Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme
SOC analistleri çok sayıda güvenlik uyarısı ve olayıyla ilgilenir ve birim hacmi ekipleri bunaltabilir ve bu da uyarıların yoksayılıp açıklanamayan olaylara yol açmasına neden olabilir. Birçok uyarı ve olay, SOC'yi daha verimli hale getirmek ve daha derin araştırmalar için analistleri serbest bırakma amacıyla otomatik hale getirilebilen önceden tanımlanmış düzeltme eylemlerinin aynı kümeleri tarafından ele alınabilir.
Tehdit yanıtınızı otomatikleştirmeye ve düzenlemeye yardımcı olmak üzere önceden yapılandırılmış düzeltme eylemleri kümeleri çalıştırmak için Microsoft Sentinel playbook'larını kullanın. Playbook'ları, yapılandırılmış bir otomasyon kuralını tetikleyen belirli uyarılara ve olaylara yanıt olarak veya belirli bir varlık veya uyarı için el ile ve isteğe bağlı olarak otomatik olarak çalıştırın.
Örneğin, bir hesap ve makinenin güvenliği aşılırsa, playbook makineyi ağdan otomatik olarak yalıtabilir ve SOC ekibine olay bildirildiğinde hesabı engelleyebilir.
Not
Playbook'lar Azure Logic Apps'i kullandığından ek ücretler uygulanabilir. Daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önerilen kullanım örnekleri
Aşağıdaki tabloda, tehdit yanıtınızı otomatikleştirmek için Microsoft Sentinel playbook'larını kullanmanızı önerdiğimiz üst düzey kullanım örnekleri listelenir:
| Kullanım örneği | Açıklama |
|---|---|
| Zenginleştirme | Ekibinizin daha akıllı kararlar vermesine yardımcı olmak için verileri toplayın ve bir olaya ekleyin. |
| çift yönlü eşitleme | Microsoft Sentinel olaylarını diğer bilet sistemleriyle eşitleyin. Örneğin, tüm olay oluşturma işlemleri için bir otomasyon kuralı oluşturun ve ServiceNow'da bilet açan bir playbook ekleyin. |
| Düzenleme | Olay kuyruğunun daha iyi denetlenmesi için SOC ekibinin sohbet platformunu kullanın. Örneğin, güvenlik analistlerinizin olaydan haberdar olduğundan emin olmak için Microsoft Teams veya Slack'teki güvenlik operasyonları kanalınıza bir ileti gönderin. |
| Response | Tehlikeye girmiş bir kullanıcı veya makinenin belirtildiği durumlar gibi en az insan bağımlılığıyla tehditlere hemen yanıt verin. Alternatif olarak, araştırma sırasında veya avlanma sırasında bir dizi otomatik adımı el ile tetikleyin. |
Daha fazla bilgi için bkz . Önerilen playbook kullanım örnekleri, şablonlar ve örnekler.
Önkoşullar
Microsoft Sentinel'de playbook'lar oluşturmak ve çalıştırmak için Azure Logic Apps'i kullanmak için aşağıdaki roller gereklidir.
| Rol | Açıklama |
|---|---|
| Sahip | Kaynak grubundaki playbook'lara erişim vermenizi sağlar. |
| Mantıksal Uygulama Katkıda Bulunanı | Mantıksal uygulamaları yönetmenize ve playbook'ları çalıştırmanıza olanak tanır. Playbook'lara erişim izni vermenizi sağlar. |
| Mantıksal Uygulama İşleci | Mantıksal uygulamaları okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar. Mantıksal uygulamaları düzenlemenize veya güncelleştirmenize izin vermez. |
| Microsoft Sentinel Katkıda Bulunanı | Analiz veya otomasyon kuralına playbook eklemenizi sağlar. |
| Microsoft Sentinel Yanıtlayıcısı | Playbook'u el ile çalıştırmak için bir olaya erişmenizi sağlar, ancak playbook'u çalıştırmanıza izin vermez. |
| Microsoft Sentinel Playbook Operatörü | Playbook'u el ile çalıştırmanıza olanak tanır. |
| Microsoft Sentinel Otomasyonu Katkıda Bulunanı | Otomasyon kurallarının playbook'ları çalıştırmasına izin verir. Bu rol başka bir amaçla kullanılmaz. |
Otomasyon sayfasındaki Etkin playbook'lar sekmesi, seçili aboneliklerde kullanılabilen tüm etkin playbook'ları görüntüler. Varsayılan olarak, playbook'un kaynak grubuna özel olarak Microsoft Sentinel izinleri vermediğiniz sürece, playbook yalnızca ait olduğu abonelik içinde kullanılabilir.
Microsoft Sentinel'in playbook'ları çalıştırması için gereken ek izinler
Microsoft Sentinel, olaylar üzerinde playbook çalıştırmak, güvenlik eklemek ve CI/CD kullanım örneklerini desteklemek üzere otomasyon kuralları API'sini etkinleştirmek için bir hizmet hesabı kullanır. Bu hizmet hesabı, olayla tetiklenen playbook'lar için veya belirli bir olay üzerinde el ile bir playbook çalıştırdığınızda kullanılır.
Kendi rollerinize ve izinlerinize ek olarak, bu Microsoft Sentinel hizmet hesabının playbook'un bulunduğu kaynak grubunda Microsoft Sentinel Otomasyonu Katkıda Bulunanı rolü biçiminde kendi izinleri olmalıdır. Microsoft Sentinel bu role sahip olduktan sonra ilgili kaynak grubundaki herhangi bir playbook'u el ile veya otomasyon kuralından çalıştırabilir.
Microsoft Sentinel'e gerekli izinleri vermek için Sahip veya Kullanıcı erişimi yöneticisi rolüne sahip olmanız gerekir. Playbook'ları çalıştırmak için çalıştırmak istediğiniz playbook'ları içeren kaynak grubunda Mantıksal Uygulama Katılımcısı rolüne de ihtiyacınız vardır.
Playbook şablonları (önizleme)
Önemli
Playbook şablonları şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Playbook şablonları önceden oluşturulmuş, test edilmiş ve kullanıma hazır iş akışlarıdır ve playbook'lar olarak kullanılamaz, ancak gereksinimlerinizi karşılayacak şekilde özelleştirmeniz için hazırdır. Ayrıca, playbook'ları sıfırdan geliştirirken en iyi yöntemlerin referansı olarak veya yeni otomasyon senaryolarına ilham kaynağı olarak playbook şablonlarını kullanmanızı öneririz.
Playbook şablonlarına aşağıdaki kaynaklardan erişin:
| Konum | Açıklama |
|---|---|
| Microsoft Sentinel Otomasyonu sayfası | Playbook şablonları sekmesinde yüklü tüm playbook'lar listelenir. Aynı şablonu kullanarak bir veya daha fazla etkin playbook oluşturun. Şablonun yeni bir sürümünü yayımladığımızda, bu şablondan oluşturulan tüm etkin playbook'lar, bir güncelleştirmenin kullanılabilir olduğunu belirtmek için Etkin playbook'lar sekmesine ek bir etiket ekler. |
| Microsoft Sentinel İçerik hub'ı sayfası | Playbook şablonları, İçerik hub'ından yüklenen ürün çözümlerinin veya tek başına içeriğin bir parçası olarak kullanılabilir. Daha fazla bilgi için, şuraya bakın: Microsoft Sentinel içeriği ve çözümleri hakkında Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme |
| GitHub | Microsoft Sentinel GitHub deposu başka birçok playbook şablonu içerir. Azure aboneliğinize şablon dağıtmak için Azure'a dağıt'ı seçin. |
Teknik olarak playbook şablonu, çeşitli kaynaklardan oluşan bir Azure Resource Manager (ARM) şablonudur: Azure Logic Apps iş akışı ve ilgili her bağlantı için API bağlantıları.
Daha fazla bilgi için bkz.
- İçerik şablonlarından Microsoft Sentinel playbook'ları oluşturma ve özelleştirme
- Önerilen playbook şablonları
- Microsoft Sentinel playbook'ları için Azure Logic Apps
Playbook oluşturma ve kullanım iş akışı
Microsoft Sentinel playbook'ları oluşturmak ve çalıştırmak için aşağıdaki iş akışını kullanın:
Otomasyon senaryonuzu tanımlayın. Başlamak için önerilen playbook kullanım örneklerini ve playbook şablonlarını gözden geçirmenizi öneririz.
Şablon kullanmıyorsanız playbook'unuzu oluşturun ve mantıksal uygulamanızı oluşturun. Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larını oluşturma ve yönetme.
Mantıksal uygulamanızı el ile çalıştırarak test edin. Daha fazla bilgi için bkz . İsteğe bağlı olarak playbook'u el ile çalıştırma.
Playbook'unuzu yeni bir uyarıda veya olay oluşturma işleminde otomatik olarak çalışacak şekilde yapılandırın veya işlemleriniz için gerektiğinde el ile çalıştırın. Daha fazla bilgi için bkz . Microsoft Sentinel playbook'larıyla tehditlere yanıt verme.
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin