Migrieren der Splunk SOAR-Automatisierung zu Microsoft Sentinel
Microsoft Sentinel bietet Funktionen für Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation und Response, SOAR) mit Automatisierungsregeln und Playbooks. Automatisierungsregeln vereinfachen die Incidentbehandlung und die Reaktion darauf, während Playbooks komplexere Sequenzen von Aktionen ausführen, um auf Bedrohungen zu reagieren und diese zu beheben. In diesem Artikel wird erläutert, wie Sie SOAR-Anwendungsfälle identifizieren und Ihre Splunk SOAR-Automatisierung zu Microsoft Sentinel-Automatisierungsregeln und -Playbooks migrieren.
Weitere Informationen zu den Unterschieden zwischen Automatisierungsregeln und Playbooks finden Sie in den folgenden Artikeln:
- Automatisieren der Reaktion auf Bedrohungen mit Automatisierungsregeln
- Automatisierung der Reaktion auf Bedrohungen mit Playbooks
Identifizieren von SOAR-Anwendungsfällen
Im Folgenden erfahren Sie, welche Aspekte Sie beim Migrieren von SOAR-Anwendungsfällen von Splunk berücksichtigen müssen.
- Qualität der Anwendungsfälle. Die Auswahl der Anwendungsfälle sollte auf klar definierten Verfahren mit minimalen Abweichungen und einer niedrigen Rate von False-Positives basieren.
- Manueller Eingriff. Automatisierte Antworten können weitreichende Auswirkungen haben. Bei Automatisierungen mit hohen Auswirkungen sollte ein Mensch eingreifen, um Aktionen mit hoher Auswirkung zu bestätigen, bevor sie ausgeführt werden.
- Binäre Kriterien. Um den Erfolg von Reaktionen zu erhöhen, sollten Entscheidungspunkte innerhalb eines automatisierten Workflows mit binären Kriterien so weit wie möglich eingeschränkt werden. Bei nur zwei Variablen in der automatisierten Entscheidungsfindung ist menschliches Eingreifen nicht unbedingt erforderlich, und die Ergebnisse sind besser vorhersagbar.
- Genaue Warnungen oder Daten. Reaktionsaktionen hängen von der Genauigkeit von Signalen wie Warnungen ab. Warnungen und Anreicherungsquellen sollten zuverlässig sein. Microsoft Sentinel-Ressourcen wie Watchlists und Threat Intelligence mit hoher Konfidenz erhöhen die Zuverlässigkeit.
- Die Rolle des Analysten. Auch wenn die Automatisierung sehr hilfreich ist, sollten Sie die komplexesten Aufgaben Analysten überlassen. Bieten Sie ihnen die Möglichkeit, an Workflows mitzuwirken, die eine Überprüfung erfordern. Kurz gesagt: Die Automatisierung von Reaktionen sollte die Fähigkeiten der Analysten ergänzen und erweitern.
Migrieren des SOAR-Workflows
In diesem Abschnitt wird veranschaulicht, wie wichtige Splunk SOAR-Konzepte auf Microsoft Sentinel-Komponenten übertragen werden. Außerdem werden allgemeine Richtlinien für die Migration der einzelnen Schritte oder Komponenten im SOAR-Workflow bereitstellt.
| Schritt (im Diagramm) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Erfassen von Ereignissen im Hauptindex. | Erfassen von Ereignissen im Log Analytics-Arbeitsbereich. |
| 2 | Erstellen von Containern. | Kennzeichnen von Incidents mithilfe des Features für benutzerdefinierte Details. |
| 3 | Erstellen von Fällen. | Microsoft Sentinel kann Incidents automatisch nach benutzerdefinierten Kriterien gruppieren, z. B. nach freigegebenen Entitäten oder Schweregrad. Diese Warnungen generieren dann Incidents. |
| 4 | Erstellen von Playbooks. | Azure Logic Apps verwendet mehrere Connectors, um Aktivitäten in Microsoft Sentinel, Azure, Drittanbieter- und hybriden Cloudumgebungen zu orchestrieren. |
| 4 | Erstellen von Arbeitsmappen. | Microsoft Sentinel führt Playbooks entweder isoliert oder als Teil einer geordneten Automatisierungsregel aus. Sie können Playbooks auch manuell für Warnungen oder Incidents gemäß einem vordefinierten Verfahren des Security Operations Center (SOC) ausführen. |
Zuordnen von SOAR-Komponenten
Hier können Sie sehen, welche Microsoft Sentinel- oder Azure Logic Apps-Features den wichtigsten Splunk SOAR-Komponenten entsprechen/zugeordnet sind.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Playbook-Editor | Logik-App-Designer |
| Trigger | Trigger |
| • Connectors • App • Automatisierungsbroker |
• Connector • Hybrid Runbook Worker |
| Aktionsblöcke | Aktion |
| Verbindungsbroker | Hybrid-Runbook-Worker |
| Community | • Automatisierung > Registerkarte „Vorlagen“ • Inhaltshubkatalog • GitHub |
| Entscheidung | Bedingungen zum Steuern von Aktionen |
| Code | Azure Functions-Connector |
| Prompt | Genehmigungs-E-Mail senden |
| Format | Datenvorgänge |
| Eingabeplaybooks | Abrufen von Variableneingaben aus Ergebnissen zuvor ausgeführter Schritte oder von explizit deklarierten Variablen |
| Festlegen von Parametern mit dem API-Hilfsprogramm Utility block | Verwalten von Incidents mit der API |
Operationalisieren von Playbooks und Automatisierungsregeln in Microsoft Sentinel
Die meisten Playbooks, die Sie mit Microsoft Sentinel verwenden, sind entweder unter Automatisierung > Registerkarte „Vorlagen“, im Inhaltshubkatalog oder auf GitHub verfügbar. In einigen Fällen müssen Sie jedoch möglicherweise Playbooks von Grund auf neu oder anhand vorhandener Vorlagen erstellen.
In der Regel erstellen Sie Ihre benutzerdefinierte Logik-App mithilfe des Logik-App-Designers von Azure. Der Code für Logik-Apps basiert auf Azure Resource Manager-Vorlagen (ARM-Vorlagen), die die Entwicklung, Bereitstellung und Portabilität von Azure Logic Apps in mehreren Umgebungen erleichtern. Um Ihr benutzerdefiniertes Playbook in eine portierbare ARM-Vorlage zu konvertieren, können Sie den ARM-Vorlagengenerator verwenden.
Verwenden Sie diese Ressourcen in Fällen, in denen Sie Ihre eigenen Playbooks entweder von Grund auf neu oder anhand vorhandener Vorlagen erstellen müssen.
- Automatisieren der Behandlung von Vorfällen in Microsoft Sentinel
- Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
- Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel
- Verwenden von Microsoft Sentinel für die Reaktion auf Vorfälle, Orchestrierung und Automatisierung
- Adaptive Karten zur Verbesserung der Reaktion auf Incidents in Microsoft Sentinel
Bewährte Methoden nach der SOAR-Migration
Im Folgenden finden Sie bewährte Methoden, die Sie nach der SOAR-Migration berücksichtigen sollten:
- Testen Sie Ihre Playbooks nach der Migration umfassend, um sicherzustellen, dass die migrierten Aktionen wie erwartet funktionieren.
- Überprüfen Sie regelmäßig Ihre Automatisierungen, um Möglichkeiten zu ermitteln, wie Sie Ihre SOAR weiter vereinfachen oder verbessern können. Microsoft Sentinel fügt ständig neue Connectors und Aktionen hinzu, mit denen Sie Ihre aktuellen Reaktionsimplementierungen weiter vereinfachen oder deren Effektivität erhöhen können.
- Überwachen Sie die Leistung Ihrer Playbooks mithilfe der Arbeitsmappe zur Überwachung der Integrität von Playbooks.
- Verwenden Sie verwaltete Identitäten und Dienstprinzipale: Authentifizieren Sie sich bei verschiedenen Azure-Diensten in Ihren Logik-Apps, speichern Sie die Geheimnisse in Azure Key Vault, und verbergen Sie die Flowausführungsausgabe. Außerdem empfehlen wir Ihnen, die Aktivitäten dieser Dienstprinzipale zu überwachen.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre SOAR-Automatisierung von Splunk in Microsoft Sentinel implementieren können.