Co jsou playbooky Microsoft Sentinelu?
Kromě přístupu a řešení problémů s konfigurací zabezpečení musí Contoso také monitorovat nové problémy a hrozby a odpovídajícím způsobem na ně reagovat.
Microsoft Sentinel jako řešení SIEM a SOAR
Microsoft Sentinel je řešení zabezpečení a správy událostí (SIEM) a orchestrace zabezpečení, automatizace a reakce (SOAR), které je navržené pro hybridní prostředí.
Poznámka:
Řešení SIEM poskytují úložiště a analyzují protokoly, události a upozornění, která generují jiné systémy. Tato řešení můžete nakonfigurovat tak, aby generovala vlastní upozornění. Řešení SOAR podporují nápravu bezpečnostních hrozeb a celkově automatizují bezpečnostní procesy.
Microsoft Sentinel používá integrované a vlastní detekce, které vás upozorní na potenciální bezpečnostní hrozby, jako jsou pokusy o přístup k prostředkům společnosti Contoso mimo jeho infrastrukturu nebo když se data ze společnosti Contoso jeví jako odeslaná na známou škodlivou IP adresu. Na základě těchto upozornění také můžete vytvářet incidenty.
Playbooky služby Microsoft Sentinel
V Microsoft Sentinelu můžete vytvářet playbooky zabezpečení pro reakci na výstrahy. Playbooky zabezpečení jsou kolekce postupů založených na službě Azure Logic Apps, které se spouští jako reakce na upozornění. Playbooky zabezpečení můžete spouštět ručně jako reakci na vyšetřování incidentu nebo můžete nakonfigurovat upozornění, které playbook spustí automaticky.
Díky možnosti automatické reakce na incidenty můžete automatizovat některé operace zabezpečení a zvýšit produktivitu služby Security Operations Center (SOC).
Pokud chcete například vyřešit obavy společnosti Contoso, můžete vyvinout pracovní postup s definovanými kroky, které zablokují podezřelé uživatelské jméno a znemožní mu přístup k prostředkům z nebezpečné IP adresy. Případně můžete playbook nakonfigurovat tak, aby prováděl operaci, například upozorňování týmu SecOps na výstrahu zabezpečení vysoké úrovně.
Azure Logic Apps
Cloudová služba Azure Logic Apps automatizuje průběh obchodních procesů. K uspořádání předem připravených komponent do požadovaného pořadí se používá nástroj pro grafický design, který se nazývá Návrhář pro Logic Apps. Můžete také použít zobrazení kódu k zápisu automatického procesu do souboru JSON.
Konektor Logic Apps
Aplikace logiky používají konektory, aby se mohly připojit ke stovkám služeb. Konektor je komponenta, která poskytuje rozhraní pro nějakou externí službu.
Poznámka:
Datový konektor Microsoft Sentinelu a konektor Logic Apps nejsou stejné. Datový konektor Microsoft Sentinel propojuje Microsoft Sentinel s produkty zabezpečení a ekosystémy zabezpečení od Microsoftu pro řešení od jiných společností než Microsoft. Naproti tomu konektor Logic Apps představuje komponentu, která externí službě nabízí připojení API a umožňuje integrovat události, data a akce jiných aplikací, služeb, systémů, protokolů a platforem.
Co jsou triggery a akce?
Služba Azure Logic Apps používá triggery a akce, které jsou definované takto:
Trigger je událost, která nastane, když se splní konkrétní skupina podmínek. Triggery se aktivují automaticky při splnění podmínek. Například k incidentu zabezpečení dochází v Microsoft Sentinelu, což je trigger pro automatizovanou akci.
Akce je operace, která plní nějaký úkol v pracovním postupu služby Logic Apps. Akce se spouštějí při aktivaci triggeru, po dokončení jiné akce nebo při splnění nějaké podmínky.
Konektor Logic Apps pro Microsoft Sentinel
Playbook Microsoft Sentinel používá konektor Microsoft Sentinel Logic Apps. Nabízí triggery a akce, které spouštějí playbook a provádějí definované akce.
V současné době existují dva triggery z konektoru Logic Apps pro Microsoft Sentinel:
Když se aktivuje odpověď na upozornění Služby Microsoft Sentinel
Při aktivaci pravidla vytvoření incidentu služby Microsoft Sentinel
Poznámka:
Vzhledem k tomu, že je logika Služby Microsoft Sentinel Konektor aplikace ve verzi Preview, můžou se funkce popsané v tomto modulu v budoucnu změnit.
Následující tabulka uvádí všechny aktuální akce pro konektor Microsoft Sentinel.
| Název | Popis |
|---|---|
| Přidání komentáře k incidentu | Přidá k vybranému incidentu komentáře. |
| Přidání popisků incidentu | Přidá k vybranému incidentu popisky. |
| Upozornění – získání incidentu | Vrátí incident přidružený k vybranému upozornění. |
| Změna popisu incidentu | Změní popis vybraného incidentu. |
| Změna závažnosti incidentu | Změní závažnost vybraného incidentu. |
| Změna stavu incidentu | Změní stav vybraného incidentu. |
| Změna názvu incidentu (V2) | Změní název vybraného incidentu. |
| Entity – získání účtů | Vrátí seznam účtů přidružených k upozornění. |
| Entity – získání hodnot FileHash | Vrátí seznam hodnot hash souboru přidruženého k upozornění. |
| Entity – získání hostitelů | Vrátí seznam hostitelů přidružených k upozornění. |
| Entity – získání IP adres | Vrátí seznam IP adres přidružených k upozornění. |
| Entity – získání adres URL | Vrátí seznam adres URL přidružených k upozornění. |
| Odebrání popisků incidentu | Odebere popisky vybraného incidentu. |
Poznámka:
Akce, u kterých je (V2) nebo vyšší číslo, představují novou verzi akce, která může fungovat jinak než stará akce.
Některé akce vyžadují integraci s akcemi jiných konektorů. Například pokud chce Contoso identifikovat všechny podezřelé účty, které se v upozornění vrátí z definovaných entit, musíte kombinovat akci Entity – získání účtů s akcí For Each (Pro každý). Podobně pokud chcete získat všechny jednotlivé hostitele v incidentu, který detekuje podezřelé hostitele, musíte zkombinovat entity – získat hostitele akci Pro každou akci.