將 Splunk SOAR 自動化移轉到 Microsoft Sentinel
Microsoft Sentinel 提供安全性協調流程、自動化和回應 (SOAR) 功能,以及自動化規則和劇本。 自動化規則可將事件處理和回應自動化,而劇本可執行預先決定的動作序列來回應和補救威脅。 本文討論如何識別 SOAR 使用案例,以及如何將您的 Splunk SOAR 自動化移轉到 Microsoft Sentinel。
自動化規則可簡化您事件協調流程的複雜工作流程,並可讓您集中管理事件處理自動化。
使用自動化規則,您可以:
- 執行簡單的自動化工作,而不需要使用劇本。 例如,您可以指派、標記事件、變更狀態,以及關閉事件。
- 一次將多個分析規則的回應自動化。
- 控制執行的動作順序。
- 執行劇本來處理需要更複雜自動化工作的情況。
識別 SOAR 使用案例
以下是從 Splunk 移轉 SOAR 使用案例時所需考慮的事項。
- 使用案例品質。 選擇適合自動化的使用案例。 使用案例應該以明確定義的程序為依據,並具有最少的變化和低誤判率。 自動化應該使用有效率的使用案例。
- 手動操作。 自動化回應可能會有廣泛的影響,而高影響力的自動化應該具有人為輸入,以便在採取高影響力的動作之前先行確認。
- 二元準則。 為了提高回應成功率,自動化工作流程內的決策點應該盡可能受限,並採用二元準則。 二元準則可減少人為介入的需求,並增強結果可預測性。
- 精確的警示或資料。 回應動作取決於訊號的精確度,例如警示。 警示和擴充來源應該要是可靠的。 Microsoft Sentinel 資源 (例如關注清單和可靠的威脅情報) 可以增強可靠性。
- 分析師角色。 雖然盡可能執行自動化是件好事,但請將更複雜的工作保留給分析師,並讓他們有機會在需要驗證的工作流程中進行輸入。 簡單來說,回應自動化應該增強和擴充分析師的能力。
移轉 SOAR 工作流程
本節說明重要 Splunk SOAR 概念如何轉換為 Microsoft Sentinel 元件,並提供如何移轉 SOAR 工作流程中每個步驟或元件的一般指導方針。
| 步驟 (圖表中) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | 將事件內嵌至主要索引。 | 將事件內嵌於 Log Analytics 工作區。 |
| 2 | 建立容器。 | 使用自訂詳細資料功能標記事件。 |
| 3 | 建立案例。 | Microsoft Sentinel 可以根據使用者定義的準則自動分組事件,例如共用實體或嚴重性。 然後這些警示會產生事件。 |
| 4 | 建立劇本。 | Azure Logic Apps 會使用數個連接器,跨 Microsoft Sentinel、Azure、協力廠商和混合式雲端環境來協調活動。 |
| 4 | 建立活頁簿。 | Microsoft Sentinel 可以單獨執行劇本,也可以做為已排序自動化規則的一部分來執行劇本。 您也可以根據預先定義的安全性作業中心 (SOC) 程序,針對警示或事件手動執行劇本。 |
對應 SOAR 元件
檢閱哪些 Microsoft Sentinel 或 Azure Logic Apps 功能會對應到主要 Splunk SOAR 元件。
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 劇本編輯器 | 邏輯應用程式設計工具 |
| 觸發程序 | 觸發程序 |
| • 連接器 • 應用程式 • 自動化訊息代理程式 |
• 連接器 • 混合式 Runbook 背景工作角色 |
| 動作區塊 | 動作 |
| 連線訊息代理程式 | Hybrid Runbook Worker |
| 社群 | • [自動化] > [範本] 索引標籤 • 內容中樞目錄 • GitHub |
| 決策 | 條件式控制項 |
| 程式碼 | Azure 函式連接器 |
| Prompt | 傳送核准電子郵件 |
| 格式 | 資料作業 |
| 輸入劇本 | 從先前執行的步驟或明確宣告的變數中,獲得變數輸入 |
| 使用公用程式區塊 API 公用程式設定參數 | 使用 API 管理事件 |
讓劇本和自動化規則在 Microsoft Sentinel 中運作
您搭配 Microsoft Sentinel 使用的大多數劇本都可以在 [自動化] > [範本] 索引標籤、內容中樞目錄或 GitHub 中取得。 不過,在某些情況下,您可能需要從頭開始或從現有的範本建立劇本。
您通常會使用 Azure 邏輯應用程式設計工具功能來建置自訂邏輯應用程式。 邏輯應用程式程式碼是以 Azure Resource Manager (ARM) 範本為依據,可跨多個環境開發、部署和移植 Azure Logic Apps。 若要將自訂劇本轉換成可攜式 ARM 範本,您可以使用 ARM 範本產生器。
如果您需要從頭開始或從現有的範本建置自己的劇本,請利用下列資源。
- 將 Microsoft Sentinel 中的事件處理自動化
- 使用 Microsoft Sentinel 中的劇本將威脅回應自動化
- 教學課程:在 Microsoft Sentinel 中使用劇本搭配自動化規則
- 如何使用 Microsoft Sentinel 進行事件回應、協調流程和自動化
- 以調適型卡片增強 Microsoft Sentinel 中的事件回應
SOAR 移轉後的最佳做法
以下是在 SOAR 移轉之後應列入考量的最佳做法:
- 移轉劇本之後,請廣泛測試劇本,以確保移轉的動作如預期般運作。
- 定期檢閱您的自動化,以探索進一步簡化或增強 SOAR 的方式。 Microsoft Sentinel 會持續新增連接器和動作,以協助您進一步簡化或提升目前回應實作的有效性。
- 使用劇本狀況監控活頁簿來監視劇本的效能。
- 使用受控識別和服務主體:對 Logic Apps 內的各種 Azure 服務進行驗證、將祕密儲存在 Azure Key Vault 中,並遮蔽流程執行輸出。 我們也建議您監視這些服務主體的活動。
後續步驟
在本文中,您已了解如何將 SOAR 自動化從 Splunk 對應到 Microsoft Sentinel。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應