правилом аналитики или правилом автоматизации он может автоматически запускаться в ответ на конкретные оповещения или инциденты соответственно. Его также можно запускать вручную по запросу в ответ на оповещения на странице инцидентов.
Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps — облачную службу, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в корпоративных системах. Это означает, что сборникам схем доступны все возможности интеграции и управления Logic Apps, в том числе возможности настройки, и простые в использовании инструменты проектирования, а также масштабируемость, надежность и уровень обслуживания службы Azure уровня 1.
Дополнительные сведения см. в этом подробном описании сборников схем.
Автоматизация с помощью единой платформы операций безопасности
После подключения рабочей области Microsoft Sentinel к единой платформе операций безопасности обратите внимание на следующие различия в том, как функции автоматизации в рабочей области:
Функциональность | Description |
---|---|
Правила автоматизации с триггерами оповещений | В единой платформе операций безопасности правила автоматизации с триггерами оповещений действуют только в оповещениях Microsoft Sentinel. Дополнительные сведения см. в разделе "Триггер создания оповещений". |
Правила автоматизации с триггерами инцидентов | В портал Azure и единой платформе операций безопасности свойство условия поставщика инцидентов удаляется, так как все инциденты имеют XDR в Microsoft Defender в качестве поставщика инцидентов (значение в поле ProviderName). На этом этапе все существующие правила автоматизации выполняются как в инцидентах Microsoft Sentinel, так и в XDR в Microsoft Defender, в том числе в тех случаях, когда условие поставщика инцидентов установлено только для Microsoft Sentinel или Microsoft 365 Defender. Однако правила автоматизации, указывающие определенное имя правила аналитики, будут выполняться только в инцидентах, созданных указанным правилом аналитики. Это означает, что свойство условия имени правила аналитики можно определить в правиле аналитики, которое существует только в Microsoft Sentinel, чтобы ограничить выполнение правила на инциденты только в Microsoft Sentinel. Дополнительные сведения см. в разделе "Условия триггера инцидента". |
Изменения существующих имен инцидентов | На единой платформе операций SOC портал Defender использует уникальный механизм для сопоставления инцидентов и оповещений. При подключении рабочей области к единой платформе операций SOC существующие имена инцидентов могут быть изменены, если применяется корреляция. Чтобы убедиться, что правила автоматизации всегда выполняются правильно, рекомендуется избегать использования заголовков инцидентов в правилах автоматизации и предлагать вместо этого использовать теги. |
Обновлено по полю | Дополнительные сведения см. в разделе "Триггер обновления инцидентов". |
Правила автоматизации, добавляющие задачи инцидента | Если правило автоматизации добавляет задачу инцидента, задача отображается только в портал Azure. |
Правила создания инцидентов Майкрософт | Правила создания инцидентов Майкрософт не поддерживаются на унифицированной платформе операций безопасности. Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт. |
Выполнение правил автоматизации на портале Defender | Это может занять до 10 минут с момента активации оповещения и создания или обновления инцидента на портале Defender до момента запуска правила автоматизации. На этот раз задержка связана с тем, что инцидент создается на портале Defender, а затем пересылается в Microsoft Sentinel для правила автоматизации. |
Вкладка "Активные сборники схем" | После подключения к единой платформе операций безопасности по умолчанию на вкладке "Активные сборники схем" отображается предварительно определенный фильтр с подпиской подключенной рабочей области. Добавьте данные для других подписок с помощью фильтра подписки. Дополнительные сведения см. в статье "Создание и настройка сборников схем Microsoft Sentinel" из шаблонов контента. |
Выполнение сборников схем вручную по запросу | В настоящее время в единой платформе операций безопасности не поддерживаются следующие процедуры: |
Выполнение сборников схем в инцидентах требует синхронизации Microsoft Sentinel | Если вы пытаетесь запустить сборник схем на инциденте из единой платформы операций безопасности и увидите сообщение "Не удается получить доступ к данным, связанным с этим действием. Обновите экран через несколько минут". сообщение, это означает, что инцидент еще не синхронизирован с Microsoft Sentinel. Обновите страницу инцидента после синхронизации инцидента, чтобы успешно запустить сборник схем. |
Следующие шаги
Из этого документа вы узнали, как Microsoft Sentinel использует автоматизацию для повышения эффективности работы SOC.
- Сведения об автоматизации обработки инцидентов см. в статье Автоматизация обработки инцидентов в Microsoft Sentinel.
- Дополнительные сведения о расширенных параметрах автоматизации см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
- Чтобы приступить к созданию правил автоматизации, см. раздел Создание и использование правил автоматизации Microsoft Sentinel для управления инцидентами
- Сведения о реализации расширенной автоматизации с помощью сборников схем см. в руководстве . Использование сборников схем для автоматизации ответов на угрозы в Microsoft Sentinel.