Что такое сборники схем Microsoft Sentinel?
Кроме оценки и устранения проблем с конфигурацией безопасности, компания Contoso должна также отслеживать наличие новых проблем и угроз, а затем отвечать соответствующим образом.
Microsoft Sentinel как решение SIEM и SOAR
Microsoft Sentinel — это решение для управления информационной безопасностью и событиями безопасности (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR), предназначенное для гибридных сред.
Примечание.
Решения SIEM обеспечивают хранение и анализ журналов, событий и предупреждений, создаваемых другими системами. Эти решения можно настроить так, чтобы они создавали собственные предупреждения. Решения SOAR поддерживают исправление уязвимостей и общую автоматизацию процессов безопасности.
Microsoft Sentinel использует встроенные и пользовательские обнаружения, чтобы предупреждать о потенциальных угрозах безопасности, таких как попытки доступа к ресурсам Contoso извне инфраструктуры или когда данные из Contoso передаются на известный вредоносный IP-адрес. На основе этих предупреждений можно также создавать инциденты.
Сборники схем Microsoft Sentinel
Вы можете создать сборники схем безопасности в Microsoft Sentinel, чтобы реагировать на предупреждения. Сборники схем безопасности — это коллекции процедур на основе Azure Logic Apps, которые выполняются в ответ на предупреждение. Эти сборники схем безопасности можно запустить вручную в ответ на исследование инцидента или настроить для предупреждения автоматическое выполнение сборника схем безопасности.
Благодаря возможности автоматического реагирования на инциденты вы можете автоматизировать некоторые операции безопасности и повысить производительность вашего центра информационной безопасности (SOC).
Например, для решения проблем компании Contoso можно разработать рабочий процесс с определенными шагами, которые могут блокировать доступ подозрительных имен пользователей к ресурсам с незащищенного IP-адреса. Кроме того, вы можете настроить сборник схем для выполнения такой операции, как уведомление команды SecOps о высокоуровневом оповещении системы безопасности.
Приложения логики Azure
Azure Logic Apps — это облачная служба, автоматизирующая работу бизнес-процессов. Вы используете инструмент графического дизайна, Конструктор Logic Apps, чтобы упорядочить предварительно созданные компоненты в необходимой последовательности. Вы также можете использовать представление кода и написать автоматизированный процесс в файле JSON.
Соединитель Logic Apps
Приложения логики используют соединители для подключения к сотням служб. Соединитель — это компонент, который предоставляет интерфейс для внешней службы.
Примечание.
Соединитель данных Microsoft Sentinel и соединитель Logic Apps не идентичны. Соединитель данных Microsoft Sentinel соединяет Microsoft Sentinel с продуктами безопасности Майкрософт и экосистемами безопасности для решений сторонних разработчиков. Соединитель Logic Apps — это компонент, обеспечивающий подключение API для внешней службы и обеспечивающий интеграцию событий, данных и действий в других приложениях, службах, системах, протоколах и платформах.
Что являют собою триггеры и действия
Azure Logic Apps использует триггеры и действия, которые определяются следующим образом:
Триггер — это событие, возникающее при удовлетворении определенного набора условий. Триггеры активируются автоматически при выполнении условий. Например, инцидент в системе безопасности в Microsoft Sentinel — это триггер для автоматического действия.
Действие — это операция, которая выполняет задачу в рабочем процессе Logic Apps. Действия запускаются, когда активируется триггер, завершается другое действие или выполняется условие.
Соединитель Logic Apps для Microsoft Sentinel
В сборнике схем Microsoft Sentinel используется соединитель Logic Apps для Microsoft Sentinel. Он предоставляет триггеры и действия, которые могут запустить сборник схем и выполнить определенные действия.
В настоящее время соединитель Logic Apps для Microsoft Sentinel предоставляет два триггера:
при срабатывании ответа на предупреждение Microsoft Sentinel;
когда запускается правило создания инцидентов Microsoft Sentinel.
Примечание.
Так как соединитель Logic Apps для Microsoft Sentinel находится на этапе предварительной версии, функции, описанные в этом модуле, могут изменятся в будущем.
В следующей таблице перечислены все текущие действия для соединителя Microsoft Sentinel.
| Имя | Описание |
|---|---|
| Добавление комментария к инциденту | Добавление комментариев к выбранному инциденту. |
| Добавление меток к инциденту | Добавление меток к выбранному инциденту. |
| Предупреждение. Получение инцидента | Возвращает инцидент, связанный с выбранным предупреждением. |
| Изменение описания инцидента | Изменяет описание выбранного инцидента. |
| Изменение серьезности инцидента | Изменяет серьезность выбранного инцидента. |
| Изменение состояния инцидента | Изменяет состояние выбранного инцидента. |
| Изменение названия инцидента (V2) | Изменяет название выбранного инцидента. |
| Сущности. Получение учетных записей | Возвращает список учетных записей, связанных с предупреждением. |
| Сущности. Получение хэшей файлов | Возвращает список хэшей файлов, связанных с предупреждением. |
| Сущности. Получение узлов | Возвращает список узлов, связанных с предупреждением. |
| Сущности. Получение IP-адресов | Возвращает список IP-адресов, связанных с предупреждением. |
| Сущности. Получение URL-адресов | Возвращает список URL-адресов, связанных с предупреждением. |
| Удаление меток из инцидента | Удаляет метки для выбранного инцидента. |
Примечание.
Действия, версии 2 или выше, предоставляют новую версию действия, и их возможности могут отличаться от старых возможностей действия.
Для некоторых действий требуется интеграция с действиями из других соединителей. Например, если Contoso хочет определить все подозрительные учетные записи, возвращенные в предупреждении от определенных сущностей, необходимо объединить действие Сущности. Получение учетных записей с действием Для каждого. Аналогично, чтобы получить все отдельные узлы инцидента, которые обнаруживают подозрительные узлы, необходимо объединить действие Сущности. Получение узлов с действием Для каждого.