安全性資訊與事件管理 (SIEM) 和安全性作業中心 (SOC) 小組常會週期性地面臨大量安全性警示和事件,其數量之大,讓可用人力疲於應付。 在許多警示經常遭到忽略且不少事件未經調查的情況下,使得組織更容易面臨未察覺的攻擊。
Microsoft Sentinel 除了是 SIEM 系統之外,也是安全性協調流程、自動化和回應的平台 (SOAR)。 其主要用途之一是將安全性作業中心和人員 (SOC/SecOps) 負責的任何週期性、可預測的擴充、回應和補救工作自動化、釋出時間和資源,以進行更深入的調查,以及搜捕進階威脅。
本文描述 Microsoft Sentinel 的 SOAR 功能,並說明如何使用自動化規則和劇本來回應安全性威脅,進而提升 SOC 的有效性,並節省您的時間和資源。
重要
Microsoft Sentinel 已在 Microsoft Defender 遊戲安全中心入口網站中正式推出,適用於未擁有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
自動化規則
Microsoft Sentinel 會使用自動化規則,讓使用者從中央位置管理事件處理自動化。 使用自動化規則來:
建議您在建立或更新事件時套用自動化規則,以進一步簡化自動化,並簡化事件協調流程的複雜工作流程。
如需詳細資訊,請參閱 使用自動化規則自動Microsoft Sentinel 中的威脅回應。
劇本
劇本集合了回應和補救動作,以及可從 Microsoft Sentinel 當作常式執行的邏輯。 劇本可以:
- 協助協調並將威脅回應自動化
- 與其他系統整合,包括內部和外部
- 設定為自動執行以回應特定警示或事件,或視需要手動執行,例如回應新的警示
在Microsoft Sentinel 中,劇本是以 Azure Logic Apps 內建的工作流程為基礎,此雲端服務可協助您在整個企業中排程、自動化及協調整個系統的工作和工作流程。 這表示,劇本可以利用 Logic Apps 整合和協調流程功能的所有能力和可自訂性,以及易於使用的設計工具,還有第 1 層 Azure 服務的可擴縮性、可靠性和服務層級。
如需詳細資訊,請參閱 在 Microsoft sentinel 中使用劇本將威脅回應自動化。
Microsoft Defender 入口網站中的自動化
將Microsoft Sentinel 工作區上線至 Defender 入口網站之後,請注意工作區中自動化功能的方式有下列差異:
| 功能 | 描述 |
|---|---|
| 具有警示觸發程式的自動化規則 | 在 Defender 入口網站中,具有警示觸發程式的自動化規則僅適用於 sentinel 警示Microsoft。 如需詳細資訊,請參閱 警示建立觸發程式。 |
| 具有事件觸發器的自動化規則 | 在 Azure 入口網站和 Defender 入口網站中, 會移除事件提供者 條件屬性,因為所有事件 都Microsoft XDR 作為事件提供者( ProviderName 欄位中的值)。 此時,任何現有的自動化規則都會在Microsoft Sentinel 和 Microsoft Defender XDR 事件上執行,包括 事件提供者 條件設定為僅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 不過,指定特定分析規則名稱的自動化規則只會在包含指定分析規則所建立警示的事件上執行。 這表示您可以將 [分析規則名稱] 條件屬性定義為只存在於 Microsoft Sentinel 中的分析規則,以將您的規則限制為只在 Microsoft Sentinel 中執行。 如需詳細資訊,請參閱 事件觸發條件。 |
| 劇本觸發程式中的延遲 | Microsoft Defender 的事件可能最多需要 5 分鐘 才會出現在 Microsoft Sentinel 中。 如果存在此延遲,劇本觸發也會延遲。 |
| 現有事件名稱的變更 | Defender 入口網站會使用唯一引擎來將事件和警示相互關聯。 將工作區上線至 Defender 入口網站時,如果套用相互關聯,可能會變更現有的事件名稱。 為了確保自動化規則一律正確執行,因此建議您避免在自動化規則中使用事件標題做為條件準則,並建議改用任何建立事件內含警示的分析規則名稱,以及如果需要更具體性的標記。 |
| 依欄位更新 | 如需詳細資訊,請參閱 事件更新觸發程式。 |
| 新增事件工作的自動化規則 | 如果自動化規則新增事件工作,則工作只會顯示在 Azure 入口網站中。 |
| 直接從事件建立自動化規則 | 只有在 Azure 入口網站中才支援直接從事件建立自動化規則。 如果您是在 Defender 入口網站中工作,請從 [自動化] 頁面從頭開始建立 您的自動化 規則。 |
| Microsoft事件建立規則 | 在 Defender 入口網站中不支援Microsoft事件建立規則。 如需詳細資訊,請參閱 Microsoft Defender XDR 事件和Microsoft事件建立規則。 |
| 從 Defender 入口網站執行自動化規則 | 最多可能需要 10 分鐘的時間,觸發才會警示,並且當執行自動化規則時,在 Defender 入口網站中建立或更新事件。 這個時間延遲是因為事件是在 Defender 入口網站中建立,然後轉送至 Microsoft Defender 進行自動化規則。 |
| [使用中的劇本] 索引標籤 | 上線至 Defender 入口網站後,預設情況下,[ 作用中劇本] 索引標籤 會顯示一個預定義的篩選器,包含已上線工作區的訂閱。 在 Azure 入口網站中,使用訂用帳戶篩選來新增其他訂用帳戶的資料。 如需詳細資訊,請參閱 從範本建立及自訂 Microsoft Sentinel 劇本。 |
| 視需要手動執行劇本 | Defender 入口網站目前不支援下列程式: |
| 在事件上執行劇本需要Microsoft Sentinel 同步處理 | 如果您嘗試從 Defender 入口網站對事件執行劇本,並看到訊息「無法存取與此動作相關的數據。請在幾分鐘內重新整理畫面。」這表示事件尚未同步至 Microsoft Sentinel。 在事件同步處理之後重新整理事件頁面,以順利執行劇本。 |
|
事件:將警示新增至事件 / 從事件中移除警示 |
由於將工作區上線至 Defender 入口網站之後,不支援將警示新增至或從事件中移除警示,因此劇本中也不支援這些動作。 如需詳細資訊,請參閱 瞭解在 Defender 入口網站中,警示如何相互關聯並合併事件。 |
| Microsoft多個工作區中的 Defender XDR 整合 | 如果您已將 XDR 數據整合到單一租戶中的多個工作區,則數據現在只會匯入到 Defender 介面中的主要工作區。 將自動化規則傳送至相關的工作區,使其保持執行。 |
| 自動化和相互關聯引擎 | 相互關聯引擎可以將多個訊號的警示合併成單一事件,這可能會導致自動化接收您未預期的數據。 建議您檢閱自動化規則,以確保您看到預期的結果。 |