Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
SOC-Analysten befassen sich mit zahlreichen Sicherheitswarnungen und Vorfällen, und das schiere Volumen kann Teams überwältigen, was zu ignorierten Warnungen und nicht investierten Vorfällen führt. Viele Warnungen und Vorfälle können durch die gleichen Gruppen vordefinierter Abhilfemaßnahmen behoben werden, die automatisiert werden können, um das SOC effizienter zu machen und Analysten eingehendere Untersuchungen zu ermöglichen.
Verwenden Sie Microsoft Sentinel-Playbooks, um vorkonfigurierte Sätze von Wartungsaktionen auszuführen und Ihre Bedrohungsreaktion zu automatisieren und zu koordinieren. Führen Sie automatisch Playbooks als Reaktion auf bestimmte Warnungen und Vorfälle aus, die eine konfigurierte Automatisierungsregel auslösen, oder führen Sie sie bei Bedarf manuell für eine bestimmte Entität oder Warnung aus.
Wenn zum Beispiel ein Konto und ein Computer kompromittiert sind, kann ein Playbook den Computer vom Netzwerk automatisch isolieren und das Konto sperren, bis das SOC-Team über den Incident informiert wird.
Hinweis
Da Playbooks Azure Logic Apps nutzen, fallen möglicherweise zusätzliche Gebühren an. Ausführlichere Informationen finden Sie auf der Preisseite von Azure Logic Apps.
Wichtig
Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Empfohlene Anwendungsfälle
In der folgenden Tabelle sind allgemeine Anwendungsfälle aufgeführt, in denen die Verwendung von Microsoft Sentinel-Playbooks zum Automatisieren Ihrer Bedrohungsreaktion empfohlen wird:
Anwendungsfall | Beschreibung |
---|---|
Anreicherung | Sammeln Sie Daten und fügen sie an einen Incident an, um Ihr Team dabei zu unterstützen, intelligentere Entscheidungen zu treffen. |
Bidirektionale Synchronisierung | Synchronisieren Sie Microsoft Sentinel-Incidents mit anderen Ticketausstellungssystemen. Erstellen Sie zum Beispiel eine Automatisierungsregel für die Erstellung aller Incidents, und fügen Sie ein Playbook an, das ein Ticket in ServiceNow öffnet: |
Orchestrierung | Verwenden Sie die SOC-Chat-Plattform für Teams, um die Warteschlange der Incidents besser zu überwachen. Senden Sie beispielsweise eine Nachricht an Ihren Sicherheitskanal in Microsoft Teams oder Slack, um Ihre Sicherheitsanalysten auf den Vorfall aufmerksam zu machen. |
Antwort | Reagieren Sie mit minimalen menschlichen Eingriffen sofort auf Bedrohungen, z. B. wenn ein kompromittierter Benutzer oder Computer angezeigt wird. Alternativ können Sie während einer Untersuchung oder während der Suche eine Reihe automatisierter Schritte manuell auslösen. |
Weitere Informationen finden Sie unter Empfohlene Anwendungsfälle, Vorlagen und Beispiele für Playbooks.
Voraussetzungen
Folgende Rollen sind erforderlich, um Azure Logic Apps zum Erstellen und Ausführen von Playbooks in Microsoft Sentinel verwenden zu können:
Rolle | Beschreibung |
---|---|
Besitzer | Ermöglicht Ihnen das Gewähren des Zugriffs auf Playbooks in der Ressourcengruppe. |
Microsoft Sentinel-Mitwirkender | Ermöglicht das Anfügen eines Playbooks an eine Analyse- oder Automatisierungsregel. |
Microsoft Sentinel-Antwortender | Ermöglicht den Zugriff auf einen Vorfall, um ein Playbook manuell auszuführen, aber nicht die Ausführung des Playbooks. |
Microsoft Sentinel-Playbookoperator | Ermöglicht die manuelle Ausführung eines Playbooks. |
Microsoft Sentinel Automation-Mitarbeiter | Ermöglicht die Ausführung von Playbooks durch Automatisierungsregeln. Diese Regel wird für keinen anderen Zweck genutzt. |
In der folgenden Tabelle werden die erforderlichen Rollen beschrieben, je nachdem, ob Sie eine Verbrauchs- oder Standard-Logik-App auswählen, um Ihr Playbook zu erstellen:
Logik-App | Azure-Rollen | Beschreibung |
---|---|---|
Verbrauch | Logik-App-Mitwirkender | Erstellen und Verwalten von Logik-Apps. Ausführen von Playbooks Ermöglicht keine Gewährung von Zugriff auf Playbooks. |
Verbrauch | Logik-App-Operator | Lesen, Aktivieren und Deaktivieren von Logik-Apps. Ermöglicht keine Bearbeitung oder Aktualisierung von Logik-Apps. |
Standard | Logic Apps-Standard-Operator | Aktivieren, erneutes Übermitteln und Deaktivieren von Workflows in einer Logik-App. |
Standard | Logic Apps-Standard-Entwickler | Erstellen und Bearbeiten von Logik-Apps. |
Standard | Logic Apps-Standard-Mitwirkender | Verwalten aller Aspekte einer Logik-App. |
Auf der Registerkarte Aktive Playbooks der Seite Automatisierung werden alle aktiven Playbooks angezeigt, die für alle ausgewählten Abonnements verfügbar sind. Standardmäßig kann ein Playbook nur innerhalb des Abonnements verwendet werden, zu dem es gehört, es sei denn, Sie erteilen Microsoft Sentinel-Berechtigungen für die Ressourcengruppe des Playbooks.
Zusätzliche Berechtigungen, die Microsoft Sentinel zum Ausführen von Playbooks benötigt
Microsoft Sentinel verwendet ein Dienstkonto, um Playbooks bei Vorfällen auszuführen, die Sicherheit zu verbessern und die Automatisierungsregeln-API zur Unterstützung von CI/CD-Anwendungsfällen zu aktivieren. Dieses Dienstkonto wird für durch Vorfälle ausgelöste Playbooks sowie beim manuellen Ausführen eines Playbooks für einen bestimmten Vorfall verwendet.
Zusätzlich zu Ihren eigenen Rollen und Berechtigungen muss dieses Microsoft Sentinel-Dienstkonto über einen eigenen Satz von Berechtigungen für die Ressourcengruppe verfügen, in der sich das Playbook befindet. Hierfür wird die Rolle Microsoft Sentinel Automation-Mitarbeiter verwendet. Wenn Microsoft Sentinel über diese Rolle verfügt, kann Sentinel jedes Playbook in der relevanten Ressourcengruppe ausführen – sowohl manuell als auch über eine Automatisierungsregel.
Um Microsoft Sentinel die erforderlichen Berechtigungen zu gewähren, müssen Sie über die Rolle Besitzer oder Benutzerzugriffsadministrator verfügen. Um die Playbooks auszuführen, benötigen Sie auch die Rolle Mitwirkender für Logik-Apps in der Ressourcengruppe mit den Playbooks, die Sie ausführen möchten.
Playbook-Vorlagen (Vorschau)
Wichtig
Playbookvorlagen befinden sich derzeit in der VORSCHAUPHASE. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Playbook-Vorlagen sind vorgefertigte, getestete und gebrauchsfertige Workflows, die nicht als Playbooks selbst verwendet werden können, sondern von Ihnen an Ihre Bedürfnisse angepasst werden können. Außerdem wird empfohlen, Playbook-Vorlagen als Referenz für Best Practices bei der Entwicklung von Playbooks von Grund auf oder als Inspiration für neue Automatisierungsszenarien zu verwenden.
Sie können Playbook-Vorlagen aus den folgenden Quellen abrufen:
Standort | Beschreibung |
---|---|
Seite „Microsoft Sentinel-Automatisierung“ | Auf der Registerkarte Playbook-Vorlagen sind alle installierten Playbooks aufgelistet. Erstellen Sie ein oder mehrere aktive Playbooks mit derselben Vorlage. Wenn wir eine neue Version einer Vorlage veröffentlichen, verfügen alle aktiven Playbooks, die aus dieser Vorlage erstellt wurden, über eine zusätzliche Kennzeichnung auf der Registerkarte Aktive Playbooks, um anzugeben, dass ein Update verfügbar ist. |
Seite „Microsoft Sentinel Content Hub“ | Playbook-Vorlagen sind als Teil von Produktlösungen oder eigenständigen Inhalten verfügbar, die Sie über den Content Hub installieren. Weitere Informationen finden Sie unter Informationen zu Microsoft Sentinel-Inhalten und -Lösungen Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte |
GitHub | Das Microsoft Sentinel-GitHub-Repository enthält viele andere Playbook-Vorlagen. Wählen Sie In Azure bereitstellen, um eine Vorlage für Ihr Abonnement bereitzustellen. |
Technisch gesehen ist eine Playbook-Vorlage eine ARM-Vorlage (Azure Resource Manager), die aus mehreren Ressourcen besteht: einem Azure Logic Apps-Workflow und API-Verbindungen für jede einbezogene Verbindung.
Weitere Informationen finden Sie unter:
- Erstellen und Anpassen von Microsoft Sentinel-Playbooks über Inhaltsvorlagen
- Empfohlene Playbook-Vorlagen
- Azure Logic Apps-Connector für Microsoft Sentinel-Playbooks
Workflow für Playbook-Erstellung und Nutzung
Verwenden Sie den folgenden Workflow zum Erstellen und Ausführen von Microsoft Sentinel-Playbooks:
Definieren Sie Ihr Automatisierungsszenario. Es wird empfohlen, dass Sie sich zunächst die empfohlenen Playbook-Anwendungsfälle und Playbook-Vorlagen ansehen.
Wenn Sie keine Vorlage verwenden, erstellen Sie Ihr Playbook und Ihre Logik-App. Weitere Informationen finden Sie unter Erstellen und Verwalten von Microsoft Sentinel-Playbooks.
Testen Sie Ihre Logik-App, indem Sie sie manuell ausführen. Weitere Informationen finden Sie unter Manuelles Ausführen eines Playbooks nach Bedarf.
Konfigurieren Sie Ihr Playbook so, dass es automatisch bei einer neuen Warnungs- oder Vorfallerstellung ausgeführt wird, oder führen Sie es nach Bedarf manuell für Ihre Prozesse aus. Weitere Informationen finden Sie unter Reagieren auf Bedrohungen mit Microsoft Sentinel-Playbooks.