Upravit

Sdílet prostřednictvím

Automatizované odpovědi microsoft Sentinelu

Microsoft Sentinel
Microsoft Entra ID
Azure Logic Apps

Nápady na řešení

Tento článek popisuje myšlenku řešení. Váš cloudový architekt může pomocí těchto pokynů vizualizovat hlavní komponenty pro typickou implementaci této architektury. Tento článek slouží jako výchozí bod k návrhu dobře navrženého řešení, které odpovídá konkrétním požadavkům vaší úlohy.

Microsoft Sentinel je škálovatelné cloudové řešení pro správu bezpečnostních informací a událostí (SIEM) a orchestraci zabezpečení, automatizaci a reakci (SOAR). Nabízí inteligentní analýzy zabezpečení pro organizace všech velikostí a poskytuje následující možnosti a další možnosti:

  • Detekce obchodních útoků
  • Proaktivní proaktivní proa
  • Automatická reakce na incidenty

Reakce na hrozby v Microsoft Sentinelu se spravuje prostřednictvím playbooků. Při aktivaci výstrahou nebo incidentem playbook spustí řadu automatizovaných akcí, které proti hrozbě pomůžou. Tyto playbooky vytvoříte pomocí Azure Logic Apps.

Microsoft Sentinel poskytuje stovky playbooků připravených k použití, včetně playbooků pro následující scénáře:

  • Blokování uživatele Microsoft Entra
  • Blokování uživatele Microsoft Entra na základě zamítnutí prostřednictvím e-mailu
  • Publikování zprávy v kanálu Microsoft Teams o incidentu nebo upozornění
  • Publikování zprávy ve Slacku
  • Odeslání e-mailu s podrobnostmi o incidentu nebo upozornění
  • Odeslání e-mailu s formátovanou sestavou incidentu
  • Určení, zda je ohrožen uživatel Microsoft Entra
  • Odeslání adaptivní karty přes Microsoft Teams za účelem zjištění, jestli je uživatel ohrožen
  • Izolování koncového bodu přes Microsoft Defender for Endpoint

Tento článek obsahuje příklad implementace playbooku, který reaguje na hrozbu tím, že blokuje uživatele Microsoft Entra ohroženou podezřelou aktivitou.

Případ potenciálního použití

Techniky popsané v tomto článku platí vždy, když potřebujete implementovat automatickou odpověď na zjistitelnou podmínku.

Architektura

Architektura Microsoft Sentinelu využívající playbooky

Stáhněte si soubor Visia této architektury.

Workflow

Tento pracovní postup ukazuje kroky nasazení playbooku. Před zahájením se ujistěte, že jsou splněné požadavky. Musíte například zvolit uživatele Microsoft Entra.

  1. Postupujte podle kroků v části Odesílání protokolů do služby Azure Monitor a nakonfigurujte ID Microsoft Entra tak, aby se protokoly auditu odesílaly do pracovního prostoru služby Log Analytics, který se používá se službou Microsoft Sentinel.

    Poznámka:

    Toto řešení nepoužívá protokoly auditu, ale můžete je použít k prozkoumání toho, co se stane, když je uživatel zablokovaný.

  2. Microsoft Entra ID Protection generuje výstrahy, které aktivují playbook reakce na hrozby ke spuštění. Pokud chcete, aby Služba Microsoft Sentinel shromažďuje výstrahy, přejděte na instanci Microsoft Sentinelu a vyberte Datové konektory. Vyhledejte Microsoft Entra ID Protection a povolte shromažďování výstrah. Další informace o službě Identity Protection najdete v tématu Co je Identity Protection?

  3. Nainstalujte prohlížeč ToR na počítač nebo virtuální počítač, který můžete použít bez ohrožení zabezpečení IT.

  4. Pomocí prohlížeče Tor se přihlaste anonymně k mým aplikacím jako uživatel, kterého jste vybrali pro toto řešení. Pokyny k použití prohlížeče Tor k simulaci anonymních IP adres najdete v tématu Anonymní IP adresa .

  5. Microsoft Entra ověřuje uživatele.

  6. Microsoft Entra ID Protection zjistí, že uživatel použil prohlížeč ToR k anonymnímu přihlášení. Tento typ přihlášení je podezřelá aktivita, která uživatele vystavuje riziku. Služba Identity Protection odešle upozornění do služby Microsoft Sentinel.

  7. Nakonfigurujte Microsoft Sentinel tak, aby z výstrahy vytvořil incident. Informace o tom, jak to udělat, najdete v tématu Automatické vytváření incidentů z výstrah zabezpečení Microsoftu. Šablona pravidla analýzy zabezpečení Microsoftu, která se má použít, je Vytvoření incidentů na základě výstrah microsoft Entra ID Protection.

  8. Když Microsoft Sentinel aktivuje incident, playbook reaguje akcemi, které uživatele blokují.

Komponenty

  • Microsoft Sentinel je řešení SIEM a SOAR nativní pro cloud. K detekci hrozeb v celém podniku používá pokročilou analýzu AI a zabezpečení. Microsoft Sentinel obsahuje mnoho playbooků, které můžete použít k automatizaci odpovědí a ochraně systému.
  • Microsoft Entra ID je cloudová adresářová služba a služba pro správu identit, která kombinuje základní adresářové služby, správu přístupu k aplikacím a ochranu identit do jednoho řešení. Může se synchronizovat s místními adresáři. Služba identit poskytuje jednotné přihlašování, vícefaktorové ověřování a podmíněný přístup, které chrání před útoky na kybernetickou bezpečnost. Řešení uvedené v tomto článku používá microsoft Entra identity Protect k detekci podezřelých aktivit uživatelem.
  • Logic Apps je bezserverová cloudová služba pro vytváření a spouštění automatizovaných pracovních postupů, které integrují aplikace, data, služby a systémy. Vývojáři můžou pomocí vizuálního návrháře plánovat a orchestrovat běžné pracovní postupy úloh. Logic Apps má konektory pro mnoho oblíbených cloudových služeb, místních produktů a dalších aplikací pro software jako službu. V tomto řešení služba Logic Apps spouští playbook pro reakci na hrozby.

Důležité informace

  • Dobře navržená architektura Azure je sada hlavních principů, které můžete použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
  • Microsoft Sentinel nabízí více než 50 playbooků, které jsou připravené k použití. Najdete je na kartě Šablony playbooků v Microsoft Sentinelu |Stránka Automation pro váš pracovní prostor
  • GitHub má celou řadu playbooků Microsoft Sentinel, které vytvořila komunita.

Nasazení tohoto scénáře

Tento scénář můžete nasadit podle kroků v pracovním postupu po ověření, že jsou splněné požadavky.

Požadavky

Příprava softwaru a výběr testovacího uživatele

K implementaci a otestování playbooku potřebujete Azure a Microsoft Sentinel a následující:

  • Licence Microsoft Entra ID Protection (Premium P2, E3 nebo E5).
  • Uživatel Microsoft Entra. Můžete použít existujícího uživatele nebo vytvořit nového uživatele. Pokud vytvoříte nového uživatele, můžete ho po jeho použití odstranit.
  • Počítač nebo virtuální počítač, který může spustit prohlížeč ToR. Pomocí prohlížeče se přihlásíte k portálu Moje aplikace jako uživatel Microsoft Entra.

Nasazení playbooku

Pokud chcete nasadit playbook Microsoft Sentinel, pokračujte následujícím způsobem:

  • Pokud pro toto cvičení nemáte pracovní prostor služby Log Analytics, vytvořte nový následujícím způsobem:
  • V tuto chvíli máte pracovní prostor, třeba pracovní prostor, který jste právě vytvořili. Pomocí následujícího postupu zjistíte, jestli se do něj microsoft Sentinel přidal, a pokud ne, přidejte ho:
    • Přejděte na hlavní stránku Microsoft Sentinelu .
    • Pokud už microsoft Sentinel byl přidán do vašeho pracovního prostoru, zobrazí se tento pracovní prostor v zobrazeném seznamu. Pokud ještě není přidaný, přidejte ho následujícím způsobem.
      • Výběrem + Vytvořit se dostanete na stránku Přidat Microsoft Sentinel na stránku pracovního prostoru .
      • Vyberte pracovní prostor ze zobrazeného seznamu a pak vyberte Přidat v dolní části stránky. Po krátké době se Microsoft Sentinel přidá do vašeho pracovního prostoru.
  • Playbook vytvořte následujícím způsobem:
    • Přejděte na hlavní stránku Microsoft Sentinelu . Vyberte váš pracovní prostor. Výběrem možnosti Automatizace v nabídce vlevo se dostanete na stránku Automation . Tato stránka má tři karty.
    • Vyberte kartu Šablony playbooku (Preview).
    • Do vyhledávacího pole zadejte Blokovat uživatele Microsoft Entra – Incident.
    • V seznamu playbooků vyberte Blokovat uživatele Microsoft Entra – Incident a pak v pravém dolním rohu vyberte Vytvořit playbook , abyste se dostali na stránku Vytvořit přehrávání .
    • Na stránce Vytvořit playbook postupujte takto:
      • V seznamech vyberte hodnoty předplatného, skupiny prostředků a oblasti .
      • Zadejte hodnotu pro název playbooku, pokud nechcete použít výchozí název, který se zobrazí.
      • Pokud chcete, vyberte Povolit diagnostické protokoly v Log Analytics a povolte protokoly.
      • Políčko Přidružit k prostředí integrační služby ponechte nezaškrtnuté.
      • Prostředí integrační služby nechte prázdné.
    • Vyberte Další: Připojení > přejděte na kartu Připojení v playbooku Vytvořit.
    • Zvolte způsob ověřování v rámci součástí playbooku. Ověřování se vyžaduje pro:
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Office 365 Outlook

      Poznámka:

      Prostředky můžete ověřit během přizpůsobení playbooku v rámci prostředku aplikace logiky, pokud chcete povolit později. K ověření výše uvedených prostředků v tomto okamžiku potřebujete oprávnění k aktualizaci uživatele v Microsoft Entra ID a uživatel musí mít přístup k e-mailové poštovní schránce a musí mít možnost odesílat e-maily.

    • Vyberte Další: Zkontrolovat a vytvořit>, abyste se dostali na kartu Revize a vytvoření playbooku.
    • Výběrem možnosti Vytvořit a pokračovat v návrháři vytvořte playbook a přejděte na stránku návrháře aplikace logiky.

Další informace o vytváření aplikací logiky najdete v tématu Co je Azure Logic Apps a rychlý start: Vytváření a správa definic pracovních postupů aplikace logiky.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

Další přispěvatelé:

Další kroky