Microsoft Sentinel 中的自動化:安全性協調流程、自動化和回應 (SOAR)
安全性資訊與事件管理 (SIEM) 和安全性作業中心 (SOC) 小組常會週期性地面臨大量安全性警示和事件,其數量之大,讓可用人力疲於應付。 在許多警示經常遭到忽略且不少事件未經調查的情況下,使得組織更容易面臨未察覺的攻擊。
Microsoft Sentinel 除了是 SIEM 系統之外,也是安全性協調流程、自動化和回應的平台 (SOAR)。 其主要用途之一是將安全性作業中心和人員 (SOC/SecOps) 負責的任何週期性、可預測的擴充、回應和補救工作自動化、釋出時間和資源,以進行更深入的調查,以及搜捕進階威脅。
本文描述 Microsoft Sentinel 的 SOAR 功能,並說明如何使用自動化規則和劇本來回應安全性威脅,進而提升 SOC 的有效性,並節省您的時間和資源。
重要
Microsoft Sentinel 現在通常可在 Microsoft Defender 入口網站的 Microsoft 整合安全性作業平台中使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
自動化規則
Microsoft Sentinel 會使用自動化規則,讓使用者從中央位置管理事件處理自動化。 使用自動化規則來:
建議您在建立或更新事件時套用自動化規則,以進一步簡化自動化,並簡化事件協調流程的複雜工作流程。
如需詳細資訊,請參閱使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化。
劇本
劇本集合了回應和補救動作,以及可從 Microsoft Sentinel 當作常式執行的邏輯。 劇本可以:
- 協助協調並將威脅回應自動化
- 與其他系統整合,包括內部和外部
- 設定為自動執行以回應特定警示或事件,或視需要手動執行,例如回應新的警示
在 Microsoft Sentinel 中,劇本會以 Azure Logic Apps 內建的工作流程為基礎,這是一種雲端服務,可協助您跨整個企業的系統排程、自動化,以及協調工作和工作流程。 這表示,劇本可以利用 Logic Apps 整合和協調流程功能的所有能力和可自訂性,以及易於使用的設計工具,還有第 1 層 Azure 服務的可擴縮性、可靠性和服務層級。
如需詳細資訊,請參閱使用 Microsoft Sentinel 中的劇本將威脅回應自動化。
使用整合安全性作業平台進行自動化
將 Microsoft Sentinel 工作區上線至整合安全性作業平台之後,請注意工作區中自動化功能的方式有下列差異:
功能 | 描述 |
---|---|
具有警示觸發程序的自動化規則 | 在整合安全性作業平台中,具有警示觸發程序的自動化規則只會對 Microsoft Sentinel 警示採取動作。 如需詳細資訊,請參閱警示建立觸發程序。 |
具有事件觸發程序的自動化規則 | 在 Azure 入口網站和整合安全性作業平台中,會移除 [事件提供者] 條件屬性,因為所有事件皆有 Microsoft Defender 全面偵測回應 做為事件提供者 (ProviderName 欄位中的值)。 此時,任何現有的自動化規則都會在 Microsoft sentinel 和 Microsoft Defender 全面偵測回應事件上執行,包括 [事件提供者] 條件設定為僅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 不過,指定特定分析規則名稱的自動化規則只會在指定分析規則所建立的事件上執行。 這表示您可以將 [分析規則名稱] 條件屬性定義為只存在於 Microsoft Sentinel 中的分析規則,以將您的規則限制為只在 Microsoft Sentinel 中執行。 如需詳細資訊,請參閱事件觸發條件。 |
變更現有事件的名稱 | 在統一 SOC 作業平台中,Defender 入口網站會使用唯一的引擎來將事件和警示相互關聯。 將工作區上線至統一 SOC 作業平台時,如果套用了相互關聯,可能會變更現有的事件名稱。 若要確保自動化規則一律正確執行,因此建議您避免使用事件標題作為自動化規則中的條件準則,並建議改用已建立事件的分析規則名稱,並在需要更具體時使用標記。 |
[更新者] 欄位 | 如需詳細資訊,請參閱事件更新觸發程序。 |
新增事件工作的自動化規則 | 如果自動化規則新增事件工作,則工作只會顯示在 Azure 入口網站中。 |
Microsoft 事件建立規則 | 整合安全性作業平台不支援 Microsoft 事件建立規則。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應事件和 Microsoft 事件建立規則。 |
從 Defender 入口網站執行自動化規則 | 最多可能需要 10 分鐘的時間,觸發才會警示,並且當執行自動化規則時,在 Defender 入口網站中建立或更新事件。 這個時間延遲是因為事件是在 Defender 入口網站中建立,然後轉送至 Microsoft Defender 進行自動化規則。 |
[使用中的劇本] 索引標籤 | 上線至整合安全性作業平台之後,根據預設,[作用中劇本] 索引標籤會顯示預先定義的篩選,其中包含已上線工作區的訂用帳戶。 在 Azure 入口網站中,使用訂用帳戶篩選來新增其他訂用帳戶的資料。 如需詳細資訊,請參閱從內容範本建立及自訂 Microsoft Sentinel 劇本。 |
視需要手動執行劇本 | 整合安全性作業平台目前不支援下列程序: |
在事件上執行劇本需要 Microsoft Sentinel 同步處理 | 如果您嘗試從整合安全性作業平台在事件上執行劇本,並看到「無法存取與此動作相關的資料。在幾分鐘內重新整理畫面。」訊息,這表示事件尚未同步處理至 Microsoft Sentinel。 在事件同步處理之後重新整理事件頁面,以順利執行劇本。 |
事件:將警示新增至事件 / 從事件中移除警示 |
將工作區上線至統一安全性作業平台之後,由於不支援將警示新增至事件或從事件中移除,因此劇本內也不支援這些動作。 如需詳細資訊,請參閱 入口網站之間的功能差異。 |