Рекомендуемые варианты использования сборников схем, шаблоны и примеры
В этой статье перечислены примеры вариантов использования сборников схем Microsoft Sentinel, а также примеры сборников схем и рекомендуемые шаблоны схем.
Рекомендуемые варианты использования сборника схем
Мы рекомендуем начать с сборников схем Microsoft Sentinel для следующих сценариев SOC, для которых мы предоставляем готовые шаблоны схем вне коробки.
Обогащение: сбор и присоединение данных к инциденту для принятия более умных решений
Если инцидент Microsoft Sentinel создается из правила оповещения и аналитики, создающего сущности IP-адресов, настройте инцидент для активации правила автоматизации для запуска сборника схем и получения дополнительных сведений.
Настройте сборник схем следующим образом:
Запустите сборник схем при создании инцидента. Сущности, представленные в инциденте, хранятся в динамических полях триггера инцидента.
Для каждого IP-адреса настройте сборник схем для запроса внешнего поставщика аналитики угроз, например "Итог вируса", чтобы получить дополнительные данные.
Добавьте возвращенные данные и аналитические сведения в качестве комментариев инцидента для обогащения расследования.
Двунаправленная синхронизация инцидентов Microsoft Sentinel с другими системами билетов
Чтобы синхронизировать данные инцидента Microsoft Sentinel с системой билетов, например ServiceNow, выполните следующие действия.
Создайте правило автоматизации для создания всех инцидентов.
Вложите сборник схем, активировавшийся при создании нового инцидента.
Настройте сборник схем для создания нового билета в ServiceNow с помощью соединителя ServiceNow.
Убедитесь, что команды могут легко перейти от билета ServiceNow обратно к инциденту Microsoft Sentinel, настроив сборник схем, чтобы включить имя инцидента, важные поля и URL-адрес инцидента Microsoft Sentinel в билете ServiceNow.
Оркестрация: управление очередью инцидентов с платформы чата SOC
Если инцидент Microsoft Sentinel создается из правила оповещения и аналитики, создающего сущности имени пользователя и IP-адреса, настройте инцидент, чтобы активировать правило автоматизации для запуска сборника схем и связаться со своей командой по стандартным каналам коммуникации.
Настройте сборник схем следующим образом:
Запустите сборник схем при создании инцидента. Сущности, представленные в инциденте, хранятся в динамических полях триггера инцидента.
Настройте сборник схем для отправки сообщения в канал связи с операциями безопасности, например в Microsoft Teams или Slack , чтобы убедиться, что аналитики безопасности осведомлены об инциденте.
Настройте сборник схем для отправки всех сведений в оповещении по электронной почте старшему администратору сети и администратору безопасности. В сообщении электронной почты содержатся кнопки "Блокировать " и "Игнорировать параметры пользователя".
Настройте сборник схем, чтобы дождаться получения ответа от администраторов, а затем продолжить выполнение.
Если администраторы выбирают блокировку, настройте сборник схем для отправки команды брандмауэру, чтобы заблокировать IP-адрес в оповещении, а другой — идентификатору Microsoft Entra, чтобы отключить пользователя.
Реагирование на угрозы немедленно с минимальными зависимостями человека
В этом разделе приведены два примера, реагирование на угрозы скомпрометированного пользователя и скомпрометированного компьютера.
В случае скомпрометированного пользователя, например обнаруженного Защита идентификации Microsoft Entra:
Запустите сборник схем при создании нового инцидента Microsoft Sentinel.
Для каждой сущности пользователя в инциденте, который подозревается как скомпрометированный, настройте сборник схем следующим образом:
Отправьте пользователю сообщение Teams и попросите его подтвердить, совершал ли он подозрительное действие.
Проверьте Защита идентификации Microsoft Entra, чтобы подтвердить состояние пользователя как скомпрометированное. Защита идентификации Microsoft Entra метки пользователя как рискованного и применить любую политику применения, уже настроенную, например, чтобы пользователь использовал MFA при следующем входе.
Примечание.
Это конкретное действие Microsoft Entra не инициирует никаких действий принудительного применения для пользователя, а также не инициирует любую конфигурацию политики принудительного применения. Он сообщает только Защита идентификации Microsoft Entra применять все уже определенные политики в соответствии с соответствующими параметрами. Любое принудительное применение полностью зависит от соответствующих политик, определенных в Защита идентификации Microsoft Entra.
В случае скомпрометированного компьютера, например обнаруженного Microsoft Defender для конечной точки:
Запустите сборник схем при создании нового инцидента Microsoft Sentinel.
Настройте сборник схем с помощью действия "Сущности— получение узлов ", чтобы проанализировать подозрительные компьютеры, включенные в сущности инцидента.
Настройте сборник схем для выдачи команды, чтобы Microsoft Defender для конечной точки, чтобы изолировать компьютеры в оповещении.
Реагирование вручную во время расследования или во время охоты без выхода из контекста
Используйте триггер сущности, чтобы принять немедленные меры для отдельных субъектов угроз, обнаруженных во время расследования одновременно, прямо из вашего расследования. Этот параметр также доступен в контексте охоты на угрозы, не подключен к любому конкретному инциденту.
Выберите сущность в контексте и выполните действия прямо там, экономя время и уменьшая сложность.
Сборники схем с триггерами сущностей поддерживают такие действия, как:
- Блокировка скомпрометированного пользователя.
- Блокировка трафика от вредоносного IP-адреса в брандмауэре.
- Изоляция скомпрометированного узла в сети.
- Добавление IP-адреса в список отслеживания безопасных и небезопасных адресов или во внешнюю базу данных управления конфигурацией (CMDB).
- Получение хэш-отчета из внешнего источника аналитики угроз и добавление его в инцидент в качестве комментария.
Рекомендуемые шаблоны сборников схем
В этом разделе перечислены рекомендуемые сборники схем и другие аналогичные сборники схем доступны в Центре содержимого или в репозитории Microsoft Sentinel GitHub.
Шаблоны сборников схем уведомлений
Сборники схем уведомлений активируются при создании оповещения или инцидента и отправке соответствующего уведомления настроенному адресату:
| Подробный обзор типов | Папка в репозиторий GitHub |
Решение в центре содержимого/ Azure Marketplace |
|---|---|---|
| Публикация сообщения в канале Microsoft Teams | Post-Message-Teams | Решение Sentinel SOAR Essentials |
| Отправка уведомления по электронной почте через Outlook | Send-basic-email | Решение Sentinel SOAR Essentials |
| Публикация сообщения в канале Slack | Post-Message-Slack | Решение Sentinel SOAR Essentials |
| Отправка адаптивной карточки Microsoft Teams при создании инцидентов | Send-Teams-adaptive-card-on-incident-creation | Решение Sentinel SOAR Essentials |
Блокировка шаблонов сборников схем
Сборники схем блокировки активируются при создании оповещения или инцидента, собирают сведения о сущности (учетная запись, IP-адрес и узел) и блокируют дальнейшие действия с ними:
| Подробный обзор типов | Папка в репозиторий GitHub |
Решение в центре содержимого/ Azure Marketplace |
|---|---|---|
| Блокировка IP-адреса в Брандмауэр Azure | AzureFirewall-BlockIP-addNewRule | Решение "Брандмауэр Azure" для Sentinel |
| Блокировка пользователя Microsoft Entra | Block-AADUser | Решение Microsoft Entra |
| Сброс пароля пользователя Microsoft Entra | Reset-AADUserPassword | Решение Microsoft Entra |
| Изоляция или несоединение устройства с помощью Microsoft Defender для конечной точки. |
Isolate-MDEMachine Unisolate-MDEMachine |
решение Microsoft Defender для конечной точки |
Создание, обновление или закрытие шаблонов сборников схем
Сборники схем создания, обновления или закрытия позволяют создавать, обновлять или закрывать инциденты в Microsoft Sentinel, службах безопасности Microsoft 365 или других системах обработки билетов:
| Подробный обзор типов | Папка в репозиторий GitHub |
Решение в центре содержимого/ Azure Marketplace |
|---|---|---|
| Создание инцидента с помощью Microsoft Forms | CreateIncident-MicrosoftForms | Решение Sentinel SOAR Essentials |
| Соотношение предупреждений и инцидентов | relateAlertsToIncident-basedOnIP | Решение Sentinel SOAR Essentials |
| Создание инцидента Service Now | Create-SNOW-record | Решение ServiceNow |
Часто используемые конфигурации сборников схем
В этом разделе приведены примеры снимков экрана для часто используемых конфигураций сборников схем, включая обновление инцидента, использование сведений об инциденте, добавление комментариев к инциденту или отключение пользователя.
Обновление инцидента
В этом разделе приведены примеры снимка экрана о том, как можно использовать сборник схем для обновления инцидента на основе нового инцидента или оповещения.
Обновите инцидент на основе нового инцидента (триггер инцидента):
Обновите инцидент на основе нового оповещения (триггер генерации оповещений ):
Использование сведений об инциденте в потоке
В этом разделе приведены примеры снимка экрана о том, как использовать сборник схем для использования сведений об инцидентах в другом месте потока:
Отправка сведений об инциденте по почте с помощью сборника схем, активированных новым инцидентом:
Отправка сведений об инциденте по почте с помощью сборника схем, активированного новым оповещением:
Добавление комментария в инцидент
В этом разделе приведены примеры снимка экрана о том, как можно использовать сборник схем для добавления комментариев в инцидент:
Добавьте комментарий в инцидент с помощью сборника схем, активированного новым инцидентом:
Добавьте комментарий в инцидент с помощью сборника схем, активированного новым оповещением:
Отключение пользователя
На следующем снимке экрана показан пример использования сборника схем для отключения учетной записи пользователя на основе триггера сущности Microsoft Sentinel:
