你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的自动化:安全业务流程、自动化和响应 (SOAR)
安全信息和事件管理 (SIEM) 和安全运营中心 (SOC) 团队通常会定期收到大量的安全警报和事件,数量之多甚至超出了可用人员的处理能力。 因此频繁出现许多警报被忽视、许多事件未调查的窘境,导致组织很容易在未注意到的情况下受到攻击。
除了作为 SIEM 系统以外,Microsoft Sentinel 还是用于安全业务流程、自动化和响应 (SOAR) 的平台。 其主要用途之一是自动执行任何定期的、可预测的扩充、响应和修正任务,减轻原本负责这些任务的安全运营中心和人员 (SOC/SecOps) 的负担,让其将更多时间和资源用在更深入地调查和搜寻高级威胁方面。
本文介绍 Microsoft Sentinel 的 SOAR 功能,并演示如何使用自动化规则和 playbook 来响应安全威胁可以提高 SOC 的有效性并节省时间和资源。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
自动化规则
Microsoft Sentinel 使用自动化规则,使用户可以从中心位置管理事件处理自动化。 将自动化规则用于:
- 通过 playbook 为事件和警报分配更高级的自动化
- 在没有 playbook 的情况下自动标记、分配或关闭事件
- 一次自动完成多个分析规则的响应
- 为分析师创建在会审、调查和修正事件时要执行的任务列表
- 控制操作的执行顺序
建议在创建或更新事件时应用自动化规则,以进一步简化自动化并简化事件业务流程的复杂工作流。
有关详细信息,请参阅使用自动化规则在 Microsoft Sentinel 中自动响应威胁。
攻略
Playbook 是可以作为例程从 Microsoft Sentinel 运行的响应和修正操作以及逻辑的集合。 playbook 可以:
- 帮助自动执行和协调威胁响应
- 与其他系统(内部和外部)集成
- 配置为自动运行以响应特定警报或事件,或配置为按需(例如,需要响应新警报)手动运行
在 Microsoft Sentinel 中,playbook 基于在 Azure 逻辑应用中构建的工作流。Azure 逻辑应用是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。 这意味着 playbook 不仅可以利用逻辑应用的集成和业务流程功能以及易于使用的设计工具所具备的所有强大功能和可定制性,还具有第 1 层 Azure 服务的可伸缩性、可靠性和服务级别。
有关详细信息,请参阅使用 Microsoft Sentinel 中的 playbook 自动响应威胁。
使用统一安全运营平台实现自动化
将 Microsoft Sentinel 工作区载入统一安全运营平台后,请注意工作区中的自动化工作方式存在以下区别:
| 功能 | 说明 |
|---|---|
| 使用警报触发器的自动化规则 | 在统一安全运营平台中,使用警报触发器的自动化规则仅适用于 Microsoft Sentinel 警报。 有关详细信息,请参阅警报创建触发器。 |
| 使用事件触发器的自动化规则 | 在 Azure 门户和统一安全运营平台中,“事件提供程序”条件属性被删除,因为所有事件都将 Microsoft Defender XDR 用作事件提供程序(“ProviderName”字段中的值)。 此时,任何现有自动化规则都对 Microsoft Sentinel 和 Microsoft Defender XDR 事件运行,包括“事件提供程序”条件设置为仅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 但是,指定特定分析规则名称的自动化规则将仅对由该指定分析规则创建的事件运行。 这意味着,可以将“分析规则名称”条件属性定义为仅存在于 Microsoft Sentinel 中的分析规则,从而限制规则仅对 Microsoft Sentinel 中的事件运行。 有关详细信息,请参阅事件触发器条件。 |
| 对现有事件名称的更改 | 在统一的 SOC 操作平台中,Defender 门户使用独一无二的引擎来关联事件和警报。 将工作区加入统一 SOC 操作平台时,如果应用了关联,则现有事件名称可能会更改。 为了确保自动化规则始终正常运行,因此建议避免在自动化规则中使用事件标题作为条件标准,并建议改用创建事件的分析规则的名称,如果需要更具体的信息,则改用标记。 |
| “更新者”字段 | 有关详细信息,请参阅事件更新触发器。 |
| 添加事件任务的自动化规则 | 如果自动化规则添加事件任务,则该任务仅在 Azure 门户中显示。 |
| Microsoft 事件创建规则 | 统一安全运营平台不支持 Microsoft 事件创建规则。 有关详细信息,请参阅 Microsoft Defender XDR 事件和 Microsoft 事件创建规则。 |
| 从 Defender 门户运行自动化规则 | 从触发警报并在 Defender 门户中创建或更新事件到运行自动化规则可能需要长达 10 分钟的时间。 之所以出现此时间延迟,是因为事件先在 Defender 门户中创建,然后又转发到 Microsoft Sentinel 以获取自动化规则。 |
| “活动 playbook”选项卡 | 加入统一安全运营平台后,“活动 playbook”选项卡默认显示包含已加入工作区的订阅的预定义筛选器。 在 Azure 门户中,使用订阅筛选器为其他订阅添加数据。 有关详细信息,请参阅从内容模板创建和自定义 Microsoft Sentinel playbook。 |
| 按需手动运行 playbook | 统一安全运营平台目前不支持以下过程: |
| 针对事件运行 playbook 需要 Microsoft Sentinel 同步 | 如果你尝试从统一安全操作平台针对事件运行 playbook,看到“无法访问与此操作相关的数据。请在几分钟后刷新屏幕。”消息,则意味着事件尚未同步到 Microsoft Sentinel。 事件同步后刷新事件页面即可成功运行 playbook。 |
| 事件:向事件添加警报 / 移除事件中的警报 |
由于将工作区加入统一安全运营平台后,不支持向事件添加警报或从事件删除警报,因此 playbook 中也不支持这些操作。 有关详细信息,请参阅门户之间的功能差异。 |
相关内容
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈