使用 Microsoft Sentinel 中的劇本將威脅回應自動化
SOC 分析師會處理許多安全性警示和事件,而單一數量可能會使小組不知所措,導致忽略的警示和未調查的事件。 許多警示和事件都可以由同一組預先定義的補救動作來解決,這些動作可以自動化,讓SOC更有效率,並釋出分析師以進行更深入的調查。
使用 Microsoft Sentinel 劇本來執行預先設定的補救動作集,以協助 自動化及協調您的威脅回應。 自動執行劇本,以回應觸發已設定 自動化規則的特定警示和事件,或手動和隨選特定實體或警示。
例如,如果帳戶和計算機遭到入侵,劇本可以在SOC小組收到事件通知時自動隔離電腦與網路,並封鎖帳戶。
注意
由於劇本會使用 Azure Logic Apps,因此可能會收取額外費用。 如需詳細資訊, 請流覽 Azure Logic Apps 定價頁面。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
建議使用案例
下表列出建議使用 Microsoft Sentinel 劇本將威脅回應自動化的高階使用案例:
| 使用案例 | 描述 |
|---|---|
| 擴充 | 收集數據並附加至事件,以協助小組做出更明智的決策。 |
| 雙向同步處理 | 將 Microsoft Sentinel 事件與其他票證系統同步處理。 例如,為所有事件建立建立自動化規則,並附加在 ServiceNow 中開啟票證的劇本。 |
| 協調流程 | 使用SOC小組的聊天平臺,更妥善地控制事件佇列。 例如,將訊息傳送至 Microsoft Teams 或 Slack 中的安全性作業通道,以確保您的安全性分析師知道該事件。 |
| 回應 | 以最少的人相依性立即回應威脅,例如指出遭入侵的使用者或計算機時。 或者,在調查期間或在搜捕期間手動觸發一系列自動化步驟。 |
如需詳細資訊,請參閱 建議的劇本使用案例、範例和範例。
必要條件
下列角色需要使用 Azure Logic Apps 在 Microsoft Sentinel 中建立和執行劇本。
| 角色 | 描述 |
|---|---|
| 負責人 | 可讓您授與資源群組中劇本的存取權。 |
| 邏輯應用程式參與者 | 可讓您管理邏輯應用程式和執行劇本。 不允許您將劇本的存取權授與。 |
| 邏輯應用程式操作員 | 可讓您讀取、啟用和停用邏輯應用程式。 不允許編輯或更新邏輯應用程式。 |
| Microsoft Sentinel 參與者 | 可讓您將劇本附加至分析或自動化規則。 |
| Microsoft Sentinel 回應程式 | 可讓您存取事件,以便手動執行劇本,但不允許執行劇本。 |
| Microsoft Sentinel 劇本操作員 | 可讓您手動執行劇本。 |
| Microsoft Sentinel 自動化參與者 | 允許自動化規則執行劇本。 此角色不會用於任何其他用途。 |
[自動化] 頁面上的 [作用中劇本] 索引標籤會顯示所有可在任何選取的訂用帳戶上使用的作用中劇本。 根據預設,劇本只能在所屬的訂用帳戶內使用,除非您特別將 Microsoft Sentinel 許可權授與劇本的資源群組。
Microsoft Sentinel 執行劇本所需的額外許可權
Microsoft Sentinel 會使用服務帳戶在事件上執行劇本,以新增安全性,並啟用自動化規則 API 以支援 CI/CD 使用案例。 此服務帳戶用於事件觸發的劇本,或當您在特定事件上手動執行劇本時。
除了您自己的角色和許可權之外,此 Microsoft Sentinel 服務帳戶在劇本所在的資源群組上必須有自己的許可權集,格式為 Microsoft Sentinel 自動化參與者 角色。 一旦 Microsoft Sentinel 具有此角色,就可以手動或從自動化規則中執行相關資源群組中的任何劇本。
若要將必要許可權授與 Microsoft Sentinel,您必須擁有 擁有者 或 使用者存取系統管理員 角色。 若要執行劇本,您也需要 資源群組上的邏輯應用程式參與者 角色,其中包含您要執行的劇本。
劇本範本 (預覽)
重要
劇本範本目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
劇本範本是預先建置、測試和現成使用的工作流程,這些工作流程無法作為劇本本身使用,但已準備好讓您自定義以符合您的需求。 我們也建議您在開發劇本時,使用劇本範本作為最佳做法的參考,或作為新自動化案例的靈感。
從下列來源存取劇本範本:
| Location | 描述 |
|---|---|
| Microsoft Sentinel 自動化頁面 | [劇本範本] 索引標籤會列出所有已安裝的劇本。 使用相同的範本建立一或多個使用中的劇本。 當我們發佈新版本的範本時,從該範本建立的任何使用中劇本在 [使用中劇本] 索引標籤中新增了額外的標籤,以指出有可用的更新。 |
| Microsoft Sentinel 內容中樞頁面 | 劇本範本是產品解決方案的一部分,或從內容中樞安裝的獨立內容。 如需詳細資訊,請參閱: 關於 Microsoft Sentinel 內容和解決方案 探索及管理 Microsoft Sentinel 現用內容 |
| GitHub | Microsoft Sentinel GitHub 存放 庫 包含許多其他劇本範本。 選取 [部署至 Azure ] 以將範本部署至您的 Azure 訂用帳戶。 |
從技術上來說,劇本範本是一個 Azure Resource Manager (ARM) 範本,其中包含數個資源:涉及的每個連線的 Azure Logic Apps 工作流程和 API 連線。
如需詳細資訊,請參閱
劇本建立和使用工作流程
使用下列工作流程來建立及執行 Microsoft Sentinel 劇本:
定義您的自動化案例。 建議您檢閱 要啟動的建議劇本使用案例 和 劇本範本 。
如果您未使用範本,請建立劇本並建置邏輯應用程式。 如需詳細資訊,請參閱 建立和管理 Microsoft Sentinel 劇本。
手動執行邏輯應用程式來測試邏輯應用程式。 如需詳細資訊,請參閱 視需要手動執行劇本。
將您的劇本設定為在新警示或事件建立時自動執行,或視需要手動執行程式。 如需詳細資訊,請參閱 使用 Microsoft Sentinel 劇本回應威脅。
相關內容
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: