Миграция автоматизации ArcSight SOAR в Microsoft Sentinel
Microsoft Sentinel предоставляет возможности оркестрации безопасности, автоматизации и ответа (SOAR) с использованием правил автоматизации и сборников схем. Правила автоматизации позволяют автоматизировать обработку инцидентов и реагирование, а сборники схем выполняют заданные последовательности действий для реагирования на угрозы и их устранения. В настоящей статье рассмотрено, как определить варианты использования SOAR и осуществить миграцию автоматизации ArcSight SOAR в Microsoft Sentinel.
Правила автоматизации упрощают сложные рабочие процессы для оркестрации инцидентов и позволяют централизованно управлять автоматизацией обработки инцидентов.
С помощью правил автоматизации вам будет доступно следующее:
- Выполнение простых задач автоматизации без обязательного использования сборников схем. Например, можно назначать инциденты, помечать инциденты тегами, изменять состояние и закрывать инциденты.
- Автоматизация ответов для нескольких правил аналитики одновременно.
- Управление порядком выполняемых действий.
- Запуск сборников схем в тех случаях, когда необходимы более сложные задачи автоматизации.
Определение вариантов использования SOAR
Вот что нужно учесть, планируя миграцию вариантов использования SOAR из ArcSight.
- Качество вариантов использования. Выберите подходящие варианты использования для автоматизации. Варианты использования должны основываться на четко определенных процедурах с минимальными вариациями и низким коэффициентом ложноположительных результатов. Автоматизация должна работать с эффективными вариантами использования.
- Вмешательство вручную. Автоматизированное реагирование может иметь широкий диапазон эффектов, поэтому автоматизация с высокой степенью воздействия должна предусматривать участие человека, который будет согласовывать действия с высокой степенью воздействия перед их выполнением.
- Двоичные критерии. Чтобы повысить успешность реагирования, точки принятия решений в автоматизированном рабочем процессе должны быть максимально ограничены двоичными критериями. Двоичные критерии снижают потребность во вмешательстве человека и повышают предсказуемость результатов.
- Точные оповещения или данные. Действия реагирования зависят от точности таких сигналов, как оповещения. Оповещения и источники обогащения должны быть надежными. Ресурсы Microsoft Sentinel, включая списки отслеживания и надежные средства аналитики угроз, могут повысить надежность.
- Роль аналитика. Хотя автоматизация, где она возможна, является отличным вариантом, более сложные задачи следует оставлять аналитикам, давая им возможность участвовать в рабочих процессах, требующих проверки. Коротко говоря, автоматизация реагирования должна расширять и приумножать возможности аналитиков.
Миграция рабочего процесса SOAR
В этом разделе описано, как основные понятия SOAR в ArcSight преобразуются в компоненты Microsoft Sentinel, и содержатся общие рекомендации по миграции каждого шага или компонента в рабочем процессе SOAR.
| Шаг (на схеме) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Прием событий в Enterprise Security Manager (ESM) и инициирование событий корреляции. | Прием событий в рабочую область Log Analytics. |
| 2 | Автоматическая фильтрация оповещений для создания вариантов. | Используйте правила аналитики для активации оповещений. Обогащайте оповещения с помощью возможности "Настраиваемые сведения" для создания имен динамических инцидентов. |
| 3 | Классификация вариантов. | Используйте правила автоматизации. С помощью правил автоматизации Microsoft Sentinel обрабатывает инциденты в соответствии с правилом аналитики, которое вызвало инцидент, и свойствами инцидента, соответствующими заданным критериям. |
| 4 | Объединение вариантов. | Вы можете объединить несколько оповещений в один инцидент в соответствии с такими свойствами, как совпадающие объекты, сведения об оповещении или временные рамки создания, используя возможность группировки оповещений. |
| 5 | Диспетчеризация вариантов. | Назначьте инциденты определенным аналитикам, используя интеграцию между Microsoft Teams, Azure Logic Apps и правилами автоматизации Microsoft Sentinel. |
Сопоставление компонентов SOAR
Проверьте, какие функции Microsoft Sentinel или Azure Logic Apps сопоставляются с основными компонентами ArcSight SOAR.
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Триггер | Триггер |
| Бит автоматизации | Соединитель Функций Azure |
| Действие | Действие |
| Запланированные сборники схем | Сборники схем, инициированные триггером повторения |
| Сборники схем рабочих процессов | Сборники схем, автоматически инициируемые оповещением или триггерами инцидентов Microsoft Sentinel |
| Marketplace | • Вкладка "Шаблоны и автоматизация" • Каталог центра содержимого • GitHub |
Активация сборников схем и правил автоматизации в Microsoft Sentinel
Большинство сборников схем, используемых с Microsoft Sentinel, доступны на вкладке Автоматизация и шаблоны, в Каталоге центра содержимого или на GitHub. Однако в некоторых случаях вам придется создавать сборники схем с нуля или на основе существующих шаблонов.
Обычно настраиваемое приложение логики создается с помощью возможности "Конструктор приложений логики Azure". Код приложений логики основан на шаблонах Azure Resource Manager (ARM), которые упрощают разработку, развертывание и переносимость Azure Logic Apps в различных средах. Чтобы преобразовать пользовательский сборник схем в переносимый шаблон ARM, можно использовать генератор шаблонов ARM.
Используйте эти ресурсы, когда вам необходимо создать собственные сборники схем с нуля или на основе существующих шаблонов.
- Автоматизация обработки инцидентов в Microsoft Sentinel
- Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
- Учебник. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
- Использование Microsoft Sentinel для реагирования на инциденты, оркестрации и автоматизации
- Адаптивные карточки для усовершенствования реагирования на инциденты в Microsoft Sentinel
Рекомендации, выполняемые после миграции SOAR
Ниже приведены рекомендации, которые следует учитывать после миграции SOAR:
- После миграции сборников схем тщательно протестируйте их, чтобы убедиться, что перенесенные действия работают должным образом.
- Периодически анализируйте автоматизацию, чтобы изучить способы дальнейшего упрощения или улучшения SOAR. Microsoft Sentinel постоянно добавляет новые соединители и действия, которые помогут вам упростить или повысить эффективность текущей реализации мер реагирования.
- Отслеживайте эффективность сборников схем с помощью книг мониторинга работоспособности сборников схем.
- Используйте управляемые удостоверения и субъекты-службы: проводите проверку подлинности в различных службах Azure в Logic Apps, храните секреты в Azure Key Vault и скрывайте выходные данные выполнения потока. Мы также рекомендуем осуществлять мониторинг действий этих субъектов-служб.
Дальнейшие действия
Из этой статьи вы узнали, как сопоставить автоматизацию SOAR из ArcSight с Microsoft Sentinel.