Microsoft Sentinel'de olayları yönetmek için görevleri kullanma

Güvenlik işlemlerinizi (SecOps) etkin ve verimli bir şekilde çalıştırmanın en önemli faktörlerinden biri, işlemlerin standartlaştırılmasıdır. SecOps analistlerinin bir olayı önceliklendirme, araştırma veya düzeltme sürecinde bir adım veya görev listesi gerçekleştirmesi beklenir. Görev listesini standart hale getirmek ve resmileştirmek, SOC'nizin sorunsuz bir şekilde çalışmasını sağlamaya yardımcı olabilir ve aynı gereksinimlerin tüm analistler için geçerli olmasını sağlayabilir. Bu şekilde, kimin vardiyada olduğuna bakılmaksızın, bir olay her zaman aynı tedaviyi ve SLA'ları alır. Analistlerin ne yapacaklarını düşünmek veya kritik bir adımı kaçırma konusunda endişelenmek için zaman harcamaları gerekmez. Bu adımlar SOC yöneticisi veya üst düzey analistler (katman 2/3) tarafından ortak güvenlik bilgilerine (NIST gibi), geçmiş olaylarla ilgili deneyimlerine veya olayı algılayan güvenlik satıcısı tarafından sağlanan önerilere göre tanımlanır.

Kullanım örnekleri

• SOC analistleriniz, kritik bir adımı kaçırma konusunda endişelenmeden olay önceliklendirme, araştırma ve yanıt süreçlerini işlemek için tek bir merkezi denetim listesi kullanabilir.

• SOC mühendisleriniz veya üst düzey analistleriniz, analist ekiplerinde ve vardiyalarında olay yanıtı standartlarını belgeleyebilir, güncelleştirebilir ve uyumlu hale getirebilir. Ayrıca, yeni olay türleriyle karşılaşan yeni analistleri veya analistleri eğitmek için görevlerin denetim listelerini oluşturabilirler.

• SOC yöneticisi veya MSSP olarak, olayların ilgili SLA'lara/SOP'lere uygun olarak işlenmiş olduğundan emin olabilirsiniz.

Önkoşullar

Microsoft Sentinel Yanıtlayıcı rolü, otomasyon kuralları oluşturmak ve her ikisi de görevleri eklemek, görüntülemek ve düzenlemek için gereken olayları görüntülemek ve düzenlemek için gereklidir.

Playbook'ları oluşturmak ve düzenlemek için Logic Apps Katkıda Bulunanı rolü gereklidir.

Senaryolar

Analist

Bir olayı işlerken görevleri izleme

Bir olayı seçip Tüm ayrıntıları görüntüle'yi seçtiğinizde, sağ taraftaki panelde, el ile veya otomasyon kurallarıyla bu olaya eklenmiş olan tüm görevleri görürsünüz.

Bir görevi, kullanıcı, otomasyon kuralı veya onu oluşturan playbook da dahil olmak üzere tam açıklamasını görmek için genişletin.

"Onay kutusu" dairesini seçerek görevi tamamlandı olarak işaretleyin.

Yerinde bir olaya görev ekleme

Üzerinde çalıştığınız açık bir olaya görevler ekleyebilirsiniz; kendinize yapmanız gereken eylemleri anımsatmak veya kendi girişiminizle gerçekleştirdiğiniz ve görev listesinde görünmeyen eylemleri kaydetmek için. Bu şekilde eklenen görevler yalnızca açık olay için geçerli olur.

İş akışı oluşturucusu

Otomasyon kurallarıyla olaylara görev ekleme

Tüm olayları analistlerinize yönelik bir görev denetim listesiyle otomatik olarak sağlamak için Otomasyon kurallarına görev ekle eylemini kullanın. Kapsamı belirlemek için otomasyon kuralınızda Analiz kuralı adı koşulunu ayarlayın:

• Tüm olaylara uygulanacak standart bir görev kümesi tanımlamak için otomasyon kuralını tüm analiz kurallarına uygulayın.

• Otomasyon kuralınızı sınırlı bir analiz kuralı kümesine uygulayarak, söz konusu olayları oluşturan analiz kuralı veya kuralları tarafından algılanan tehditlere göre belirli olaylara belirli görevler atayabilirsiniz.

Görevlerin olayınızda görünme sırasının görevlerin oluşturma zamanına göre belirlendiğini düşünün. Otomasyon kurallarının sırasını, tüm olaylar için gerekli görevleri ekleyen kuralların önce çalışması ve yalnızca daha sonra belirli analiz kuralları tarafından oluşturulan olaylar için gereken görevleri ekleyen kuralların çalıştırılmasını sağlayabilirsiniz. Tek bir kural içinde, eylemlerin tanımlanma sırası, bir olayda görünme sırasını yönetir.

Yeni bir otomasyon kuralı oluşturmadan önce mevcut otomasyon kurallarının ve görevlerinin kapsamına hangi olayların dahil olduğunu görün.
Otomasyon kuralları listesindeki Eylem filtresini kullanarak yalnızca olaylara görev ekleyen kuralları ve bu görevlerin hangi olaylara ekleneceğini anlamak için bu otomasyon kurallarının hangi analiz kurallarına uygulandığını görün.

Playbook'larla olaylara görev ekleme

Playbook'u tetikleyen olaya otomatik olarak görev eklemek için playbook'ta (Microsoft Sentinel bağlayıcısında) Görev ekle eylemini kullanın.

Ardından, görevin içeriğini tamamlamak için ilgili Logic Apps bağlayıcılarında diğer playbook eylemlerini kullanın.

Son olarak, görevi tamamlandı olarak işaretle eylemini (microsoft Sentinel bağlayıcısında yeniden) kullanarak görevi otomatik olarak tamamlandı olarak işaretleyin.

Örnek olarak aşağıdaki senaryoları göz önünde bulundurun:

• Playbook'ların görevleri eklemesine ve tamamlamasına izin verin: Bir olay oluşturulduğunda, aşağıdakileri yapacak bir playbook tetikler:

  1. Kullanıcının parolasını sıfırlamak için olaya bir görev ekler.
  2. Kullanıcının parolasını sıfırlamak için kullanıcı sağlama sistemine bir API çağrısı düzenleyerek görevi gerçekleştirir.
  3. Sıfırlamanın başarılı veya başarısız olmasına ilişkin olarak sistemden bir yanıt bekler.
     • Parola sıfırlama başarılı olursa playbook olayda yeni oluşturduğu görevi tamamlandı olarak işaretler.
     • Parola sıfırlama başarısız olursa playbook görevi tamamlandı olarak işaretlemez ve yerine getirmek üzere bir analiste bırakır.

• Playbook'un koşullu görevlerin eklenip eklenmediğini değerlendirmesine izin verin: Bir olay oluşturulduğunda, dış tehdit bilgileri kaynağından IP adresi raporu isteyen bir playbook tetikler.

  • IP adresi kötü amaçlıysa playbook belirli bir görev ekler ("Bu IP adresini engelle" gibi).
  • Aksi takdirde playbook başka işlem gerçekleştirmez.

Görev eklemek için otomasyon kuralları veya playbook'lar mı kullanılasın?

Olay görevleri oluşturmak için bu yöntemlerden hangisinin kullanılması gerektiğini hangi noktalar belirlemelidir?

• Otomasyon kuralları: Mümkün olduğunda kullanın. Etkileşim gerektirmeyen düz, statik görevler için kullanın.
• Playbook'lar: Gelişmiş kullanım örnekleri için kullanın; koşullara göre görev oluşturma veya tümleşik otomatik eylemler içeren görevler.

Sonraki adımlar

• Analistlerin Microsoft Sentinel'de olay iş akışını işlemek için görevleri nasıl kullanabileceğini öğrenin.
• Microsoft Sentinel'de olayları araştırma hakkında daha fazla bilgi edinin.
• Otomasyon kurallarını veya playbook'ları kullanarak olay gruplarına otomatik olarak görev eklemeyi öğrenin.
• Otomasyon kuralları ve bunların nasıl oluşturulacağı hakkında daha fazla bilgi edinin.
• Playbook'lar ve bunların nasıl oluşturulacağı hakkında daha fazla bilgi edinin.