你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 ArcSight SOAR 自动化迁移到 Microsoft Sentinel

Microsoft Sentinel 通过自动化规则playbook 提供安全业务流程、自动化和响应 (SOAR) 功能。 自动化规则自动执行事件处理和响应,playbook 运行预先确定的操作序列以响应和缓解威胁。 本文讨论如何识别 SOAR 用例,以及如何将 ArcSight SOAR 自动化迁移到 Microsoft Sentinel。

自动化规则简化了事件业务流程的复杂工作流,并让你可以集中管理事件处理自动化。

使用自动化规则,可以:

  • 执行简单的自动化任务,而无需使用 playbook。 例如,可以分配、标记事件,更改状态以及关闭事件。
  • 一次自动对多个分析规则进行响应。
  • 控制所执行的操作的顺序。
  • 对于需要更复杂的自动化任务的情况,请运行 playbook。

识别 SOAR 用例

下面是从 ArcSight 迁移 SOAR 用例时需要考虑的事项。

  • 用例质量。 为自动化选择良好的用例。 用例应基于明确定义、变化最小且误报率较低的过程。 自动化应使用高效的用例。
  • 手动干预。 自动响应可以产生广泛的影响,具有很大影响的自动化应该有人工输入,以便在执行具有很大影响的操作之前进行确认。
  • 二元条件。 为了提高响应成功率,自动化工作流中的决策点应尽可能有限,并采用二元条件。 二元条件可减少对人工干预的需求,并增强结果的可预测性。
  • 准确的警报或数据。 响应操作取决于信号(如警报)的准确性。 警报和扩充源应可靠。 Microsoft Sentinel 资源(如监视列表和可靠的威胁情报)可以提高可靠性。
  • 分析师角色。 虽然尽可能进行自动化非常好,但应为分析师保留更复杂的任务,并为他们提供需要验证的工作流的输入机会。 简而言之,响应自动化应增强和扩展分析师功能。

迁移 SOAR 工作流

本部分介绍 ArcSight 中的关键 SOAR 概念如何转换为 Microsoft Sentinel 组件,并提供有关如何迁移 SOAR 工作流中每个步骤或组件的通用指南。

显示 ArcSight 和 Microsoft Sentinel SOAR 工作流的关系图。

步骤(在图中) ArcSight Microsoft Sentinel
1 将事件引入企业安全管理器 (ESM) 并触发关联事件。 将事件引入 Log Analytics 工作区。
2 自动筛选警报,以便创建用例。 使用分析规则触发警报。 使用自定义详细信息功能扩充警报,用于创建动态事件名称。
3 对用例进行分类。 使用自动化规则。 借助自动化规则,Microsoft Sentinel 会根据触发事件的分析规则以及与定义条件相匹配的事件属性来处理事件。
4 合并用例。 可以使用警报分组功能,根据匹配实体、警报详细信息或创建期限等属性,将多个警报合并为单个事件。
5 调度用例。 使用 Microsoft Teams、Azure 逻辑应用和 Microsoft Sentinel 自动化规则之间的集成将事件分配给特定分析师。

映射 SOAR 组件

查看哪些 Microsoft Sentinel 或 Azure 逻辑应用功能映射到主 ArcSight SOAR 组件。

ArcSight Microsoft Sentinel/Azure 逻辑应用
触发器 触发器
自动化位 Azure 函数连接器
操作 操作
计划的 playbook “重复”触发器启动的 playbook
工作流 playbook 由 Microsoft Sentinel 警报或事件触发器自动启动的 Playbook
市场 “自动化”>“模板”选项卡
内容中心目录
GitHub

在 Microsoft Sentinel 中操作 playbook 和自动化规则

与 Microsoft Sentinel 一起使用的大多数 playbook 都已在“自动化”>“模板”选项卡内容中心目录GitHub 中提供。 但是,在某些情况下,可能需要从头开始或根据现有模板创建 playbook。

通常使用 Azure 逻辑应用设计器功能来生成自定义逻辑应用。 逻辑应用代码基于 Azure 资源管理器 (ARM) 模板,这些模板有助于跨多个环境开发、部署和移植 Azure 逻辑应用。 若要将自定义 playbook 转换为可移植的 ARM 模板,可以使用 ARM 模板生成器

对于需要从头开始或根据现有模板生成自己的 playbook 的情况,请使用这些资源。

SOAR 迁移后最佳做法

下面是在 SOAR 迁移后应考虑的最佳做法:

  • 迁移 playbook 后,请广泛测试 playbook,以确保迁移的操作按预期工作。
  • 定期查看自动化,以探索进一步简化或增强 SOAR 的方法。 Microsoft Sentinel 不断添加新的连接器和操作,可帮助你进一步简化当前响应实现或提高其有效性。
  • 使用 playbook 运行状况监视工作簿监视 playbook 的性能。
  • 使用托管标识和服务主体:在逻辑应用中针对各种 Azure 服务进行身份验证,将机密存储在 Azure Key Vault 中,并遮盖流执行输出。 我们还建议监视这些服务主体的活动

后续步骤

在本文中,你已了解如何将 SOAR 自动化从 ArcSight 映射到 Microsoft Sentinel。