將 ArcSight SOAR 自動化移轉到 Microsoft Sentinel
Microsoft Sentinel 提供安全性協調流程、自動化和回應 (SOAR) 功能,以及自動化規則和劇本。 自動化規則可將事件處理和回應自動化,而劇本可執行預先決定的動作序列來回應和補救威脅。 本文討論如何識別 SOAR 使用案例,以及如何將您的 ArcSight SOAR 自動化移轉到 Microsoft Sentinel。
自動化規則可簡化您事件協調流程的複雜工作流程,並可讓您集中管理事件處理自動化。
使用自動化規則,您可以:
- 執行簡單的自動化工作,而不需要使用劇本。 例如,您可以指派、標記事件、變更狀態,以及關閉事件。
- 一次將多個分析規則的回應自動化。
- 控制執行的動作順序。
- 執行劇本來處理需要更複雜自動化工作的情況。
識別 SOAR 使用案例
以下是從 ArcSight 移轉 SOAR 使用案例時所需考慮的事項。
- 使用案例品質。 選擇適合自動化的使用案例。 使用案例應該以明確定義的程序為依據,並具有最少的變化和低誤判率。 自動化應該使用有效率的使用案例。
- 手動操作。 自動化回應可能會有廣泛的影響,而高影響力的自動化應該具有人為輸入,以便在採取高影響力的動作之前先行確認。
- 二元準則。 為了提高回應成功率,自動化工作流程內的決策點應該盡可能受限,並採用二元準則。 二元準則可減少人為介入的需求,並增強結果可預測性。
- 精確的警示或資料。 回應動作取決於訊號的精確度,例如警示。 警示和擴充來源應該要是可靠的。 Microsoft Sentinel 資源 (例如關注清單和可靠的威脅情報) 可以增強可靠性。
- 分析師角色。 雖然盡可能執行自動化是件好事,但請將更複雜的工作保留給分析師,並讓他們有機會在需要驗證的工作流程中進行輸入。 簡單來說,回應自動化應該增強和擴充分析師的能力。
移轉 SOAR 工作流程
本節說明 ArcSight 中的重要 SOAR 概念如何轉換為 Microsoft Sentinel 元件,並提供如何移轉 SOAR 工作流程中每個步驟或元件的一般指導方針。
| 步驟 (圖表中) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | 將事件內嵌於 Enterprise Security Manager (ESM),並觸發相互關聯事件。 | 將事件內嵌於 Log Analytics 工作區。 |
| 2 | 自動篩選警示以建立案例。 | 使用分析規則來觸發警示。 使用自訂詳細資料功能來擴充警示,以建立動態事件名稱。 |
| 3 | 分類案例。 | 使用自動化規則。 使用自動化規則時,Microsoft Sentinel 會根據觸發事件的分析規則,以及符合已定義準則的事件屬性來處理事件。 |
| 4 | 合併案例。 | 您可以使用警示群組功能,根據相符的實體、警示詳細資料或建立時間範圍等屬性,將數個警示合併到單一事件。 |
| 5 | 分派案例。 | 利用 Microsoft Teams、Azure Logic Apps 和 Microsoft Sentinel 自動化規則之間的整合,將事件指派給特定分析師。 |
對應 SOAR 元件
檢閱哪些 Microsoft Sentinel 或 Azure Logic Apps 功能會對應到主要 ArcSight SOAR 元件。
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 觸發程序 | 觸發程序 |
| 自動化位元 | Azure 函式連接器 |
| 動作 | 動作 |
| 排程劇本 | 由定期觸發程序起始的劇本 |
| 工作流程劇本 | 由 Microsoft Sentinel 警示或事件觸發程序自動起始的劇本 |
| 市場平台 | • [自動化] > [範本] 索引標籤 • 內容中樞目錄 • GitHub |
讓劇本和自動化規則在 Microsoft Sentinel 中運作
您搭配 Microsoft Sentinel 使用的大多數劇本都可以在 [自動化] > [範本] 索引標籤、內容中樞目錄或 GitHub 中取得。 不過,在某些情況下,您可能需要從頭開始或從現有的範本建立劇本。
您通常會使用 Azure 邏輯應用程式設計工具功能來建置自訂邏輯應用程式。 邏輯應用程式程式碼是以 Azure Resource Manager (ARM) 範本為依據,可跨多個環境開發、部署和移植 Azure Logic Apps。 若要將自訂劇本轉換成可攜式 ARM 範本,您可以使用 ARM 範本產生器。
如果您需要從頭開始或從現有的範本建置自己的劇本,請利用下列資源。
- 將 Microsoft Sentinel 中的事件處理自動化
- 使用 Microsoft Sentinel 中的劇本將威脅回應自動化
- 教學課程:在 Microsoft Sentinel 中搭配自動化規則使用劇本
- 如何使用 Microsoft Sentinel 進行事件回應、協調流程和自動化
- 以調適型卡片增強 Microsoft Sentinel 中的事件回應
SOAR 移轉後的最佳做法
以下是在 SOAR 移轉之後應列入考量的最佳做法:
- 移轉劇本之後,請廣泛測試劇本,以確保移轉的動作如預期般運作。
- 定期檢閱您的自動化,以探索進一步簡化或增強 SOAR 的方式。 Microsoft Sentinel 會持續新增連接器和動作,以協助您進一步簡化或提升目前回應實作的有效性。
- 使用劇本狀況監控活頁簿來監視劇本的效能。
- 使用受控識別和服務主體:對 Logic Apps 內的各種 Azure 服務進行驗證、將祕密儲存在 Azure Key Vault 中,並遮蔽流程執行的輸出。 我們也建議您監視這些服務主體的活動。
下一步
在本文中,您已了解如何將 SOAR 自動化從 ArcSight 對應到 Microsoft Sentinel。