Was sind Microsoft Sentinel-Playbooks?
Neben der Bewertung und Behandlung von Problemen mithilfe der Sicherheitskonfiguration muss Contoso auch eine Überwachung hinsichtlich neuer Probleme und Bedrohungen durchführen und auf diese reagieren.
Microsoft Sentinel als SIEM-und SOAR-Lösung
Microsoft Sentinel ist sowohl eine SIEM- als auch eine SOAR-Lösung für Hybridumgebungen. SIEM steht in diesem Zusammenhang für „Security Information & Event Management“ und SOAR für „Security Orchestration, Automation and Response“.
Hinweis
SIEM-Lösungen ermöglichen die Speicherung und Analyse von Protokollen, Ereignissen und Warnungen, die von anderen Systemen generiert werden. Sie können diese Lösungen so konfigurieren, dass eigene Warnungen ausgegeben werden. SOAR-Lösungen unterstützen die Behebung von Sicherheitsrisiken und die gesamte Automatisierung von Sicherheitsprozessen.
Microsoft Sentinel verwendet integrierte und benutzerdefinierte Erkennungen, um Sie vor potenziellen Sicherheitsbedrohungen zu warnen, wie z. B. Versuche, von außerhalb der Infrastruktur auf die Ressourcen von Contoso zuzugreifen, oder wenn die Daten von Contoso an eine als bösartig bekannte IP-Adresse gesendet werden. Sie können auch Vorfälle basierend auf diesen Warnungen erstellen.
Microsoft Sentinel-Playbooks
Sie können Sicherheitsplaybooks in Microsoft Sentinel erstellen, um auf Warnungen zu reagieren. Sicherheitsplaybooks sind Sammlungen von Prozeduren, die auf Azure Logic Apps basieren, die als Reaktion auf eine Warnung ausgeführt werden. Sie können diese Sicherheitsplaybooks manuell als Reaktion auf die Untersuchung eines Vorfalls ausführen, oder Sie können eine Warnung so konfigurieren, dass ein Playbook automatisch ausgeführt wird.
Dank der Fähigkeit, automatisch auf Incidents zu reagieren, können Sie einige Ihrer sicherheitsrelevanten Vorgänge automatisieren und die Produktivität Ihres Security Operations Center (SOC) steigern.
Wenn Sie Ihr Vorgehen an die Anforderungen von Contoso anpassen möchten, können Sie einen Workflow mit definierten Schritten entwickeln, mit denen ein verdächtiger Benutzername für den Zugriff auf Ressourcen von einer nicht sicheren IP-Adresse blockiert werden kann. Alternativ können Sie das Playbook so konfigurieren, dass ein Vorgang durchgeführt wird, z. B., dass das SecOps-Team über eine allgemeine Sicherheitswarnung benachrichtigt wird.
Azure Logic Apps
Azure Logic Apps ist ein Clouddienst, der die Ausführung von Geschäftsprozessen automatisiert. Mit dem grafischen Designtool Designer für Logik-Apps ordnen Sie vorkonfigurierte Komponenten in der erforderlichen Reihenfolge an. Sie können auch die Codeansicht verwenden und den automatisierten Prozess in der JSON-Datei schreiben.
Logic Apps-Connector
Logic-Apps verwenden Connectors zum Herstellen einer Verbindung mit Hunderten von Diensten. Ein Connector ist eine Komponente, die eine Schnittstelle zu einem externen Dienst bereitstellt.
Hinweis
Ein Microsoft Sentinel-Datenconnector und ein Logic Apps-Connector sind nicht dasselbe. Ein Microsoft Sentinel-Datenconnector verbindet Microsoft Sentinel mit Microsoft-Sicherheitsprodukten und Sicherheitsökosystemen für Lösungen, die nicht von Microsoft stammen. Bei einem Logic Apps-Connector handelt es sich um eine Komponente, die eine API-Verbindung für einen externen Dienst bereitstellt und die Integration von Ereignissen, Daten und Aktionen in andere Apps, Dienste, Systeme, Protokolle und Plattformen ermöglicht.
Was sind Trigger und Aktionen?
Azure Logic Apps verwendet Trigger und Aktionen, die wie folgt definiert werden:
Ein Trigger ist ein Ereignis, das auftritt, wenn bestimmte Bedingungen erfüllt sind. Dieser Vorgang erfolgt automatisch, Es kann z. B. sein, dass ein Sicherheitsincident in Microsoft Sentinel auftritt, der dann ein Trigger für eine automatisierte Aktion ist.
Eine Aktion ist ein Vorgang, der eine Aufgabe im Logic Apps-Workflow ausführt. Aktionen werden ausgeführt, wenn ein Trigger aktiviert wird, eine andere Aktion abgeschlossen wird oder wenn eine Bedingung erfüllt wird.
Microsoft Sentinel-Logic Apps-Connector
Ein Microsoft Sentinel-Playbook verwendet einen Microsoft Sentinel-Logic Apps-Connector. Der Connector stellt die Trigger und Aktionen bereit, die das Playbook starten und definierte Aktionen ausführen können.
Aktuell gibt es zwei Trigger des Microsoft Sentinel Logic Apps-Connectors:
Wenn eine Reaktion auf eine Microsoft Sentinel-Warnung ausgelöst wird
Wenn die Regel zum Erstellen von Microsoft Sentinel-Incidents ausgelöst wird
Hinweis
Da sich der Microsoft Sentinel Logic App-Connector in der Vorschauphase befindet, können sich die in diesem Modul beschriebenen Features in Zukunft ändern.
In der folgenden Tabelle werden alle aktuellen Aktionen für den Microsoft Sentinel-Connector aufgeführt.
| Name | BESCHREIBUNG |
|---|---|
| Add comment to incident (Kommentar zu Vorfall hinzufügen) | Fügt dem ausgewählten Vorfall Kommentare hinzu |
| Add labels to Vorfall (Vorfall Bezeichnungen hinzufügen) | Fügt dem ausgewählten Vorfall Bezeichnungen hinzu |
| Alert - Get Vorfall (Warnung: Vorfall abrufen) | Gibt den Vorfall zurück, der der ausgewählten Warnung zugeordnet ist |
| Change incident description (Beschreibung des Vorfalls ändern) | Ändert die Beschreibung für den ausgewählten Vorfall |
| Change incident severity (Schweregrad des Vorfalls ändern) | Ändert den Schweregrad für den ausgewählten Vorfall |
| Change incident status (Status des Vorfalls ändern) | Ändert den Status für den ausgewählten Vorfall |
| Change incident title (Titel des Vorfalls ändern) (V2) | Ändert den Titel für den ausgewählten Vorfall |
| Entities - Get Accounts (Entitäten: Konten abrufen) | Gibt eine Liste der Konten zurück, die der Warnung zugeordnet sind |
| Entities - Get FileHashes (Entitäten: FileHashes abrufen) | Gibt eine Liste der Dateihashes zurück, die der Warnung zugeordnet sind |
| Entities - Get Hosts (Entitäten: Hosts abrufen) | Gibt eine Liste von Hosts zurück, die der Warnung zugeordnet sind |
| Entities - Get IPs (Entitäten: IP-Adressen abrufen) | Gibt eine Liste der IP-Adressen zurück, die der Warnung zugeordnet sind |
| Entities - Get URLs (Entitäten: URLs abrufen) | Gibt eine Liste von URLs zurück, die der Warnung zugeordnet sind |
| Remove labels from incident (Bezeichnungen aus Vorfall entfernen) | Entfernt die Bezeichnungen für den ausgewählten Vorfall |
Hinweis
Bei Aktionen, die mit (v2) oder einer höheren Zahl gekennzeichnet sind, handelt es sich um neue Versionen der Aktion. Sie können von der alten Funktionalität der Aktion abweichen.
Für einige Aktionen ist eine Integration mit Aktionen von anderen Connectors erforderlich. Wenn Contoso z. B. möchte, dass alle verdächtigen Konten identifiziert werden sollen, die in der Warnung aus den definierten Entitäten zurückgegeben werden, müssen Sie die Aktion Entities - Get Accounts (Entitäten: Konten abrufen) mit der Aktion For Each (Für alle) kombinieren. Außerdem müssen Sie zum Abrufen aller Hosts in einem Incident, der verdächtige Hosts ermittelt, die Aktion Entities - Get Hosts (Entitäten – Hosts abrufen) mit der Aktion For Each (Für alle) kombinieren.