你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全信息和事件管理 (SIEM) 和安全运营中心 (SOC) 团队通常定期被安全警报和事件淹没,数量如此之大,以至于可用人员不堪重负。 在忽略许多警报和许多事件未调查的情况下,这通常会导致组织容易受到未注意到的攻击。
Microsoft Sentinel,除了是 SIEM 系统外,还是一个用于安全业务流程、自动化和响应 (SOAR) 的平台。 其主要用途之一是自动执行安全运营中心和人员 (SOC/SecOps) 负责的任何定期且可预测的扩充、响应和修正任务,从而腾出时间和资源,以便更深入地调查和搜寻高级威胁。
本文介绍Microsoft Sentinel的 SOAR 功能,并演示如何使用自动化规则和 playbook 来响应安全威胁,从而提高 SOC 的有效性并节省时间和资源。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
自动化规则
Microsoft Sentinel使用自动化规则允许用户从中心位置管理事件处理自动化。 使用自动化规则可以:
- 使用 playbook 为事件和警报分配更高级的自动化
- 在没有 playbook 的情况下自动标记、分配或关闭事件
- 一次自动执行多个 分析规则的 响应
- 创建供分析师在会审、调查和修正事件时要执行的任务列表
- 控制操作的执行顺序
建议在创建或更新事件时应用自动化规则,以进一步简化自动化并简化事件业务流程流程的复杂工作流。
有关详细信息,请参阅使用自动化规则在 Microsoft Sentinel 中自动执行威胁响应。
剧本
playbook 是响应和修正操作以及逻辑的集合,可从Microsoft Sentinel作为例程运行。 playbook 可以:
- 帮助自动执行和协调威胁响应
- 与其他系统(内部和外部)集成
- 配置为自动运行以响应特定警报或事件,或按需手动运行,例如响应新警报
在 Microsoft Sentinel 中,playbook 基于Azure逻辑应用构建的工作流,逻辑应用是一种云服务,可帮助你跨企业系统计划、自动执行和协调任务和工作流。 这意味着 playbook 可以利用逻辑应用集成和业务流程功能以及易于使用的设计工具的所有功能和可自定义性,以及第 1 层Azure服务的可伸缩性、可靠性和服务级别。
有关详细信息,请参阅 Microsoft Sentinel 中使用 playbook 自动执行威胁响应。
Microsoft Defender门户中的自动化
请注意以下有关自动化如何适用于 Defender 门户中Microsoft Sentinel的详细信息。 如果你是从Azure 门户过渡到 Defender 门户的现有客户,在载入到 Defender 门户后,你可能会注意到工作区中自动化的工作方式存在差异。
| 功能 | 说明 |
|---|---|
| 具有警报触发器的自动化规则 | 在 Defender 门户中,具有警报触发器的自动化规则仅对Microsoft Sentinel警报起作用。 有关详细信息,请参阅 警报创建触发器。 |
| 具有事件触发器的自动化规则 | 在Azure 门户和 Defender 门户中,都删除了“事件提供程序条件”属性,因为所有事件都Microsoft XDR,因为事件提供程序 (“ProviderName”字段中的值) 。 此时,任何现有自动化规则在Microsoft Sentinel和Microsoft Defender XDR事件上运行,包括事件提供程序条件设置为仅Microsoft Sentinel或Microsoft 365 Defender 的事件。 但是,指定特定分析规则名称的自动化规则仅在包含由指定分析规则创建的警报的事件上运行。 这意味着可以将分析规则名称条件属性定义为仅存在于Microsoft Sentinel中的分析规则,以限制规则仅在Microsoft Sentinel中的事件上运行。 此外,加入到 Defender 门户后, SecurityIncident 表不再包含 “说明” 字段。 因此: - 如果将此 “说明” 字段用作具有事件创建触发器的自动化规则的条件,则该自动化规则在载入 Defender 门户后将不起作用。 在这种情况下,请确保适当地更新配置。 有关详细信息,请参阅 事件触发器条件。 - 如果已使用外部票证系统(如 ServiceNow)配置集成,则将缺少事件说明。 |
| playbook 触发器中的延迟 | 最多可能需要 5 分钟,Microsoft Defender事件才会出现在Microsoft Sentinel中。 如果存在此延迟,playbook 触发也会延迟。 |
| 对现有事件名称的更改 | Defender 门户使用唯一引擎来关联事件和警报。 将工作区载入 Defender 门户时,如果应用了关联,现有事件名称可能会更改。 为了确保自动化规则始终正常运行,因此建议避免在自动化规则中使用事件标题作为条件条件,并建议改用创建事件中包含的警报的任何分析规则的名称,如果需要更具体性,则使用标记。 |
| 按字段更新 | 有关详细信息,请参阅 事件更新触发器。 |
| 直接从事件创建自动化规则 | 仅Azure 门户支持直接从事件创建自动化规则。 如果在 Defender 门户中工作,请从“自动化”页从头开始创建 自动化 规则。 |
| Microsoft事件创建规则 | Microsoft Defender 门户中不支持事件创建规则。 有关详细信息,请参阅Microsoft Defender XDR事件和Microsoft事件创建规则。 |
| 从 Defender 门户运行自动化规则 | 从触发警报和在 Defender 门户中创建或更新事件到运行自动化规则的时间,最多可能需要 10 分钟的时间。 此时间延迟是因为事件是在 Defender 门户中创建的,然后转发到自动化规则的Microsoft Sentinel。 |
| “活动 playbook”选项卡 | 载入到 Defender 门户后,默认情况下,“ 活动 playbook ”选项卡会显示包含已载入工作区订阅的预定义筛选器。 在Azure 门户,使用订阅筛选器为其他订阅添加数据。 有关详细信息,请参阅从模板创建和自定义Microsoft Sentinel playbook。 |
| 按需手动运行 playbook | Defender 门户中当前不支持以下过程: |
| 针对事件运行 playbook 需要Microsoft Sentinel同步 | 如果尝试从 Defender 门户对事件运行 playbook,并看到消息“无法访问与此操作相关的数据。几分钟后刷新屏幕”。消息,这意味着该事件尚未同步到Microsoft Sentinel。 同步事件后刷新事件页以成功运行 playbook。 |
|
事件:向事件添加警报 / 从事件中删除警报 |
由于在将工作区载入 Defender 门户后,不支持向事件添加警报或删除警报,因此 Playbook 中也不支持这些操作。 有关详细信息,请参阅 了解如何在 Defender 门户中关联警报和合并事件。 |
| 在多个工作区中Microsoft Defender XDR集成 | 如果已将 XDR 数据与单个租户中的多个工作区集成,则数据现在只会引入 Defender 门户中的主工作区。 将自动化规则传输到相关工作区,使其保持运行。 |
| 自动化和关联引擎 | 关联引擎可能会将来自多个信号的警报合并到单个事件中,这可能会导致自动化接收你未预料到的数据。 建议查看自动化规则,确保看到预期结果。 |