Создание и настройка сборников схем Microsoft Sentinel из шаблонов
Шаблон сборника схем — это предварительно созданный, тестируемый и готовый рабочий процесс автоматизации для Microsoft Sentinel, который можно настроить в соответствии с вашими потребностями. Шаблон также может служить как справочник с рекомендациями при разработке сборника схем с нуля или как источник идей для новых сценариев автоматизации.
Шаблоны сборников схем сами не являются активными сборниками схем, и необходимо создать редактируемую копию для ваших потребностей.
Многие шаблоны сборников схем разрабатываются сообществом Microsoft Sentinel, независимыми поставщиками программного обеспечения (ISV) и собственными экспертами Майкрософт на основе популярных сценариев автоматизации, используемых центрами безопасности по всему миру.
Внимание
Шаблоны сборников схем сейчас находятся на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
Чтобы создавать сборники схем и управлять ими, вам потребуется доступ к Microsoft Sentinel с одной из следующих ролей Azure:
- Участник приложения логики для редактирования приложений логики и управления ими
- Оператор приложения логики для чтения, включения и отключения приложений логики
Дополнительные сведения см. в статье о предварительных требованиях сборника схем Microsoft Sentinel.
Перед созданием сборников схем рекомендуется читать сборники схем Azure Logic Apps для Microsoft Sentinel.
Доступ к шаблонам сборников схем
Доступ к шаблонам сборников схем из следующих источников:
| Расположение | Description |
|---|---|
| Страница автоматизации Microsoft Sentinel | На вкладке "Шаблоны сборников схем" перечислены все установленные сборники схем. Создайте одну или несколько активных сборников схем с помощью одного шаблона. При публикации новой версии шаблона все активные сборники схем, созданные из этого шаблона, имеют дополнительную метку, добавленную на вкладке "Активные сборники схем" , чтобы указать, что обновление доступно. |
| Страница Центра содержимого Microsoft Sentinel | Шаблоны сборников схем доступны как часть решений продуктов или автономного содержимого, установленного из концентратора контента. Для получения дополнительной информации см. О содержании и решениях Microsoft Sentinel Обнаружение содержимого Microsoft Sentinel и управление ими |
| GitHub | Репозиторий Microsoft Sentinel GitHub содержит множество других шаблонов сборников схем. Выберите "Развернуть в Azure ", чтобы развернуть шаблон в подписке Azure. |
Технически шаблон сборника схем — это шаблон Azure Resource Manager (ARM), который состоит из нескольких ресурсов: рабочего процесса Azure Logic Apps и подключений API для каждого соединения.
В этой статье рассматривается развертывание шаблона сборника схем с вкладки Шаблоны сборника схем в разделе Автоматизация.
Знакомство с шаблонами сборника схем
Для Microsoft Sentinel в портал Azure выберите страницу центра содержимого управления>содержимым. Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.
На странице "Центр контента" выберите тип контента, чтобы отфильтровать сборник схем. В этом отфильтрованном представлении перечислены все решения и автономное содержимое, включающее один или несколько шаблонов сборников схем. Установите решение или автономное содержимое, чтобы получить шаблон.
Затем перейдите на вкладку шаблонов сборников схем службы автоматизации>конфигурации>, чтобы просмотреть установленные шаблоны. Например:
Чтобы найти шаблон сборника схем, соответствующий вашим требованиям, отфильтруйте список по следующим критериям:
| Фильтр | Description |
|---|---|
| Триггер | Отфильтруйте способ активации сборника схем, включая инциденты, оповещения или сущности. Дополнительные сведения см. в разделе Поддерживаемые триггеры Microsoft Sentinel. |
| Соединители приложений логики | Фильтрация по внешним службам, с которыми взаимодействуют сборники схем. Во время развертывания каждый соединитель должен принять удостоверение для проверки подлинности во внешней службе. |
| Сущности | Фильтруйте по типам сущностей, которые сборник схем ожидает найти в инциденте. Например, сборник схем, который сообщает брандмауэру блокировать IP-адрес, который ожидает найти IP-адреса в инциденте. Такие инциденты могут быть созданы правилом аналитики атак brute Force. |
| Теги | Фильтрация по меткам, примененным к сборнику схем, связыванию сборника схем с определенным сценарием или указанием специальных характеристик. Например: - Обогащение — сборники схем, которые извлекает информацию из другой службы, чтобы добавить контекст в инцидент. Обычно эти сведения добавляются в качестве комментария к инциденту или отправляются в SOC. - Исправление — сборники схем, которые выполняют действия по затронутым сущностям для устранения потенциальной угрозы. - Синхронизация — сборник схем, помогающий сохранить внешнюю службу, например службу управления инцидентами, обновленную с помощью свойств инцидента. - Уведомление — сборники схем, отправляющие сообщение или сообщение. - Ответ из Teams — сборники схем, которые позволяют аналитикам выполнять ручное действие из Teams с помощью интерактивных карточек. |
Например:
Настройка сборника схем из шаблона
В этой процедуре описывается, как развертывать шаблоны схем и создавать несколько сборников схем из одного шаблона.
Хотя большинство шаблонов схем можно использовать как они есть, рекомендуется настроить их в соответствии с вашими потребностями SOC.
На вкладке шаблонов сборников схем выберите сборник схем для начала.
Если у сборник схем есть необходимые условия, обязательно следуйте инструкциям. Например:
Некоторые сборники схем вызывают другие сборники схем в качестве действий. Такой второй сборник схем называется вложенным сборником схем. В таком случае один из предварительных требований — сначала развернуть вложенный сборник схем.
Для некоторых сборников схем требуется развертывание пользовательского соединителя Logic Apps или функции Azure. В таких случаях существует ссылка "Развертывание в Azure ", которая позволяет перейти к общему процессу развертывания шаблона ARM.
Выберите Создать сборник схем, чтобы открыть мастер создания сборника схем на основе выбранного шаблона. Мастер содержит четыре вкладки:
Основы. Найдите новый сборник схем, который является ресурсом Logic Apps и присвойте ему имя. Можно использовать значение по умолчанию. Например:
Параметры: введите значения для конкретного клиента, используемые сборником схем. Например, если сборник схем отправляет сообщение электронной почты в SOC, определите адрес получателя. Если в сборнике схем используется настраиваемый соединитель, его необходимо развернуть в той же группе ресурсов, и вам будет предложено ввести его имя на вкладке "Параметры ".
Вкладка "Параметры" отображается только в том случае, если сборник схем имеет параметры. Например:
Подключения: разверните каждое действие, чтобы увидеть существующие соединения, созданные для предыдущих сборников схем. Вы можете использовать существующие подключения или создать новый. Например:
Чтобы создать новое подключение, нажмите кнопку "Создать новое подключение" после развертывания. Этот параметр принимает вас в конструктор Logic Apps после завершения процесса развертывания.
Настраиваемые соединители перечислены по имени настраиваемого соединителя, введенного на вкладке "Параметры ".
Для соединителей, поддерживающих подключение к управляемому удостоверению, например Microsoft Sentinel, управляемое удостоверение является методом подключения по умолчанию.
Дополнительные сведения см. в сборниках схем проверки подлинности в Microsoft Sentinel.
Просмотр и создание: просмотр сводки по процессу и ожидание проверки введенных данных перед созданием сборника схем.
Выполнив действия мастера создания сборника схем до конца, вы перейдете к конструктору рабочих процессов новой сборники схем в конструкторе Logic Apps. Например:
Для каждого выбранного соединителя создайте новое подключение после развертывания:
В меню навигации выберите подключения API и выберите имя подключения. Например:
В меню навигации выберите Изменение подключения API.
Введите необходимые параметры и нажмите кнопку "Сохранить". Например:
Кроме того, создайте новое подключение из соответствующих шагов в конструкторе Logic Apps:
Для каждого шага, отображающегося с знаком ошибки, выберите его, чтобы развернуть, а затем нажмите кнопку "Добавить".
Выполните проверку подлинности, следуя соответствующим инструкциям. Дополнительные сведения см. в сборниках схем проверки подлинности в Microsoft Sentinel.
При наличии других шагов, использующих этот соединитель, разверните их поля. В появившемся списке подключений выберите только что созданное подключение.
Если вы решили использовать подключение к управляемому удостоверению для Microsoft Sentinel или для других поддерживаемых подключений, обязательно предоставьте разрешения новой сборнику схем в рабочей области Microsoft Sentinel или в соответствующих целевых ресурсах для других соединителей.
Сохраните сборник схем. Сборник схем отображается на вкладке "Активные сборники схем".
Чтобы запустить сборник схем, задайте автоматический ответ или запустите его вручную. Дополнительные сведения см. в статье "Реагирование на угрозы" с помощью сборников схем Microsoft Sentinel.
Сообщите о проблеме в шаблоне сборника схем
Чтобы сообщить об ошибке или запросить улучшение для сборника схем, выберите ссылку Поддерживаются в области сведений о сборнике схем. Если это сборник схем, поддерживаемый сообществом, ссылка позволяет открыть проблему GitHub. В противном случае вы направляетесь на страницу сторонника с информацией о том, как отправить отзыв.