Aracılığıyla paylaş


Microsoft Sentinel'de otomasyon: Güvenlik düzenleme, otomasyon ve yanıt (SOAR)

Güvenlik bilgileri ve olay yönetimi (SIEM) ve güvenlik operasyonları merkezi (SOC) ekipleri genellikle güvenlik uyarıları ve olaylarla düzenli aralıklarla, kullanılabilir personelin aşırı yüklendiği kadar büyük birimlerde yoğun bir şekilde dolanır. Bu, birçok uyarının yoksayıldığı ve birçok olayın araştırılmadığı durumlarda çok sık sonuçlanır ve kuruluş, dikkat edilmeyen saldırılara karşı savunmasız hale gelir.

Microsoft Sentinel, bir SIEM sistemi olmasının yanı sıra güvenlik düzenleme, otomasyon ve yanıt (SOAR) için de bir platformdur. Birincil amaçlarından biri, güvenlik operasyonları merkezinizin ve personelinizin (SOC/SecOps) sorumluluğunda olan yinelenen ve öngörülebilir zenginleştirme, yanıt ve düzeltme görevlerini otomatikleştirmek, gelişmiş tehditleri daha derinlemesine araştırmak ve tehdit avcılığı yapmak için zaman ve kaynak boşaltmaktır.

Bu makalede Microsoft Sentinel'in SOAR özellikleri açıklanır ve güvenlik tehditlerine yanıt olarak otomasyon kurallarının ve playbook'ların kullanılması SOC'nizin verimliliğini nasıl artırıp size zaman ve kaynak tasarrufu sağlar.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Otomasyon kuralları

Microsoft Sentinel, kullanıcıların olay işleme otomasyonlarını merkezi bir konumdan yönetmesine olanak sağlamak için otomasyon kurallarını kullanır. Otomasyon kurallarını kullanarak:

  • Playbook'ları kullanarak olaylara ve uyarılara daha gelişmiş otomasyon atama
  • Playbook olmadan olayları otomatik olarak etiketleme, atama veya kapatma
  • Aynı anda birden çok analiz kuralı için yanıtları otomatikleştirme
  • Analistlerinizin olayları önceliklendirme, araştırma ve düzeltme sırasında gerçekleştirmesi gereken görev listeleri oluşturma
  • Yürütülen eylemlerin sırasını denetleme

Olaylar oluşturulduğunda veya güncelleştirildiğinde otomasyon kurallarını uygulayarak otomasyonu daha da kolaylaştırmanızı ve olay düzenleme işlemleriniz için karmaşık iş akışlarını basitleştirmenizi öneririz.

Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit yanıtlarını otomasyon kurallarıyla otomatikleştirme.

Çalışma kitapları

Playbook, Microsoft Sentinel'den rutin olarak çalıştırabileceğiniz bir yanıt ve düzeltme eylemleri ve mantığı koleksiyonudur. Playbook'lar:

  • Tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olun
  • Hem iç hem de dış diğer sistemlerle tümleştirme
  • Belirli uyarılara veya olaylara yanıt olarak otomatik olarak çalışacak şekilde yapılandırılabilir veya yeni uyarılara yanıt vermek gibi isteğe bağlı olarak el ile çalıştırılabilir

Microsoft Sentinel'de playbook'lar, kuruluş genelindeki sistemlerde görevleri ve iş akışlarını zamanlamanıza, otomatikleştirmenize ve düzenlemenize yardımcı olan bir bulut hizmeti olan Azure Logic Apps'te yerleşik iş akışlarını temel alır. Bu, playbook'ların Logic Apps'in tümleştirme ve düzenleme özelliklerinin tüm gücünden ve özelleştirilebilirliği ile kullanımı kolay tasarım araçlarından ve Katman 1 Azure hizmetinin ölçeklenebilirlik, güvenilirlik ve hizmet düzeyinden yararlanabileceği anlamına gelir.

Daha fazla bilgi için bkz . Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme.

Birleşik güvenlik operasyonları platformu ile otomasyon

Microsoft Sentinel çalışma alanınızı birleşik güvenlik operasyonları platformuna eklendikten sonra, çalışma alanınızda otomasyon işlevlerinin nasıl çalıştığını aşağıdaki farklara dikkat edin:

İşlev Açıklama
Uyarı tetikleyicileri olan otomasyon kuralları Birleşik güvenlik operasyonları platformunda, uyarı tetikleyicileri olan otomasyon kuralları yalnızca Microsoft Sentinel uyarılarında çalışır.

Daha fazla bilgi için bkz . Uyarı oluşturma tetikleyicisi.
Olay tetikleyicileri olan otomasyon kuralları Hem Azure portalında hem de birleşik güvenlik operasyonları platformunda, tüm olaylarda olay sağlayıcısı olarak Microsoft Defender XDR (ProviderName alanındaki değer) olduğundan Olay sağlayıcısı koşulu özelliği kaldırılır.

Bu noktada mevcut tüm otomasyon kuralları, Olay sağlayıcısı koşulunun yalnızca Microsoft Sentinel veya Microsoft 365 Defender olarak ayarlandığı durumlar da dahil olmak üzere hem Microsoft Sentinel hem de Microsoft Defender XDR olaylarında çalışır.

Ancak, belirli bir analiz kuralı adı belirten otomasyon kuralları yalnızca belirtilen analiz kuralı tarafından oluşturulan uyarıları içeren olaylarda çalıştırılır. Bu, kuralınızı yalnızca Microsoft Sentinel'deki olaylarda çalışacak şekilde sınırlamak için Yalnızca Microsoft Sentinel'de bulunan bir analiz kuralına Analitik kuralı adı koşulu özelliğini tanımlayabileceğiniz anlamına gelir.

Daha fazla bilgi için bkz . Olay tetikleyici koşulları.
Mevcut olay adlarına yapılan değişiklikler Birleştirilmiş SOC operasyon platformunda Defender portalı, olayları ve uyarıları ilişkilendirmek için benzersiz bir altyapı kullanır. Çalışma alanınızı birleşik SOC işlemleri platformuna eklerken, bağıntı uygulanırsa mevcut olay adları değiştirilebilir. Bu nedenle otomasyon kurallarınızın her zaman doğru çalıştığından emin olmak için, otomasyon kurallarınızda koşul ölçütü olarak olay başlıklarını kullanmaktan kaçınmanızı ve bunun yerine olaya dahil edilen uyarıları oluşturan analiz kurallarının adını ve daha fazla ayrıntı gerekiyorsa etiketleri kullanmanızı öneririz.
Alana göre güncelleştirildi
  • Çalışma alanınızı ekledikten sonra, Güncelleştirme ölçütü alanında artık Microsoft 365 Defender'ı içermeyen yeni bir desteklenen değerler kümesi vardır. Mevcut otomasyon kurallarında Microsoft 365 Defender, çalışma alanınızı eklendikten sonra Diğer değeriyle değiştirilir.

  • Aynı olayda 5-10 dakikalık bir süre içinde birden çok değişiklik yapılırsa, Microsoft Sentinel'e yalnızca en son değişiklikle tek bir güncelleştirme gönderilir.

    Daha fazla bilgi için bkz . Olay güncelleştirme tetikleyicisi.
  • Olay görevleri ekleyen otomasyon kuralları Otomasyon kuralı bir olay görevi eklerse, görev yalnızca Azure portalında gösterilir.
    Microsoft olay oluşturma kuralları Microsoft olay oluşturma kuralları birleşik güvenlik operasyonları platformunda desteklenmez.

    Daha fazla bilgi için bkz . Microsoft Defender XDR olayları ve Microsoft olay oluşturma kuralları.
    Defender portalından otomasyon kurallarını çalıştırma Bir uyarının tetiklenmesi ve Defender portalında bir olayın oluşturulması veya güncelleştirilip otomasyon kuralının çalıştırılması 10 dakika kadar sürebilir. Bu zaman gecikmesinin nedeni, olayın Defender portalında oluşturulması ve ardından otomasyon kuralı için Microsoft Sentinel'e iletilmiş olmasıdır.
    Etkin playbook'lar sekmesi Birleşik güvenlik operasyonları platformuna eklendikten sonra, Varsayılan olarak Etkin playbook'lar sekmesi, eklenen çalışma alanının aboneliğiyle önceden tanımlanmış bir filtre gösterir. Azure portalında, abonelik filtresini kullanarak diğer abonelikler için veri ekleyin.

    Daha fazla bilgi için bkz . İçerik şablonlarından Microsoft Sentinel playbook'ları oluşturma ve özelleştirme.
    Playbook'ları isteğe bağlı olarak el ile çalıştırma Aşağıdaki yordamlar şu anda birleşik güvenlik operasyonları platformunda desteklenmemektedir:
  • Playbook'u bir uyarıda el ile çalıştırma
  • Varlıkta playbook'u el ile çalıştırma
  • Olaylar üzerinde playbook'ları çalıştırmak için Microsoft Sentinel eşitlemesi gerekir Birleşik güvenlik operasyonları platformundan bir olay üzerinde playbook çalıştırmayı denerseniz ve "Bu eylemle ilgili verilere erişemiyorum. Ekranı birkaç dakika içinde yenileyin" iletisini görürseniz. iletisi, olayın henüz Microsoft Sentinel ile eşitlenmediğini gösterir.

    Playbook'u başarıyla çalıştırmak için olay eşitlendikten sonra olay sayfasını yenileyin.
    Olaylar: Olaylara uyarı ekleme /
    Olaylardan uyarıları kaldırma
    Çalışma alanınızı birleşik güvenlik operasyonları platformuna ekledikten sonra uyarı ekleme veya olaylardan uyarıları kaldırma işlemi desteklenmediğinden, bu eylemler playbook'ların içinden de desteklenmez. Daha fazla bilgi için bkz . Portallar arasındaki yetenek farklılıkları.