使用 Microsoft Sentinel 中的劇本將威脅回應自動化
SOC 分析師會處理許多安全性警示和事件,單單是警示的量就足以讓小組不知所措,導致警示被忽略和事件未受調查。 許多警示和事件都可以由同一組預先定義的補救動作來解決,這些動作可以自動化,讓 SOC 更有效率,並讓分析師有時間進行更深入的調查。
使用 Microsoft Sentinel 劇本來執行預先設定的補救動作集,以協助 自動化並協調您的威脅回應。 自動執行劇本,以回應會觸發已設定 自動化規則 的特定警示和事件,或針對特定實體或警示手動和隨選執行劇本。
例如,如果帳戶和機器遭到入侵,劇本可以在 SOC 小組收到事件通知時自動隔離電腦與網路,並封鎖帳戶。
注意
由於劇本會使用 Azure Logic Apps,因此可能會產生額外費用。 請造訪 Azure Logic Apps 價格分頁以取得詳細資料。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
建議使用案例
下表列出我們建議使用 Microsoft Sentinel 劇本將威脅回應自動化的高階使用案例:
| 使用案例 | 描述 |
|---|---|
| 擴充 | 收集資料並附加至事件,以協助小組做出更明智的決策。 |
| 雙向同步處理 | 與其他票證系統同步處理 Microsoft Sentinel 事件。 例如,為所有事件建立建立自動化規則,並附加在 ServiceNow 中開啟票證的劇本。 |
| 協調流程 | 使用 SOC 小組的聊天平台,更妥善地控制事件佇列。 例如,將訊息傳送至 Microsoft Teams 或 Slack 中的安全性作業頻道,以確保您的安全性分析師知道該事件。 |
| 回應 | 以盡量不依賴人類的方式立即回應威脅,例如指出使用者或機器遭入侵時。 或者,在調查期間或在搜捕期間手動觸發一系列的自動化步驟。 |
如需詳細資訊,請參閱 建議的劇本使用案例、範本和範例。
必要條件
使用 Azure Logic Apps 在 Microsoft Sentinel 中建立及執行劇本需要下列角色。
| 角色 | 描述 |
|---|---|
| 負責人 | 可讓您授與資源群組中劇本的存取權。 |
| Microsoft Sentinel 參與者 | 可讓您將劇本附加至分析或自動化規則。 |
| Microsoft Sentinel 回應程式 | 可讓您存取事件,以便手動執行劇本,但不允許執行劇本。 |
| Microsoft Sentinel 劇本操作員 | 可讓您手動執行劇本。 |
| Microsoft Sentinel 自動化參與者 | 允許自動化規則執行劇本。 此角色不會用於任何其他用途。 |
下表根據您選取取用或標準邏輯應用程式來建立劇本,說明必要的角色:
| 邏輯應用程式 | Azure 角色 | 描述 |
|---|---|---|
| 耗用 | 邏輯應用程式參與者 | 編輯和管理邏輯應用程式。 執行劇本。 不允許您將存取權授與劇本。 |
| 耗用 | 邏輯應用程式操作員 | 讀取、啟用和停用邏輯應用程式。 不允許編輯或更新邏輯應用程式。 |
| 標準 | Logic Apps 標準運算元 | 在邏輯應用程式中啟用、重新提交和停用工作流程。 |
| 標準 | Logic Apps 標準開發人員 | 建立和編輯邏輯應用程式。 |
| 標準 | Logic Apps 標準參與者 | 管理邏輯應用程式的所有層面。 |
[自動化] 頁面上的 [作用中劇本] 索引卷標會顯示任何所選訂用帳戶中可用的所有作用中劇本。 根據預設,劇本只能在其所屬的訂用帳戶內使用,除非您特別將 Microsoft Sentinel 權限授與劇本的資源群組。
Microsoft Sentinel 執行劇本所需的額外權限
Microsoft Sentinel 會使用服務帳戶對事件執行劇本,以增加安全性,並啟用自動化規則 API 以支援 CI/CD 使用案例。 此服務帳戶會用於事件觸發的劇本,或在您對特定事件手動執行劇本時使用。
除了您自己的角色和權限外,此 Microsoft Sentinel 服務帳戶還必須以 Microsoft Sentinel 自動化參與者角色的形式,擁有劇本所在資源群組的一組自有權限。 Microsoft Sentinel 具有此角色之後,便能以手動方式或透過自動化規則在相關的資源群組中執行任何劇本。
若要向 Microsoft Sentinel 授與所需的權限,您必須擁有擁有者或使用者存取系統管理員角色。 若要執行劇本,您還需要有要執行的劇本所在資源群組的邏輯應用程式參與者角色。
劇本範本 (預覽)
重要
劇本範本目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
劇本範本是預先建置、測試和現成使用的工作流程,這些工作流程無法作為劇本本身使用,但已準備好讓您自訂以符合您的需求。 我們也建議您在開發劇本時,使用劇本範本作為最佳做法的參考,或作為新自動化案例的靈感。
從下列來源存取劇本範本:
| Location | 描述 |
|---|---|
| Microsoft Sentinel 自動化頁面 | [劇本範本] 索引標籤會列出所有已安裝的劇本。 使用相同的範本建立一或多個使用中的劇本。 當我們發佈新版本的範本時,從該範本建立的任何使用中劇本會在 [使用中劇本] 索引標籤中新增額外的標籤,以指出有可用的更新。 |
| [Microsoft Sentinel 內容] 中樞頁面 | 劇本範本是產品解決方案或從 內容中樞 安裝的獨立內容的一部分。 如需詳細資訊,請參閱: 關於 Microsoft Sentinel 內容和解決方案 探索及管理 Microsoft Sentinel 現用內容 |
| GitHub | Microsoft Sentinel GitHub 存放庫 包含許多其他劇本範本。 選取 [部署至 Azure],將範本部署至您的 Azure 訂用帳戶。 |
技術上來說,劇本範本是 Azure Resource Manager (ARM) 範本,其中包含數個資源:所涉及每個連線的 Azure Logic Apps 工作流程和 API 連線。
如需詳細資訊,請參閱
劇本建立和使用工作流程
使用下列工作流程來建立及執行 Microsoft Sentinel 劇本:
如果您未使用範本,請建立劇本並建置邏輯應用程式。 如需詳細資訊,請參閱建立和管理 Microsoft Sentinel 劇本 (部分機器翻譯)。
手動執行邏輯應用程式來測試邏輯應用程式。 如需詳細資訊,請參閱 視需要手動執行劇本。
將您的劇本設定為在新警示或事件建立時自動執行,或視需要手動執行。 如需詳細資訊,請參閱 使用 Microsoft Sentinel 劇本回應威脅。