Bewerken

Delen via

Geautomatiseerde antwoorden van Microsoft Sentinel

Microsoft Sentinel
Microsoft Entra ID
Azure Logic Apps

Oplossingsideeën

In dit artikel wordt een oplossingsidee beschreven. Uw cloudarchitect kan deze richtlijnen gebruiken om de belangrijkste onderdelen te visualiseren voor een typische implementatie van deze architectuur. Gebruik dit artikel als uitgangspunt om een goed ontworpen oplossing te ontwerpen die overeenkomt met de specifieke vereisten van uw workload.

Microsoft Sentinel is een schaalbare cloudoplossing voor SIEM (Security Information and Event Management) en security orchestration, automation and response (SOAR). Het biedt intelligente beveiligingsanalyses voor organisaties van alle grootten en biedt de volgende mogelijkheden en meer:

  • Detectie van zakelijke aanvallen
  • Proactieve opsporing
  • Automatische reactie op incidenten

Reactie op bedreigingen in Microsoft Sentinel wordt beheerd via playbooks. Wanneer een waarschuwing of incident wordt geactiveerd, voert een playbook een reeks geautomatiseerde acties uit om de bedreiging tegen te gaan. U maakt deze playbooks met behulp van Azure Logic Apps.

Microsoft Sentinel biedt honderden kant-en-klare playbooks, waaronder playbooks voor de volgende scenario's:

  • Een Microsoft Entra-gebruiker blokkeren
  • Een Microsoft Entra-gebruiker blokkeren op basis van afwijzing via e-mail
  • Een bericht posten in een Microsoft Teams-kanaal over een incident of waarschuwing
  • Een bericht posten op Slack
  • Een e-mailbericht met incident- of waarschuwingsgegevens verzenden
  • Een e-mailbericht met een opgemaakt incidentrapport verzenden
  • Bepalen of een Microsoft Entra-gebruiker risico loopt
  • Een adaptieve kaart verzenden via Microsoft Teams om te bepalen of een gebruiker is gecompromitteerd
  • Een eindpunt isoleren via Microsoft Defender voor Eindpunt

Dit artikel bevat een voorbeeld van het implementeren van een playbook dat reageert op een bedreiging door een Microsoft Entra-gebruiker te blokkeren die wordt aangetast door verdachte activiteiten.

Mogelijke use-case

De technieken die in dit artikel worden beschreven, zijn van toepassing wanneer u een automatische reactie op een detecteerbare voorwaarde moet implementeren.

Architectuur

Microsoft Sentinel-architectuur met behulp van playbooks.

Download een Visio-bestand van deze architectuur.

Workflow

Deze werkstroom toont de stappen voor het implementeren van het playbook. Zorg ervoor dat aan de vereisten wordt voldaan voordat u begint. U moet bijvoorbeeld een Microsoft Entra-gebruiker kiezen.

  1. Volg de stappen in Logboeken verzenden naar Azure Monitor om Microsoft Entra-id te configureren voor het verzenden van auditlogboeken naar de Log Analytics-werkruimte die wordt gebruikt met Microsoft Sentinel.

    Notitie

    Deze oplossing maakt geen gebruik van de auditlogboeken, maar u kunt ze gebruiken om te onderzoeken wat er gebeurt wanneer de gebruiker wordt geblokkeerd.

  2. Microsoft Entra ID Protection genereert de waarschuwingen die het playbook voor bedreigingsreacties activeren om uit te voeren. Als u wilt dat Microsoft Sentinel de waarschuwingen verzamelt, gaat u naar uw Microsoft Sentinel-exemplaar en selecteert u Gegevensconnectors. Zoek naar Microsoft Entra ID Protection en schakel het verzamelen van waarschuwingen in. Zie Wat is Identity Protection? voor meer informatie over Identity Protection.

  3. Installeer de ToR-browser op een computer of virtuele machine (VM) die u kunt gebruiken zonder uw IT-beveiliging in gevaar te brengen.

  4. Gebruik de Tor-browser om u anoniem aan te melden bij Mijn apps als de gebruiker die u voor deze oplossing hebt geselecteerd. Zie Anoniem IP-adres voor instructies over het gebruik van de Tor-browser om anonieme IP-adressen te simuleren.

  5. Microsoft Entra verifieert de gebruiker.

  6. Microsoft Entra ID Protection detecteert dat de gebruiker een ToR-browser heeft gebruikt om zich anoniem aan te melden. Dit type aanmelding is verdachte activiteit waardoor de gebruiker risico loopt. Identity Protection verzendt een waarschuwing naar Microsoft Sentinel.

  7. Configureer Microsoft Sentinel om een incident te maken op basis van de waarschuwing. Zie Automatisch incidenten maken van Microsoft-beveiligingswaarschuwingen voor informatie over dit doen. De sjabloon voor beveiligingsanalyseregels van Microsoft die moet worden gebruikt, is Incidenten maken op basis van Microsoft Entra ID Protection-waarschuwingen.

  8. Wanneer Microsoft Sentinel een incident activeert, reageert het playbook met acties die de gebruiker blokkeren.

Onderdelen

  • Microsoft Sentinel is een cloudeigen SIEM- en SOAR-oplossing. Het maakt gebruik van geavanceerde AI- en beveiligingsanalyses om bedreigingen in de hele onderneming te detecteren en erop te reageren. Er zijn veel playbooks op Microsoft Sentinel die u kunt gebruiken om uw antwoorden te automatiseren en uw systeem te beveiligen.
  • Microsoft Entra ID is een cloudservice voor adreslijst- en identiteitsbeheer die kerndirectoryservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging combineert tot één oplossing. Het kan worden gesynchroniseerd met on-premises mappen. De identiteitsservice biedt eenmalige aanmelding, meervoudige verificatie en voorwaardelijke toegang om cyberbeveiligingsaanvallen te beschermen. De oplossing die in dit artikel wordt weergegeven, maakt gebruik van Microsoft Entra identity Protect om verdachte activiteiten door een gebruiker te detecteren.
  • Logic Apps is een serverloze cloudservice voor het maken en uitvoeren van geautomatiseerde werkstromen die apps, gegevens, services en systemen integreren. Ontwikkelaars kunnen een visuele ontwerper gebruiken om algemene taakwerkstromen te plannen en te organiseren. Logic Apps heeft connectors voor veel populaire cloudservices, on-premises producten en andere software als een servicetoepassing. In deze oplossing voert Logic Apps het playbook voor bedreigingsreacties uit.

Overwegingen

  • Het Azure Well-Architected Framework is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.
  • Microsoft Sentinel biedt meer dan 50 playbooks die klaar zijn voor gebruik. U vindt ze op het tabblad Playbook-sjablonen van Microsoft Sentinel|Automatiseringspagina voor uw werkruimte.
  • GitHub heeft verschillende Microsoft Sentinel-playbooks die zijn gebouwd door de community.

Dit scenario implementeren

U kunt dit scenario implementeren door de stappen in Werkstroom te volgen nadat u ervoor hebt gezorgd dat aan de vereisten wordt voldaan.

Vereisten

De software voorbereiden en een testgebruiker kiezen

Als u het playbook wilt implementeren en testen, hebt u Azure en Microsoft Sentinel nodig, samen met het volgende:

  • Een Microsoft Entra ID Protection-licentie (Premium P2, E3 of E5).
  • Een Microsoft Entra-gebruiker. U kunt een bestaande gebruiker gebruiken of een nieuwe gebruiker maken. Als u een nieuwe gebruiker maakt, kunt u deze verwijderen wanneer u klaar bent met het gebruik ervan.
  • Een computer of VM waarop een ToR-browser kan worden uitgevoerd. U gebruikt de browser om u als uw Microsoft Entra-gebruiker aan te melden bij de Mijn apps-portal.

Het playbook implementeren

Als u een Microsoft Sentinel-playbook wilt implementeren, gaat u als volgt te werk:

  • Als u geen Log Analytics-werkruimte hebt die u voor deze oefening kunt gebruiken, maakt u als volgt een nieuwe werkruimte:
    • Ga naar de hoofdpagina van Microsoft Sentinel en selecteer + Maken om naar de pagina Microsoft Sentinel toevoegen aan een werkruimte te gaan.
    • Selecteer Een nieuwe werkruimte maken. Volg de instructies om de nieuwe werkruimte te maken. Na korte tijd wordt de werkruimte gemaakt.
  • Op dit moment hebt u een werkruimte, misschien een werkruimte die u zojuist hebt gemaakt. Gebruik de volgende stappen om te zien of Microsoft Sentinel eraan is toegevoegd en om deze toe te voegen als dat niet het probleem is:
    • Ga naar de hoofdpagina van Microsoft Sentinel .
    • Als Microsoft Sentinel al is toegevoegd aan uw werkruimte, wordt de werkruimte weergegeven in de weergegeven lijst. Als deze nog niet is toegevoegd, voegt u deze als volgt toe.
      • Selecteer + Maken om naar microsoft Sentinel toe te voegen aan een werkruimtepagina .
      • Selecteer uw werkruimte in de weergegeven lijst en selecteer vervolgens Toevoegen onder aan de pagina. Na korte tijd wordt Microsoft Sentinel toegevoegd aan uw werkruimte.
  • Maak als volgt een playbook:
    • Ga naar de hoofdpagina van Microsoft Sentinel . Selecteer uw werkruimte. Selecteer Automation in het linkermenu om naar de pagina Automation te gaan. Deze pagina heeft drie tabbladen.
    • Selecteer het tabblad Playbook-sjablonen (preview).
    • Voer in het zoekveld Microsoft Entra-gebruiker blokkeren - Incident in.
    • Selecteer In de lijst met playbooks Microsoft Entra-gebruiker blokkeren - Incident en selecteer vervolgens Playbook maken in de rechterbenedenhoek om naar de pagina Afspelen maken te gaan.
    • Ga als volgt te werk op de pagina Playbook maken:
      • Selecteer waarden voor Abonnement, Resourcegroep en Regio in de lijsten.
      • Voer een waarde in voor playbooknaam als u niet de standaardnaam wilt gebruiken die wordt weergegeven.
      • Als u wilt, selecteert u Diagnostische logboeken inSchakelen in Log Analytics om logboeken in te schakelen.
      • Laat het selectievakje Koppelen aan integratieserviceomgeving uitgeschakeld.
      • Laat de integratieserviceomgeving leeg.
    • Selecteer Volgende: Verbindingen om naar het > tabblad Verbindingen van playbook maken te gaan.
    • Kies hoe u zich verifieert binnen de onderdelen van het playbook. Verificatie is vereist voor:
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Office 365 Outlook

      Notitie

      U kunt de resources verifiëren tijdens het aanpassen van een playbook onder de resource van de logische app als u deze later wilt inschakelen. Als u de bovenstaande resources op dit moment wilt verifiëren, hebt u machtigingen nodig om een gebruiker bij te werken op Microsoft Entra-id. De gebruiker moet toegang hebben tot een e-mailpostvak en moet e-mailberichten kunnen verzenden.

    • Selecteer Volgende: Controleren en maken > om naar het tabblad Controleren en maken van playbook maken te gaan.
    • Selecteer Maken en doorgaan met ontwerpen om het playbook te maken en toegang te krijgen tot de ontwerppagina van de logische app .

Zie Wat is Azure Logic Apps en quickstart: Werkstroomdefinities voor logische apps maken en beheren voor meer informatie over het bouwen van logische apps.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Andere Inzenders:

Volgende stappen