Dela via


Automatisera hotsvar med spelböcker i Microsoft Sentinel

SOC-analytiker hanterar många säkerhetsaviseringar och incidenter, och den stora volymen kan överbelasta team, vilket leder till ignorerade aviseringar och oupptäckta incidenter. Många aviseringar och incidenter kan hanteras av samma uppsättningar med fördefinierade reparationsåtgärder, som kan automatiseras för att göra SOC mer effektivt och frigöra analytiker för djupare undersökningar.

Använd Microsoft Sentinel-spelböcker för att köra förkonfigurerade uppsättningar med reparationsåtgärder för att automatisera och samordna ditt hotsvar. Kör spelböcker automatiskt, som svar på specifika aviseringar och incidenter som utlöser en konfigurerad automatiseringsregel, eller manuellt och på begäran för en viss entitet eller avisering.

Om ett konto och en dator till exempel komprometteras kan en spelbok automatiskt isolera datorn från nätverket och blockera kontot när SOC-teamet meddelas om incidenten.

Kommentar

Eftersom spelböcker använder Azure Logic Apps kan ytterligare avgifter tillkomma. Mer information finns på prissättningssidan för Azure Logic Apps .

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

I följande tabell visas användningsfall på hög nivå där vi rekommenderar att du använder Microsoft Sentinel-spelböcker för att automatisera ditt hotsvar:

Användningsfall beskrivning
Berikning Samla in data och bifoga dem till en incident för att hjälpa ditt team att fatta smartare beslut.
Dubbelriktad synkronisering Synkronisera Microsoft Sentinel-incidenter med andra biljettsystem. Skapa till exempel en automatiseringsregel för alla incidentskapanden och bifoga en spelbok som öppnar en biljett i ServiceNow.
Orkestrering Använd SOC-teamets chattplattform för att bättre kontrollera incidentkön. Skicka till exempel ett meddelande till din säkerhetsåtgärdskanal i Microsoft Teams eller Slack för att se till att dina säkerhetsanalytiker är medvetna om incidenten.
Response Svara omedelbart på hot med minimala mänskliga beroenden, till exempel när en komprometterad användare eller dator anges. Alternativt kan du utlösa en serie automatiserade steg manuellt under en undersökning eller vid jakt.

Mer information finns i Rekommenderade användningsfall för spelböcker, mallar och exempel.

Förutsättningar

Följande roller krävs för att använda Azure Logic Apps för att skapa och köra spelböcker i Microsoft Sentinel.

Roll beskrivning
Ägare Gör att du kan ge åtkomst till spelböcker i resursgruppen.
Microsoft Sentinel-deltagare Gör att du kan koppla en spelbok till en analys- eller automatiseringsregel.
Microsoft Sentinel-svarare Gör att du kan komma åt en incident för att kunna köra en spelbok manuellt, men du kan inte köra spelboken.
Microsoft Sentinel-spelboksoperator Låter dig köra en spelbok manuellt.
Microsoft Sentinel Automation-deltagare Tillåter automatiseringsregler att köra spelböcker. Den här rollen används inte för något annat syfte.

I följande tabell beskrivs nödvändiga roller baserat på om du väljer en förbruknings- eller standardlogikapp för att skapa din spelbok:

Logikapp Azure-roller beskrivning
Förbrukning Logic App-deltagare Redigera och hantera logikappar. Kör spelböcker. Tillåter inte att du beviljar åtkomst till spelböcker.
Förbrukning Logikappoperator Läsa, aktivera och inaktivera logikappar. Tillåter inte att du redigerar eller uppdaterar logikappar.
Standard Logic Apps standardoperator Aktivera, skicka om och inaktivera arbetsflöden i en logikapp.
Standard Logic Apps Standard Developer Skapa och redigera logikappar.
Standard Logic Apps Standard-deltagare Hantera alla aspekter av en logikapp.

Fliken Aktiva spelböckersidan Automation visar alla aktiva spelböcker som är tillgängliga i alla valda prenumerationer. Som standard kan en spelbok endast användas i den prenumeration som den tillhör, såvida du inte uttryckligen beviljar Microsoft Sentinel-behörigheter till spelbokens resursgrupp.

Extra behörigheter som krävs för att Microsoft Sentinel ska kunna köra spelböcker

Microsoft Sentinel använder ett tjänstkonto för att köra spelböcker på incidenter, för att lägga till säkerhet och göra det möjligt för API:et för automatiseringsregler att stödja CI/CD-användningsfall. Det här tjänstkontot används för incidentutlösta spelböcker eller när du kör en spelbok manuellt vid en specifik incident.

Förutom dina egna roller och behörigheter måste det här Microsoft Sentinel-tjänstkontot ha en egen uppsättning behörigheter för resursgruppen där spelboken finns, i form av rollen Microsoft Sentinel Automation-deltagare . När Microsoft Sentinel har den här rollen kan den köra valfri spelbok i relevant resursgrupp, manuellt eller från en automatiseringsregel.

Om du vill bevilja Microsoft Sentinel de behörigheter som krävs måste du ha rollen Ägare eller Administratör för användaråtkomst. Om du vill köra spelböckerna behöver du även rollen Logic App-deltagare i resursgruppen som innehåller de spelböcker som du vill köra.

Spelboksmallar (förhandsversion)

Viktigt!

Spelboksmallar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Spelboksmallar är fördefinierade, testade och färdiga arbetsflöden som inte kan användas som spelböcker själva, men som är redo att anpassas efter dina behov. Vi rekommenderar också att du använder spelboksmallar som referens till bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier.

Få åtkomst till spelboksmallar från följande källor:

Plats beskrivning
Sidan Microsoft Sentinel Automation fliken Spelboksmallar visas alla installerade spelböcker. Skapa en eller flera aktiva spelböcker med samma mall.

När vi publicerar en ny version av en mall har alla aktiva spelböcker som skapats från mallen en extra etikett som läggs till på fliken Aktiva spelböcker för att indikera att en uppdatering är tillgänglig.
Sidan För Microsoft Sentinel-innehållshubben Spelboksmallar är tillgängliga som en del av produktlösningar eller fristående innehåll som installerats från innehållshubben.

För ytterligare information, se:
Om Microsoft Sentinel-innehåll och -lösningar
Identifiera och hantera innehåll i Microsoft Sentinel
GitHub Microsoft Sentinel GitHub-lagringsplatsen innehåller många andra spelboksmallar. Välj Distribuera till Azure för att distribuera en mall till din Azure-prenumeration.

Tekniskt sett är en spelboksmall en ARM-mall (Azure Resource Manager), som består av flera resurser: ett Azure Logic Apps-arbetsflöde och API-anslutningar för varje anslutning som ingår.

Mer information finns i:

Arbetsflöde för skapande och användning av spelböcker

Använd följande arbetsflöde för att skapa och köra Microsoft Sentinel-spelböcker:

  1. Definiera ditt automatiseringsscenario. Vi rekommenderar att du läser rekommenderade användningsfall för spelböcker och spelboksmallar för att starta.

  2. Om du inte använder en mall skapar du din spelbok och skapar logikappen. Mer information finns i Skapa och hantera Microsoft Sentinel-spelböcker.

    Testa logikappen genom att köra den manuellt. Mer information finns i Köra en spelbok manuellt på begäran.

  3. Konfigurera din spelbok så att den körs automatiskt vid en ny avisering eller incidentskapande, eller kör den manuellt efter behov för dina processer. Mer information finns i Svara på hot med Microsoft Sentinel-spelböcker.