Güvenliği aşılmış olabilecek kullanıcıları durdurmak için Microsoft Sentinel playbook'u kullanma
Bu makalede, olay yanıtını otomatikleştirmek ve güvenlik tehditlerini düzeltmek için playbook ve otomasyon kuralını nasıl kullanabileceğinize yönelik örnek bir senaryo açıklanmaktadır. Otomasyon kuralları, Microsoft Sentinel'deki olayları önceliklendirmenize yardımcı olur ve olaylara veya uyarılara yanıt olarak playbook'ları çalıştırmak için de kullanılır. Daha fazla bilgi için bkz. Microsoft Sentinel'de Otomasyon: Güvenlik düzenleme, otomasyon ve yanıt (SOAR).
Bu makalede açıklanan örnek senaryoda, bir olay oluşturulduğunda güvenliği aşılmış olabilecek bir kullanıcıyı durdurmak için otomasyon kuralı ve playbook'un nasıl kullanılacağı açıklanmaktadır.
Not
Playbook'lar Azure Logic Apps'i kullandığından ek ücretler uygulanabilir. Daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar
Microsoft Sentinel'de playbook'lar oluşturmak ve çalıştırmak için Azure Logic Apps'i kullanmak için aşağıdaki roller gereklidir.
| Rol | Açıklama |
|---|---|
| Sahip | Kaynak grubundaki playbook'lara erişim vermenizi sağlar. |
| Mantıksal Uygulama Katkıda Bulunanı | Mantıksal uygulamaları yönetmenize ve playbook'ları çalıştırmanıza olanak tanır. Playbook'lara erişim izni vermenizi sağlar. |
| Mantıksal Uygulama İşleci | Mantıksal uygulamaları okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar. Mantıksal uygulamaları düzenlemenize veya güncelleştirmenize izin vermez. |
| Microsoft Sentinel Katkıda Bulunanı | Analiz veya otomasyon kuralına playbook eklemenizi sağlar. |
| Microsoft Sentinel Yanıtlayıcısı | Playbook'u el ile çalıştırmak için bir olaya erişmenizi sağlar, ancak playbook'u çalıştırmanıza izin vermez. |
| Microsoft Sentinel Playbook Operatörü | Playbook'u el ile çalıştırmanıza olanak tanır. |
| Microsoft Sentinel Otomasyonu Katkıda Bulunanı | Otomasyon kurallarının playbook'ları çalıştırmasına izin verir. Bu rol başka bir amaçla kullanılmaz. |
Otomasyon sayfasındaki Etkin playbook'lar sekmesi, seçili aboneliklerde kullanılabilen tüm etkin playbook'ları görüntüler. Varsayılan olarak, playbook'un kaynak grubuna özel olarak Microsoft Sentinel izinleri vermediğiniz sürece, playbook yalnızca ait olduğu abonelik içinde kullanılabilir.
Olaylar üzerinde playbook çalıştırmak için gereken ek izinler
Microsoft Sentinel, olaylar üzerinde playbook çalıştırmak, güvenlik eklemek ve CI/CD kullanım örneklerini desteklemek üzere otomasyon kuralları API'sini etkinleştirmek için bir hizmet hesabı kullanır. Bu hizmet hesabı, olayla tetiklenen playbook'lar için veya belirli bir olay üzerinde el ile bir playbook çalıştırdığınızda kullanılır.
Kendi rollerinize ve izinlerinize ek olarak, bu Microsoft Sentinel hizmet hesabının playbook'un bulunduğu kaynak grubunda Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü biçiminde kendi izinleri olmalıdır. Microsoft Sentinel bu role sahip olduktan sonra ilgili kaynak grubundaki herhangi bir playbook'u el ile veya otomasyon kuralından çalıştırabilir.
Microsoft Sentinel'e gerekli izinleri vermek için Sahip veya Kullanıcı erişimi yöneticisi rolüne sahip olmanız gerekir. Playbook'ları çalıştırmak için çalıştırmak istediğiniz playbook'ları içeren kaynak grubunda Mantıksal Uygulama Katılımcısı rolüne de ihtiyacınız vardır.
Güvenliği aşılmış olabilecek kullanıcıları durdurma
SOC ekipleri, güvenliği aşılmış olabilecek kullanıcıların ağlarında gezinip bilgi çalamadığından emin olmak istiyor. Bu tür senaryoları işlemek için güvenliği aşılmış kullanıcıları algılayan kurallar tarafından oluşturulan olaylara otomatik, çok yönlü bir yanıt oluşturmanızı öneririz.
Otomasyon kuralınızı ve playbook'unuzu aşağıdaki akışı kullanacak şekilde yapılandırın:
Güvenliği aşılmış olabilecek bir kullanıcı için bir olay oluşturulur ve playbook'unuzu çağırmak için bir otomasyon kuralı tetikler.
Playbook, BT bilet sisteminizde ServiceNow gibi bir bilet açar.
Playbook, güvenlik analistlerinizin olaydan haberdar olduğundan emin olmak için Microsoft Teams veya Slack'teki güvenlik operasyonları kanalınıza da bir ileti gönderir.
Playbook ayrıca olaydaki tüm bilgileri üst düzey ağ yöneticinize ve güvenlik yöneticinize e-posta iletisiyle gönderir. E-posta iletisinde Kullanıcıyı engelle ve Yoksay seçeneği düğmeleri bulunur.
Playbook, yöneticilerden bir yanıt alınana kadar bekler ve sonraki adımlarıyla devam eder.
Yöneticiler Engelle'yi seçerse, playbook kullanıcıyı devre dışı bırakmak için Microsoft Entra Id'ye bir komut, IP adresini engellemek için de güvenlik duvarına bir komut gönderir.
Yöneticiler Yoksay'ı seçerse playbook, Microsoft Sentinel'deki olayı ve ServiceNow'daki bileti kapatır.
Aşağıdaki ekran görüntüsünde, bu örnek playbook'u oluştururken ekleyeceğiniz eylemler ve koşullar gösterilmektedir:
