Aracılığıyla paylaş


Splunk SOAR otomasyonını Microsoft Sentinel'e geçirme

Microsoft Sentinel, otomasyon kuralları ve playbook'lar ile Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) özellikleri sağlar. Otomasyon kuralları olay işlemeyi ve yanıtı otomatikleştirir ve playbook'lar tehditleri yanıtlamak ve düzeltmek için önceden belirlenmiş eylem dizileri çalıştırır. Bu makalede SOAR kullanım örneklerini tanımlama ve Splunk SOAR otomasyonunuzu Microsoft Sentinel'e geçirme hakkında bilgi verilmektedir.

Otomasyon kuralları, olay düzenleme işlemleriniz için karmaşık iş akışlarını basitleştirir ve olay işleme otomasyonunuzu merkezi olarak yönetmenize olanak tanır.

Otomasyon kurallarıyla şunları yapabilirsiniz:

  • Playbook'ları kullanmadan basit otomasyon görevleri gerçekleştirin. Örneğin, olayları atayabilir, etiketleyebilir, durumu değiştirebilir ve olayları kapatabilirsiniz.
  • Aynı anda birden çok analiz kuralı için yanıtları otomatikleştirin.
  • Yürütülen eylemlerin sırasını denetleme.
  • Daha karmaşık otomasyon görevlerinin gerekli olduğu durumlar için playbook'ları çalıştırın.

SOAR kullanım örneklerini tanımlama

SoAR kullanım örneklerini Splunk'tan geçirirken düşünmeniz gerekenler şunlardır.

  • Kullanım örneği kalitesi. Otomasyon için iyi kullanım örnekleri seçin. Kullanım örnekleri, minimum varyasyona ve düşük hatalı pozitif oranına sahip net bir şekilde tanımlanmış yordamlara dayanmalıdır. Otomasyon verimli kullanım örnekleriyle çalışmalıdır.
  • El ile müdahale. Otomatik yanıt, çok çeşitli etkilere ve yüksek etkili otomasyonlara sahip olabilir ve yüksek etkili eylemlerin gerçekleştirilmeden önce onaylanması için insan girişi olmalıdır.
  • İkili ölçütler. Yanıt başarısını artırmak için, otomatik bir iş akışındaki karar noktaları ikili ölçütlerle mümkün olduğunca sınırlı olmalıdır. İkili ölçüt, insan müdahalesi gereksinimini azaltır ve sonuç öngörülebilirliğini artırır.
  • Doğru uyarılar veya veriler. Yanıt eylemleri, uyarılar gibi sinyallerin doğruluğuna bağlıdır. Uyarılar ve zenginleştirme kaynakları güvenilir olmalıdır. İzleme listeleri ve güvenilir tehdit bilgileri gibi Microsoft Sentinel kaynakları güvenilirliği artırabilir.
  • Analist rolü. Mümkün olduğunda otomasyon harika olsa da analistler için daha karmaşık görevler ayırın ve doğrulama gerektiren iş akışlarına giriş yapma fırsatı sağlayın. Kısacası yanıt otomasyonu analist özelliklerini geliştirmeli ve genişletmelidir.

SOAR iş akışını geçirme

Bu bölümde önemli Splunk SOAR kavramlarının Microsoft Sentinel bileşenlerine nasıl çevrildiği gösterilir ve SOAR iş akışındaki her adımın veya bileşenin nasıl geçirileceğine ilişkin genel yönergeler sağlanır.

Splunk ve Microsoft Sentinel SOAR iş akışlarını gösteren diyagram.

Adım (diyagramda) Splunk Microsoft Sentinel
1 Olayları ana dizine alın. Olayları Log Analytics çalışma alanına alın.
2 Kapsayıcılar oluşturun. Özel ayrıntılar özelliğini kullanarak olayları etiketleyin.
3 Servis talepleri oluşturun. Microsoft Sentinel, paylaşılan varlıklar veya önem derecesi gibi kullanıcı tanımlı ölçütlere göre olayları otomatik olarak gruplandırabilir. Bu uyarılar daha sonra olaylar oluşturur.
4 Playbook'lar oluşturun. Azure Logic Apps, Microsoft Sentinel, Azure, üçüncü taraf ve hibrit bulut ortamlarında etkinlikleri yönetmek için çeşitli bağlayıcılar kullanır.
4 Çalışma kitapları oluşturun. Microsoft Sentinel playbook'ları yalıtarak veya sıralı otomasyon kuralının bir parçası olarak yürütür. Önceden tanımlanmış bir Güvenlik İşletim Merkezi (SOC) yordamına göre playbook'ları uyarılara veya olaylara karşı el ile de yürütebilirsiniz.

SOAR bileşenlerini eşleme

Hangi Microsoft Sentinel veya Azure Logic Apps özelliklerinin ana Splunk SOAR bileşenleriyle eşlendiğine bakın.

Splunk Microsoft Sentinel/Azure Logic Apps
Playbook düzenleyicisi Mantıksal Uygulama tasarımcısı
Tetikleyici Tetikleyici
•Bağlayıcı
•App
• Otomasyon aracısı
Bağlayıcı
Karma Runbook Çalışanı
Eylem blokları Eylem
Bağlantı aracısı Karma Runbook Çalışanı
Topluluk Otomasyon > Şablonları sekmesi
İçerik hub'ı kataloğu
GitHub
Karar Koşullu denetim
Kod Azure İşlevi bağlayıcısı
İstem Onay e-postası gönderme
Biçimlendir Veri işlemleri
Giriş playbook'ları Daha önce yürütülen adımların veya açıkça bildirilen değişkenlerin sonuçlarından değişken girişleri alma
Yardımcı Program blok API'si yardımcı programı ile parametreleri ayarlama API ile Olayları Yönetme

Microsoft Sentinel'de playbook'ları ve otomasyon kurallarını kullanıma hazır hale getirme

Microsoft Sentinel ile kullandığınız playbook'ların çoğu Otomasyon > Şablonları sekmesinde, İçerik hub'ı kataloğunda veya GitHub'da kullanılabilir. Ancak bazı durumlarda, sıfırdan veya mevcut şablonlardan playbook'lar oluşturmanız gerekebilir.

Özel mantıksal uygulamanızı genellikle Azure Logic App Designer özelliğini kullanarak oluşturursunuz. Logic Apps kodu, Azure Logic Apps'in birden çok ortamda geliştirilmesini, dağıtılmasını ve taşınabilirliğini kolaylaştıran Azure Resource Manager (ARM) şablonlarını temel alır. Özel playbook'unuzu taşınabilir ARM şablonuna dönüştürmek için ARM şablon oluşturucuyu kullanabilirsiniz.

Sıfırdan veya mevcut şablonlardan kendi playbook'larınızı oluşturmanız gereken durumlar için bu kaynakları kullanın.

Geçiş sonrası soAR en iyi yöntemleri

SOAR geçişinizden sonra dikkate almanız gereken en iyi yöntemler şunlardır:

  • Playbook'larınızı geçirdikten sonra, geçirilen eylemlerin beklendiği gibi çalıştığından emin olmak için playbook'ları kapsamlı olarak test edin.
  • SOAR'ınızı daha da basitleştirmenin veya geliştirmenin yollarını keşfetmek için otomasyonlarınızı düzenli aralıklarla gözden geçirin. Microsoft Sentinel, geçerli yanıt uygulamalarınızın etkinliğini daha da basitleştirmenize veya artırmanıza yardımcı olabilecek yeni bağlayıcılar ve eylemler ekler.
  • Playbook'larınızın durumunu izleme çalışma kitabını kullanarak playbook'larınızın performansını izleyin.
  • Yönetilen kimlikleri ve hizmet sorumlularını kullanma: Logic Apps'inizdeki çeşitli Azure hizmetlerinde kimlik doğrulaması gerçekleştirin, gizli dizileri Azure Key Vault depolayın ve akış yürütme çıktısını gizleyin. Ayrıca bu hizmet sorumlularının etkinliklerini izlemenizi öneririz.

Sonraki adımlar

Bu makalede, SOAR otomasyonunuzu Splunk'tan Microsoft Sentinel'e eşlemeyi öğrendiniz.