Wat zijn Microsoft Sentinel-playbooks?
Naast het beoordelen en aanpakken van problemen met de beveiligingsconfiguratie, moet Contoso ook controleren op nieuwe problemen en bedreigingen en vervolgens op de juiste wijze reageren.
Microsoft Sentinel als SIEM- en SOAR-oplossing
Microsoft Sentinel is een SOAR-oplossing (Security Information and Event Management) en Security Orchestration, Automation and Response (SOAR) die is ontworpen voor hybride omgevingen.
Notitie
SIEM-oplossingen bieden opslag en analyse van logboeken, gebeurtenissen en waarschuwingen die door andere systemen worden gegenereerd. U kunt deze oplossingen zo configureren dat deze hun eigen waarschuwingen genereren. SOAR-oplossingen ondersteunen het herstel van beveiligingsproblemen en de algehele automatisering van beveiligingsprocessen.
Microsoft Sentinel maakt gebruik van ingebouwde en aangepaste detecties om u te waarschuwen voor mogelijke beveiligingsrisico's, zoals pogingen om toegang te krijgen tot de resources van Contoso van buiten de infrastructuur of wanneer gegevens van Contoso naar een bekend schadelijk IP-adres worden verzonden. U kunt ook incidenten maken op basis van deze waarschuwingen.
Microsoft Sentinel-playbooks
U kunt beveiligingsplaybooks maken in Microsoft Sentinel om te reageren op waarschuwingen. Beveiligingsplaybooks zijn verzamelingen procedures op basis van Azure Logic Apps die worden uitgevoerd als reactie op een waarschuwing. U kunt deze beveiligingsplaybooks handmatig uitvoeren als reactie op uw onderzoek naar een incident of u kunt een waarschuwing configureren om automatisch een playbook uit te voeren.
Met de mogelijkheid om automatisch te reageren op incidenten, kunt u enkele van uw beveiligingsbewerkingen automatiseren en uw Security Operations Center (SOC) productiever maken.
U kunt bijvoorbeeld de problemen van Contoso oplossen door een werkstroom te ontwikkelen met gedefinieerde stappen waarmee wordt verhinderd dat een verdachte gebruikersnaam toegang krijgt tot resources vanuit een niet-beveiligd IP-adres. U kunt het playbook ook configureren om een bewerking uit te voeren, zoals het melden van het SecOps-team over een beveiligingswaarschuwing op hoog niveau.
Azure Logic-apps
Azure Logic Apps is een cloudservice waarmee de bewerking van uw bedrijfsprocessen wordt geautomatiseerd. Met het grafische ontwerpprogramma Logic Apps Designer rangschikt u de vooraf ingebouwde onderdelen in de gewenste volgorde. U kunt ook de codeweergave gebruiken en uw geautomatiseerde proces schrijven in het JSON-bestand.
Logic Apps-connector
Logische apps gebruiken connectors om verbinding te maken met honderden services. Een connector is een onderdeel van Logic Apps dat fungeert als interface naar een externe service.
Notitie
Een Microsoft Sentinel-gegevensconnector en een Logic Apps-connector zijn niet hetzelfde. Een Microsoft Sentinel-gegevensconnector verbindt Microsoft Sentinel met Microsoft-beveiligingsproducten en beveiligingsecosystemen voor niet-Microsoft-oplossingen. Een Logic Apps-connector is een onderdeel dat een API-verbinding biedt voor een externe service en waarmee gebeurtenissen, gegevens en acties in andere apps, services, systemen, protocollen en platformen kunnen worden geïntegreerd.
Wat zijn triggers en acties
Azure Logic Apps maken gebruik van triggers en acties die als volgt worden gedefinieerd:
Een trigger is een gebeurtenis die zich voordoet wanneer aan een specifieke reeks voorwaarden is voldaan. Triggers worden automatisch geactiveerd wanneer aan bepaalde voorwaarden wordt voldaan, Een beveiligingsincident treedt bijvoorbeeld op in Microsoft Sentinel. Dit is een trigger voor een geautomatiseerde actie.
Een actie is een bewerking waarmee een taak wordt uitgevoerd in de Logic Apps-werkstroom. Acties worden uitgevoerd wanneer een trigger wordt geactiveerd of aan een voorwaarde wordt voldaan.
Microsoft Sentinel Logic Apps-connector
Een Microsoft Sentinel-playbook maakt gebruik van een Microsoft Sentinel Logic Apps-connector. Deze biedt de triggers en acties waarmee het playbook kan worden gestart en gedefinieerde acties kunnen worden uitgevoerd.
Er zijn momenteel twee triggers van de Microsoft Sentinel Logic Apps-connector:
Wanneer een reactie op een Microsoft Sentinel-waarschuwing wordt geactiveerd
Wanneer de regel voor het maken van een Microsoft Sentinel-incident wordt geactiveerd
Notitie
Omdat Microsoft Sentinel Logic App-connector in preview is, kunnen de functies die in deze module worden beschreven, in de toekomst veranderen.
De volgende tabel bevat alle huidige acties voor de Microsoft Sentinel-connector.
| Name | Beschrijving |
|---|---|
| Opmerking toevoegen aan het incident | Hiermee voegt u opmerkingen toe aan het geselecteerde incident. |
| Labels aan incident toevoegen | Hiermee voegt u labels toe aan het geselecteerde incident. |
| Waarschuwing - Incident ophalen | Hiermee wordt het incident geretourneerd dat is gekoppeld aan de geselecteerde waarschuwing. |
| Beschrijving van incident wijzigen | Hiermee wordt de beschrijving voor het geselecteerde incident gewijzigd. |
| Ernst van incident wijzigen | Hiermee wordt de ernst voor het geselecteerde incident gewijzigd. |
| Incidentstatus wijzigen | Hiermee wordt de status voor het geselecteerde incident gewijzigd. |
| Incidenttitel wijzigen (V2) | Hiermee wordt de titel voor het geselecteerde incident gewijzigd. |
| Entiteiten - Accounts ophalen | Hiermee wordt een lijst met accounts geretourneerd die zijn gekoppeld aan de waarschuwing. |
| Entiteiten - FileHashes ophalen | Hiermee wordt een lijst met bestandshashes geretourneerd die zijn gekoppeld aan de waarschuwing. |
| Entiteiten - Hosts ophalen | Hiermee wordt een lijst met hosts geretourneerd die zijn gekoppeld aan de waarschuwing. |
| Entiteiten - IP's ophalen | Hiermee wordt een lijst met IP's geretourneerd die zijn gekoppeld aan de waarschuwing. |
| Entiteiten - URL's ophalen | Hiermee wordt een lijst met URL's geretourneerd die zijn gekoppeld aan de waarschuwing. |
| Labels uit incident verwijderen | Hiermee worden de labels voor het geselecteerde incident verwijderd. |
Notitie
Acties met (V2) of een hoger nummer bieden een nieuwe versie van de actie en kunnen verschillen van de oude functionaliteit van de actie.
Sommige acties moeten worden geïntegreerd met acties van andere connectors. Als Contoso bijvoorbeeld alle verdachte accounts wil identificeren die in de waarschuwing van de gedefinieerde entiteiten worden geretourneerd, moet u de actie Entiteiten - Accounts ophalen met de actie Voor elke combineren. Als u alle afzonderlijke hosts in een incident wilt ophalen waarmee verdachte hosts worden gedetecteerd, moet u de actie Entiteiten - Hosts ophalen combineren met de actie Voor elke actie.