Automatizace v Microsoft Sentinelu: Orchestrace zabezpečení, automatizace a reakce (SOAR)

Týmy siEM (Security Information and Event Management) a security operations center (SOC) jsou obvykle zahlcené výstrahami zabezpečení a incidenty pravidelně, a to v objemech tak velké, že jsou k dispozici pracovníci zahlceni. Výsledkem je to příliš často v situacích, kdy se ignoruje mnoho výstrah a mnoho incidentů se nevyšetří, takže organizace bude zranitelná vůči útokům, které nejsou nepozorované.

Microsoft Sentinel je kromě systému SIEM také platformou pro orchestraci zabezpečení, automatizaci a reakci (SOAR). Jedním z jeho primárních účelů je automatizovat opakované a předvídatelné rozšiřování, reakce a nápravné úlohy, které jsou zodpovědností vašeho centra pro provoz zabezpečení a pracovníků (SOC/SecOps), uvolnění času a prostředků pro podrobnější zkoumání a proaktivní vyhledávání pokročilých hrozeb.

Tento článek popisuje možnosti SOAR služby Microsoft Sentinel a ukazuje, jak použití pravidel automatizace a playbooků v reakci na bezpečnostní hrozby zvyšuje efektivitu SOC a šetří vám čas a prostředky.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Pravidla automatizace

Microsoft Sentinel používá pravidla automatizace, která uživatelům umožňují spravovat automatizaci zpracování incidentů z centrálního umístění. Pomocí pravidel automatizace můžete:

  • Přiřazení pokročilejší automatizace k incidentům a výstrahám pomocí playbooků
  • Automatické označování, přiřazování nebo zavírání incidentů bez playbooku
  • Automatizace odpovědí pro více analytických pravidel najednou
  • Vytvoření seznamů úkolů pro analytiky, které mají provádět při třídění, vyšetřování a opravách incidentů
  • Řízení pořadí spuštěných akcí

Doporučujeme, abyste při vytváření nebo aktualizaci incidentů použili pravidla automatizace, abyste mohli automatizaci dále zjednodušit a zjednodušit složité pracovní postupy pro procesy orchestrace incidentů.

Další informace najdete v tématu Automatizace reakcí na hrozby v Microsoft Sentinelu pomocí pravidel automatizace.

Playbooky

Playbook je kolekce akcí odpovědí a nápravných akcí a logiky, které je možné spouštět z Microsoft Sentinelu jako rutinu. Playbook může:

  • Pomoc s automatizací a orchestracem reakce na hrozby
  • Integrace s jinými systémy, interními i externími
  • Můžete nakonfigurovat automatické spouštění v reakci na konkrétní výstrahy nebo incidenty nebo ručně na vyžádání, například v reakci na nová upozornění.

V Microsoft Sentinelu jsou playbooky založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která pomáhá plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. To znamená, že playbooky můžou využívat všechny možnosti a možnosti přizpůsobení integrace a orchestrace Logic Apps a snadno použitelné nástroje pro návrh a škálovatelnost, spolehlivost a úroveň služeb služby Azure vrstvy 1.

Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.

Automatizace s využitím sjednocené provozní platformy zabezpečení

Po onboardingu pracovního prostoru Microsoft Sentinelu na sjednocenou platformu operací zabezpečení si všimněte následujících rozdílů ve způsobu, jakým funkce automatizace v pracovním prostoru fungují:

Funkce Popis
Pravidla automatizace s triggery upozornění V rámci sjednocené provozní platformy zabezpečení fungují pravidla automatizace s triggery upozornění pouze na výstrahy Služby Microsoft Sentinel.

Další informace najdete v tématu Aktivační událost vytvoření výstrahy.
Pravidla automatizace s triggery incidentů Na webu Azure Portal i na sjednocené platformě operací zabezpečení se odebere vlastnost podmínky zprostředkovatele incidentu, protože všechny incidenty mají jako zprostředkovatele incidentu XDR v programu Microsoft Defender (hodnota v poli ProviderName ).

V tomto okamžiku se všechna existující pravidla automatizace spouští u incidentů Microsoft Sentinelu i XDR v programu Microsoft Defender, včetně těch, ve kterých je podmínka poskytovatele incidentu nastavená jenom na Microsoft Sentinel nebo Microsoft 365 Defender.

Pravidla automatizace, která určují konkrétní název analytického pravidla, se však spouští pouze u incidentů, které obsahují výstrahy vytvořené zadaným analytickým pravidlem. To znamená, že vlastnost podmínky názvu analytického pravidla můžete definovat na analytické pravidlo, které existuje pouze v Microsoft Sentinelu, aby se vaše pravidlo omezilo na incidenty pouze v Microsoft Sentinelu.

Další informace najdete v tématu Podmínky triggeru incidentu.
Změny existujících názvů incidentů Na sjednocené provozní platformě SOC používá portál Defender jedinečný modul ke korelaci incidentů a výstrah. Při onboardingu pracovního prostoru do sjednocené provozní platformy SOC se můžou při použití korelace změnit existující názvy incidentů. Pokud chcete zajistit, aby pravidla automatizace vždy fungovala správně, doporučujeme proto, abyste v pravidlech automatizace nepoužíli názvy incidentů jako kritéria podmínek, a doporučujeme místo toho použít název libovolného analytického pravidla, které vytvořilo výstrahy zahrnuté v incidentu, a značky, pokud se vyžaduje konkrétnější.
Aktualizováno podle pole
  • Po onboardingu pracovního prostoru obsahuje pole Aktualizováno novou sadu podporovaných hodnot, které už nezahrnují Microsoft 365 Defender. V existujících pravidlech automatizace se Microsoft 365 Defender nahradí hodnotou Jiné po připojení pracovního prostoru.

  • Pokud se ve stejném incidentu v 5 až 10minutovém období provede několik změn, odešle se do Microsoft Sentinelu jedna aktualizace s pouze poslední změnou.

    Další informace najdete v tématu Aktivační událost aktualizace incidentu.
  • Pravidla automatizace, která přidávají úlohy incidentů Pokud pravidlo automatizace přidá úlohu incidentu, úloha se zobrazí jenom na webu Azure Portal.
    Pravidla vytváření incidentů Microsoftu Pravidla vytváření incidentů Microsoftu nejsou podporována na sjednocené platformě operací zabezpečení.

    Další informace najdete v tématu Incidenty XDR v programu Microsoft Defender a pravidla vytváření incidentů Microsoftu.
    Spouštění pravidel automatizace z portálu Defender Spuštění pravidla automatizace může trvat až 10 minut od aktivace výstrahy a vytvoření nebo aktualizace incidentu na portálu Defender. Tato prodleva je způsobená tím, že se incident vytvoří na portálu Defender a pak se předá službě Microsoft Sentinel pro pravidlo automatizace.
    Karta Aktivní playbooky Po onboardingu na sjednocenou platformu operací zabezpečení se ve výchozím nastavení na kartě Aktivní playbooky zobrazí předdefinovaný filtr s předdefinovaným předplatným pracovního prostoru. Na webu Azure Portal přidejte data pro jiná předplatná pomocí filtru předplatného.

    Další informace najdete v tématu Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu.
    Ruční spouštění playbooků na vyžádání V současné době nejsou v jednotné platformě operací zabezpečení podporovány následující postupy:
  • Ruční spuštění playbooku u výstrahy
  • Ruční spuštění playbooku u entity
  • Spouštění playbooků v incidentech vyžaduje synchronizaci Microsoft Sentinelu. Pokud se pokusíte spustit playbook na incidentu z sjednocené provozní platformy zabezpečení a zobrazí se zpráva "Nejde získat přístup k datům souvisejícím s touto akcí. Aktualizujte obrazovku za několik minut.". to znamená, že incident ještě není synchronizovaný s Microsoft Sentinelem.

    Aktualizujte stránku incidentu po synchronizaci incidentu, aby se playbook úspěšně spustil.
    Incidenty: Přidání výstrah do incidentů /
    Odebrání výstrah z incidentů
    Vzhledem k tomu, že přidání výstrah do incidentů nebo jejich odebrání není podporováno po připojení pracovního prostoru k jednotné platformě operací zabezpečení, tyto akce se také v playbookech nepodporují. Další informace najdete v tématu Rozdíly mezi možnostmi mezi portály.