Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu
Analytici SOC se zabývají mnoha výstrahami zabezpečení a incidenty, přičemž velký objem může zahltit týmy, což vede k ignorování výstrah a nešetřených incidentů. Mnoho výstrah a incidentů je možné řešit stejnými sadami předdefinovaných nápravných akcí, které je možné automatizovat, aby soc bylo efektivnější a uvolnilo analytiky pro hlubší šetření.
Pomocí playbooků Microsoft Sentinel můžete spouštět předkonfigurované sady akcí nápravy, které vám pomůžou automatizovat a orchestrovat reakci na hrozby. Playbooky můžete spouštět automaticky v reakci na konkrétní výstrahy a incidenty, které aktivují nakonfigurované pravidlo automatizace, nebo ručně a na vyžádání pro konkrétní entitu nebo výstrahu.
Například pokud dojde k ohrožení zabezpečení účtu a počítače, playbook může počítač automaticky izolovat od sítě a blokovat účet v době, kdy je tým SOC upozorněn na incident.
Poznámka:
Vzhledem k tomu, že playbooky využívají Azure Logic Apps, můžou se účtovat další poplatky. Další podrobnosti najdete na stránce s cenami Azure Logic Apps .
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Doporučené případy použití
Následující tabulka uvádí hlavní případy použití, ve kterých doporučujeme automatizovat reakci na hrozby pomocí playbooků Microsoft Sentinelu:
Případ použití | Popis |
---|---|
Rozšíření | Shromážděte data a připojte je k incidentu, aby se váš tým rozhodl chytřeji rozhodovat. |
Obousměrná synchronizace | Synchronizujte incidenty Microsoft Sentinelu s jinými systémy lístků. Můžete například vytvořit pravidlo automatizace pro všechna vytváření incidentů a připojit playbook, který otevře lístek ve službě ServiceNow. |
Orchestrace | K lepšímu řízení fronty incidentů použijte chatovací platformu týmu SOC. Odešlete například zprávu do kanálu operací zabezpečení v Microsoft Teams nebo Slacku, abyste měli jistotu, že o incidentu vědí vaši analytici zabezpečení. |
Response | Okamžitě reagovat na hrozby s minimálními lidskými závislostmi, například při označení ohroženého uživatele nebo počítače. Alternativně můžete ručně aktivovat řadu automatizovaných kroků během vyšetřování nebo při proaktivním vyhledávání. |
Další informace najdete v tématu Doporučené případy použití playbooku, šablony a příklady.
Požadavky
K vytváření a spouštění playbooků v Microsoft Sentinelu jsou potřeba následující role.
Role | Popis |
---|---|
Vlastník | Umožňuje udělit přístup k playbookům ve skupině prostředků. |
Přispěvatel Microsoft Sentinelu | Umožňuje připojit playbook k analytickému nebo automatizačnímu pravidlu. |
Microsoft Sentinel Responder | Umožňuje přístup k incidentu, abyste playbook mohli spustit ručně, ale neumožňuje spustit playbook. |
Operátor playbooku Microsoft Sentinel | Umožňuje ruční spuštění playbooku. |
Přispěvatel služby Microsoft Sentinel Automation | Umožňuje pravidla automatizace spouštět playbooky. Tato role se nepoužívá pro žádný jiný účel. |
Následující tabulka popisuje požadované role na základě toho, jestli k vytvoření playbooku vyberete aplikaci logiky Consumption nebo Standard:
Aplikace logiky | Role Azure | Popis |
---|---|---|
Využití | Přispěvatel aplikace logiky | Upravte a spravujte aplikace logiky. Spusťte playbooky. Neumožňuje udělit přístup k playbookům. |
Využití | Operátor aplikace logiky | Čtení, povolení a zakázání aplikací logiky Neumožňuje upravovat nebo aktualizovat aplikace logiky. |
Standard | Standardní operátor Logic Apps | Povolte, znovu odešlete a zakažte pracovní postupy v aplikaci logiky. |
Standard | Standardní vývojář pro Logic Apps | Vytváření a úpravy aplikací logiky |
Standard | Standardní přispěvatel Logic Apps | Správa všech aspektů aplikace logiky |
Karta Aktivní playbooky na stránce Automation zobrazuje všechny aktivní playbooky dostupné napříč všemi vybranými předplatnými. Ve výchozím nastavení je možné playbook používat pouze v rámci předplatného, do kterého patří, pokud výslovně neudělíte oprávnění Microsoft Sentinelu ke skupině prostředků playbooku.
Další oprávnění požadovaná ke spouštění playbooků v Microsoft Sentinelu
Microsoft Sentinel používá účet služby ke spouštění playbooků na incidentech, k přidání zabezpečení a povolení rozhraní API pravidel automatizace pro podporu případů použití CI/CD. Tento účet služby se používá pro playbooky aktivované incidenty nebo při ručním spuštění playbooku u konkrétního incidentu.
Kromě vlastních rolí a oprávnění musí mít tento účet služby Microsoft Sentinel vlastní sadu oprávnění pro skupinu prostředků, ve které se playbook nachází, ve formě role Přispěvatel služby Microsoft Sentinel Automation. Jakmile má Microsoft Sentinel tuto roli, může spustit libovolný playbook v příslušné skupině prostředků ručně nebo z pravidla automatizace.
Pokud chcete službě Microsoft Sentinel udělit požadovaná oprávnění, musíte mít roli vlastníka nebo správce uživatelských přístupů. Ke spuštění playbooků budete také potřebovat roli Přispěvatel aplikace logiky ve skupině prostředků obsahující playbooky, které chcete spustit.
Šablony playbooků (Preview)
Důležité
Šablony playbooků jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Šablony playbooků jsou předem připravené, otestované a připravené pracovní postupy, které se nedají použít jako samotné playbooky, ale jsou připravené k přizpůsobení tak, aby vyhovovaly vašim potřebám. Doporučujeme také používat šablony playbooků jako referenci na osvědčené postupy při vývoji playbooků od začátku nebo jako inspiraci pro nové scénáře automatizace.
Přístup k šablonům playbooků z následujících zdrojů:
Umístění | Popis |
---|---|
Stránka Microsoft Sentinel Automation | Na kartě Šablony playbooku jsou uvedeny všechny nainstalované playbooky. Vytvořte jeden nebo více aktivních playbooků pomocí stejné šablony. Když publikujeme novou verzi šablony, všechny aktivní playbooky vytvořené z této šablony mají na kartě Aktivní playbooky přidaný další popisek, který indikuje, že je k dispozici aktualizace. |
Stránka centra obsahu služby Microsoft Sentinel | Šablony playbooků jsou k dispozici jako součást produktových řešení nebo samostatného obsahu nainstalovaného z centra obsahu. Další informace najdete tady: . Informace o obsahu a řešeních služby Microsoft Sentinel Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel |
GitHub | Úložiště Microsoft Sentinel Na GitHubu obsahuje mnoho dalších šablon playbooků. Výběrem možnosti Nasadit do Azure nasadíte šablonu do předplatného Azure. |
Šablona playbooku je technicky vzato šablona Azure Resource Manageru (ARM), která se skládá z několika prostředků: pracovního postupu Azure Logic Apps a připojení rozhraní API pro jednotlivá připojení.
Další informace naleznete v tématu:
- Vytváření a přizpůsobení playbooků Microsoft Sentinelu ze šablon obsahu
- Doporučené šablony playbooků
- Playbooky Azure Logic Apps pro Microsoft Sentinel
Pracovní postup vytvoření playbooku a jeho využití
K vytvoření a spuštění playbooků Microsoft Sentinel použijte následující pracovní postup:
Definujte svůj scénář automatizace. Doporučujeme, abyste si pro začátek zkontrolovali doporučené případy použití playbooků a šablony playbooků .
Pokud šablonu nepoužíváte, vytvořte playbook a sestavte aplikaci logiky. Další informace najdete v tématu Vytváření a správa playbooků Microsoft Sentinel.
Otestujte aplikaci logiky tím, že ji spustíte ručně. Další informace najdete v tématu Ruční spuštění playbooku na vyžádání.
Nakonfigurujte playbook tak, aby se spouštěl automaticky při vytváření nové výstrahy nebo incidentu, nebo ho podle potřeby pro vaše procesy spusťte ručně. Další informace najdete v tématu Reakce na hrozby pomocí playbooků Microsoft Sentinel.