將 Splunk SOAR 自動化遷移至 Microsoft Sentinel
Microsoft Sentinel 提供安全性協調流程、自動化和回應 (SOAR) 功能,以及自動化規則和劇本。 自動化規則有助於簡單的事件處理和回應,而劇本會執行更複雜的動作序列,以回應和補救威脅。 本文討論如何識別 SOAR 使用案例,以及如何將 Splunk SOAR 自動化移轉至Microsoft Sentinel 自動化規則和劇本。
如需自動化規則與劇本之間差異的詳細資訊,請參閱下列文章:
識別 SOAR 使用案例
以下是從Splunk移轉SOAR使用案例時需要考慮的。
- 使用案例品質。 根據明確定義的程式,選擇自動化使用案例,其變化最小,且誤判率很低。
- 手動操作。 自動化回應可能會產生廣泛的效果。 高影響自動化應該有人為輸入,以在採取高影響動作之前先確認其影響。
- 二元準則。 為了提高回應成功率,自動化工作流程內的決策點應該盡可能受限,並採用二元準則。 當自動化決策中只有兩個變數時,人為介入的需求就會減少,結果可預測性就會增強。
- 精確的警示或資料。 回應動作取決於訊號的精確度,例如警示。 警示和擴充來源應該要是可靠的。 Microsoft Sentinel 資源,例如關注清單和具有高信賴等級的威脅情報,可提升可靠性。
- 分析師角色。 雖然自動化很棒,但請為分析師保留最複雜的工作。 為他們提供需要驗證之工作流程的輸入機會。 簡單來說,回應自動化應該增強和擴充分析師的能力。
移轉 SOAR 工作流程
本節說明 Splunk SOAR 概念如何轉譯為Microsoft Sentinel 元件,並提供如何在 SOAR 工作流程中移轉每個步驟或元件的一般指導方針。
| 步驟 (圖表中) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | 將事件內嵌至主要索引。 | 將事件內嵌於 Log Analytics 工作區。 |
| 2 | 建立容器。 | 使用自訂詳細數據功能標記事件。 |
| 3 | 建立案例。 | Microsoft Sentinel 可以根據使用者定義的準則自動分組事件,例如共用實體或嚴重性。 然後這些警示會產生事件。 |
| 4 | 建立劇本。 | Azure Logic Apps 會使用數個連接器,跨 Microsoft Sentinel、Azure、第三方和混合式雲端環境協調活動。 |
| 4 | 建立活頁簿。 | Microsoft Sentinel 會隔離或作為已排序自動化規則的一部分執行劇本。 您也可以根據預先定義的資訊安全作業中心 (SOC) 程式,針對警示或事件手動執行劇本。 |
對應 SOAR 元件
檢閱哪些Microsoft Sentinel 或 Azure Logic Apps 功能對應至主要 Splunk SOAR 元件。
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 劇本編輯器 | 邏輯應用程式設計工具 |
| 觸發程序 | 觸發程序 |
| •連接 •應用程式 • 自動化訊息代理程式 |
• 連接器 • 混合式 Runbook 背景工作角色 |
| 動作區塊 | 動作 |
| 線上代理程式 | Hybrid Runbook Worker |
| 社群 | • [自動化] > [範本] 索引標籤 • 內容中樞目錄 • GitHub |
| Decision | 條件式控制件 |
| 代碼 | Azure 函式連接器 |
| 提示 | 傳送核准電子郵件 |
| 格式 | 數據作業 |
| 輸入劇本 | 從先前執行的步驟或明確宣告 的變數結果取得變數輸入 |
| 使用公用程式區塊 API 公用程式設定參數 | 使用 API 管理事件 |
讓劇本和自動化規則在 Microsoft Sentinel 中運作
您搭配 Microsoft Sentinel 使用的大多數劇本都可以在 [自動化] > [範本] 索引標籤、內容中樞目錄或 GitHub 中取得。 不過,在某些情況下,您可能需要從頭開始或從現有的範本建立劇本。
您通常會使用 Azure 邏輯應用程式設計工具功能來建置自訂邏輯應用程式。 邏輯應用程式程式碼是以 Azure Resource Manager (ARM) 範本為依據,可跨多個環境開發、部署和移植 Azure Logic Apps。 若要將自訂劇本轉換成可攜式 ARM 範本,您可以使用 ARM 範本產生器。
如果您需要從頭開始或從現有的範本建置自己的劇本,請利用下列資源。
- 將 Microsoft Sentinel 中的事件處理自動化
- 使用 Microsoft Sentinel 中的劇本將威脅回應自動化
- 教學課程:在 Microsoft Sentinel 中搭配自動化規則使用劇本
- 如何使用 Microsoft Sentinel 進行事件回應、協調流程和自動化
- 以調適型卡片增強 Microsoft Sentinel 中的事件回應
SOAR 移轉後的最佳做法
以下是在 SOAR 移轉之後應列入考量的最佳做法:
- 移轉劇本之後,請廣泛測試劇本,以確保移轉的動作如預期般運作。
- 定期檢閱您的自動化,以探索進一步簡化或增強 SOAR 的方式。 Microsoft Sentinel 會持續新增連接器和動作,以協助您進一步簡化或提升目前回應實作的有效性。
- 使用劇本狀況監控活頁簿來監視劇本的效能。
- 使用受控識別和服務主體:針對 Logic Apps 內的各種 Azure 服務進行驗證、將秘密儲存在 Azure 金鑰保存庫 中,並遮蔽流程執行輸出。 我們也建議您監視這些服務主體的活動。
下一步
在本文中,您已瞭解如何將SOAR自動化從Splunk對應至Microsoft Sentinel。