Microsoft Sentinel 自动响应

Microsoft Sentinel 是可缩放、基于云的安全信息与事件管理 (SIEM) 和安全业务流程自动化和响应 (SOAR) 解决方案。 它为所有规模的企业提供智能安全分析，并提供以下功能：

• 业务攻击检测
• 主动搜寻
• 自动化事件响应
• 其中包括

Microsoft Sentinel 中的威胁响应通过 Playbook 进行管理。 当警报或事件触发时，Playbook 会执行一系列自动化操作来应对威胁。 这些 Playbook 是使用 Azure 逻辑应用创建的。

Microsoft Sentinel 提供了数百个现成的 Playbook，包括适用于以下方案的 Playbook：

• 阻止 Microsoft Entra 用户
• 通过电子邮件根据批准或拒绝情况阻止 Microsoft Entra 用户
• 在 Microsoft Teams 频道中发布有关事件或警报的消息
• 在 Slack 上发布消息
• 发送包含事件或警报详细信息的电子邮件
• 发送电子邮件，其中包含格式化的事件报告
• 验证 Microsoft Entra 用户是否面临风险
• 通过 Microsoft Teams 发送自适应卡以确认用户是否遭到入侵
• 通过 Microsoft Defender for Endpoint 隔离终结点

本文包含一个实现 Playbook 的示例，该 Playbook 通过阻止被可疑活动入侵的 Microsoft Entra 用户来响应威胁。

可能的用例

每当需要自动响应可检测条件时，本文中所述的技术都适用。

体系结构

下载此体系结构的 Visio 文件。

工作流

此工作流显示部署 playbook 的步骤。 在开始之前，请确保满足先决条件。 例如，需要选择 Microsoft Entra 用户。

1. 按照将日志发送到 Azure Monitor 中的步骤配置 Microsoft Entra ID，将审核日志发送到与 Microsoft Sentinel 一起使用的 Log Analytics 工作区。

   注意

   此解决方案不使用审核日志，但你可以使用它们来调查用户被阻止时发生的情况。

2. Microsoft Entra ID 保护会生成触发威胁响应 playbook 运行的警报。 要让 Microsoft Sentinel 收集警报，请导航到 Microsoft Sentinel 实例并选择“数据连接器”。 搜索 Microsoft Entra ID 保护并启用警报收集。 要了解有关标识保护的详细信息，请参阅什么是标识保护。

3. 将 ToR 浏览器安装到计算机或虚拟机 (VM) 上，无需将 IT 安全性置于风险之中即可使用。

4. 使用 Tor 浏览器以匿名方式登录到“我的应用”，作为你为此解决方案选择的用户。 有关使用 Tor 浏览器模拟匿名 IP 地址的说明，请参阅匿名 IP 地址。

5. Microsoft Entra 会对用户进行身份验证。

6. Microsoft Entra ID 保护可检测到用户使用 ToR 浏览器匿名登录。 这类登录是可疑活动，使用户面临风险。 Identity Protection 向 Microsoft Sentinel 发送警报。

7. 将 Microsoft Sentinel 配置为从警报创建事件。 有关详细信息，请参阅从 Microsoft 安全警报自动创建事件。 要使用的 Microsoft 安全分析规则模板基于 Microsoft Entra ID 保护警报创建事件。

8. 当 Microsoft Sentinel 触发事件时，playbook 会响应阻止用户的操作。

组件

• Microsoft Sentinel 是一种云原生 SIEM 和 SOAR 解决方案。 它使用高级 AI 和安全分析来检测和响应整个企业中的威胁。 Microsoft Sentinel 上提供了许多可用于自动响应和保护系统的手册。
• Microsoft Entra ID 是基于云的多租户目录和标识管理服务，可将核心目录服务、应用程序访问管理和标识保护组合到单个解决方案中。 它可以与本地目录同步。 标识服务可提供单一登录、多重身份验证和条件访问以防范网络安全攻击。 本文中所示的解决方案使用 Microsoft Entra 标识保护来检测用户的可疑活动。
• Azure 逻辑应用是一个无服务器云服务，用于创建和运行集成了应用、数据、服务和系统的自动化工作流。 开发人员可以使用视觉设计器来计划和协调常见任务工作流。 Azure 逻辑应用具有用于许多常用云服务、本地产品和其他软件即服务应用程序的连接器。 在此解决方案中，Azure 逻辑应用运行威胁响应 playbook。

注意事项

• Azure 架构良好的框架是一组指导原则，可用于提高工作负荷的质量。 有关详细信息，请参阅 Microsoft Azure 架构良好的框架。
• Microsoft Sentinel 提供 50 多本可供使用的 playbook。 可以在工作区的 Microsoft Sentinel |自动化页面的 Playbook 模板选项卡找到他们。
• GitHub具有由社区构建的各种 Microsoft Sentinel playbook。

部署此方案

在确保满足先决条件后，可按照工作流中的步骤部署此方案。

先决条件

• 准备软件并选择测试用户
• 部署 playbook

准备软件并选择测试用户

要实现和测试 playbook，需要 Azure 和 Microsoft Sentinel 以及以下内容：

• Microsoft Entra ID 保护许可证（Premium P2、E3 或 E5）。
• Microsoft Entra 用户。 可以使用现有用户或创建新用户。 如果确实创建了一个新用户，则可以在使用完毕后将其删除。
• 可运行 ToR 浏览器的计算机或 VM。 将使用浏览器以 Microsoft Entra 用户身份登录到“我的应用”门户。

部署 playbook

要部署 Microsoft Sentinel playbook，请按如下所述继续操作：

• 如果没有用于此练习的 Log Analytics 工作区，请创建一个新的工作区，如下所示：
  • 转到 Microsoft Sentinel 主页，然后选择“+ 创建”以转到 “将 Microsoft Sentinel 添加到工作区”页。
  • 选择“新建工作区”。 按照说明创建新工作区。 不久，工作区就创建了。
• 此时，你有一个工作区，也许是刚刚创建的工作区。 按照以下步骤查看是否已将 Microsoft Sentinel 添加到其中，如果未添加则添加进去：
  • 转到 Microsoft Sentinel 主页。
  • 如果已将 Microsoft Sentinel 添加到工作区，则工作区将显示在显示的列表中。 如果尚未添加，请按如下所示添加它。
    • 选择“+ 创建 ”以访问 “将 Microsoft Sentinel 添加到工作区”页。
    • 从显示的列表中选择工作区，然后选择页面底部的“添加”。 过了一会儿，Microsoft Sentinel 将添加到工作区。
• 创建 playbook，如下所示：
  • 转到 Microsoft Sentinel 主页。 选择工作区。 从左侧菜单中选择“自动化”，转到“自动化”页。 此页有三个选项卡。
  • 选择“Playbook 模板（预览版）”选项卡。
  • 在搜索字段中，输入“阻止 Microsoft Entra 用户 - 事件”。
  • 在 playbook 列表中，选择“阻止 Microsoft Entra 用户 - 事件”，然后选择右下角的“创建 playbook”以访问“创建 playback”页面。
  • 在“创建角色”页上，执行以下步骤：
    • 从列表中选择“订阅”、“资源组”和“区域”的值。
    • 如果不想使用显示的默认名称，请输入Playbook 名称的值。
    • 如果需要，请选择“在 Log Analytics 中启用诊断日志”以启用日志。
    • 取消选中“与集成服务环境关联”复选框。
    • 保持集成服务环境为空。
  • 选择“下一步: 连接”>，转到“创建 playbook”的“连接”选项卡。
  • 选择如何在 playbook 的组件中进行身份验证。 在以下情况下，需要身份验证：
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    注意

    如果要稍后启用，可以在逻辑应用资源下 playbook 自定义期间对资源进行身份验证。 要此时对上述资源进行身份验证，需要有权更新 Microsoft Entra ID 上的用户，并且用户必须有权访问电子邮件邮箱，并且必须能够发送电子邮件。

  • 选择“下一步：查看并创建”>以访问“创建 playbook”的“审阅”和“创建”选项卡。
  • 选择“创建并继续”设计器以创建 playbook 并访问“逻辑应用设计器”页面。

有关构建逻辑应用的详细信息，请参阅什么是 Azure 逻辑应用和快速入门：创建和管理逻辑应用工作流定义。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

主要作者：

• Rudnei Oliveira | 高级 Azure 安全工程师

其他参与者：

• Andrew Nathan | 高级客户工程经理
• Lavanya Kasturi | 技术文档撰写人

后续步骤

• Azure 云服务的概述？
• 什么是 Microsoft Sentinel？
• Microsoft Sentinel 中的安全业务流程、自动化和响应 (SOAR)
• 在 Microsoft Sentinel 中使用 playbook 自动响应威胁
• 什么是 Microsoft Entra ID？
• 什么是“标识保护”？
• 在标识保护中模拟风险检测
• 什么是 Azure 逻辑应用？
• 教程：使用 Azure 逻辑应用创建自动化的基于审批的工作流
• Microsoft Sentinel 简介

相关资源

• Microsoft Sentinel 中网络威胁情报的威胁指标
• 使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 监视混合安全
• 安全体系结构设计