Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
Analitycy SOC zajmują się wieloma alertami i zdarzeniami zabezpieczeń, a sama ilość może przeciążać zespoły, co prowadzi do ignorowania alertów i nieinwestycjonowanych zdarzeń. Wiele alertów i zdarzeń można rozwiązać za pomocą tych samych zestawów wstępnie zdefiniowanych akcji korygowania, które można zautomatyzować w celu zwiększenia wydajności SOC i zwolnienia analityków w celu dokładniejszego zbadania.
Podręczniki usługi Microsoft Sentinel umożliwiają uruchamianie wstępnie skonfigurowanych zestawów akcji korygujących w celu zautomatyzowania i organizowania reagowania na zagrożenia. Automatycznie uruchamiaj podręczniki w odpowiedzi na określone alerty i zdarzenia, które wyzwalają skonfigurowaną regułę automatyzacji, lub ręcznie i na żądanie dla określonej jednostki lub alertu.
Na przykład w przypadku naruszenia zabezpieczeń konta i komputera podręcznik może automatycznie odizolować maszynę od sieci i zablokować konto przez czas powiadamiania zespołu SOC o zdarzeniu.
Uwaga
Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Zalecane przypadki użycia
W poniższej tabeli wymieniono ogólne przypadki użycia, w których zalecamy użycie podręczników usługi Microsoft Sentinel w celu zautomatyzowania reagowania na zagrożenia:
Przypadek użycia | opis |
---|---|
Wzbogacenie | Zbierz dane i dołącz je do zdarzenia, aby pomóc zespołowi w podejmowaniu mądrzejszych decyzji. |
Synchronizacja dwukierunkowa | Synchronizuj zdarzenia usługi Microsoft Sentinel z innymi systemami biletów. Na przykład utwórz regułę automatyzacji dla wszystkich tworzenia zdarzeń i dołącz podręcznik, który otwiera bilet w usłudze ServiceNow. |
Aranżacja | Użyj platformy czatu zespołu SOC, aby lepiej kontrolować kolejkę zdarzeń. Na przykład wyślij komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub usłudze Slack, aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu. |
Response | Natychmiastowe reagowanie na zagrożenia, przy minimalnych zależnościach człowieka, takich jak w przypadku wskazania naruszonego użytkownika lub maszyny. Alternatywnie ręcznie wyzwalaj serię zautomatyzowanych kroków podczas badania lub podczas wyszukiwania zagrożeń. |
Aby uzyskać więcej informacji, zobacz Zalecane przypadki użycia podręcznika, szablony i przykłady.
Wymagania wstępne
Do tworzenia i uruchamiania podręczników w usłudze Microsoft Sentinel wymagane są następujące role.
Rola | Opis |
---|---|
Właściciel | Umożliwia udzielanie dostępu do podręczników w grupie zasobów. |
Współautor usługi Microsoft Sentinel | Umożliwia dołączenie podręcznika do reguły analizy lub automatyzacji. |
Osoba odpowiadająca w usłudze Microsoft Sentinel | Umożliwia dostęp do zdarzenia w celu ręcznego uruchamiania podręcznika, ale nie umożliwia uruchamiania podręcznika. |
Operator podręcznika usługi Microsoft Sentinel | Umożliwia ręczne uruchamianie podręcznika. |
Współautor automatyzacji usługi Microsoft Sentinel | Umożliwia uruchamianie podręczników przez reguły automatyzacji. Ta rola nie jest używana w żadnym innym celu. |
W poniższej tabeli opisano wymagane role na podstawie tego, czy wybrano aplikację logiki Zużycie, czy Standardowa, aby utworzyć podręcznik:
Aplikacja logiki | Role na platformie Azure | opis |
---|---|---|
Zużycie | Współautor aplikacji logiki | Edytowanie aplikacji logiki i zarządzanie nimi. Uruchamianie podręczników. Nie zezwala na udzielanie dostępu do podręczników. |
Zużycie | Operator aplikacji logiki | Odczytywanie, włączanie i wyłączanie aplikacji logiki. Nie umożliwia edytowania ani aktualizowania aplikacji logiki. |
Standardowa | Operator usługi Logic Apps w warstwie Standardowa | Włącz, prześlij ponownie i wyłącz przepływy pracy w aplikacji logiki. |
Standardowa | Deweloper usługi Logic Apps w warstwie Standardowa | Tworzenie i edytowanie aplikacji logiki. |
Standardowa | Współautor usługi Logic Apps w warstwie Standardowa | Zarządzanie wszystkimi aspektami aplikacji logiki. |
Karta Aktywne elementy playbook na stronie Automatyzacja zawiera wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach. Domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że w szczególności udzielasz uprawnień usługi Microsoft Sentinel grupie zasobów podręcznika.
Dodatkowe uprawnienia wymagane przez usługę Microsoft Sentinel do uruchamiania podręczników
Usługa Microsoft Sentinel używa konta usługi do uruchamiania podręczników dotyczących zdarzeń, dodawania zabezpieczeń i włączania interfejsu API reguł automatyzacji w celu obsługi przypadków użycia ciągłej integracji/ciągłego wdrażania. To konto usługi jest używane na potrzeby podręczników wyzwalanych przez zdarzenia lub ręcznego uruchamiania podręcznika w określonym zdarzeniu.
Oprócz własnych ról i uprawnień to konto usługi Microsoft Sentinel musi mieć własny zestaw uprawnień do grupy zasobów, w której znajduje się podręcznik, w postaci roli Współautor automatyzacji usługi Microsoft Sentinel. Gdy usługa Microsoft Sentinel ma tę rolę, może uruchomić dowolny podręcznik w odpowiedniej grupie zasobów, ręcznie lub z reguły automatyzacji.
Aby przyznać usłudze Microsoft Sentinel wymagane uprawnienia, musisz mieć rolę administratora dostępu właściciela lub użytkownika. Aby uruchomić podręczniki, musisz również mieć rolę Współautor aplikacji logiki w grupie zasobów zawierającej podręczniki, które chcesz uruchomić.
Szablony podręczników (wersja zapoznawcza)
Ważne
Szablony podręczników są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Szablony podręczników są wstępnie utworzone, przetestowane i gotowe do użycia przepływy pracy, które nie są używane jako podręczniki, ale są gotowe do dostosowania do własnych potrzeb. Zalecamy również używanie szablonów podręczników jako odwołania do najlepszych rozwiązań podczas tworzenia podręczników od podstaw lub jako inspiracji dla nowych scenariuszy automatyzacji.
Uzyskaj dostęp do szablonów podręczników z następujących źródeł:
Lokalizacja | opis |
---|---|
Strona automatyzacji usługi Microsoft Sentinel | Karta Szablony podręczników zawiera listę wszystkich zainstalowanych podręczników. Utwórz co najmniej jeden aktywny podręcznik przy użyciu tego samego szablonu. Po opublikowaniu nowej wersji szablonu wszystkie aktywne podręczniki utworzone na podstawie tego szablonu mają dodatkową etykietę dodaną na karcie Aktywne podręczniki , aby wskazać, że aktualizacja jest dostępna. |
Strona centrum zawartości usługi Microsoft Sentinel | Szablony podręczników są dostępne jako część rozwiązań produktów lub zawartości autonomicznej zainstalowanej z centrum zawartości. Aby uzyskać więcej informacji, zobacz: Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią |
GitHub | Repozytorium GitHub usługi Microsoft Sentinel zawiera wiele innych szablonów podręczników. Wybierz pozycję Wdróż na platformie Azure , aby wdrożyć szablon w ramach subskrypcji platformy Azure. |
Technicznie szablon podręcznika jest szablonem usługi Azure Resource Manager (ARM), który składa się z kilku zasobów: przepływu pracy usługi Azure Logic Apps i połączeń interfejsu API dla każdego zaangażowanego połączenia.
Aby uzyskać więcej informacji, zobacz:
- Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości
- Zalecane szablony podręczników
- Podręczniki usługi Azure Logic Apps dla usługi Microsoft Sentinel
Tworzenie podręcznika i przepływ pracy użycia
Użyj następującego przepływu pracy, aby utworzyć i uruchomić podręczniki usługi Microsoft Sentinel:
Zdefiniuj scenariusz automatyzacji. Zalecamy przejrzenie zalecanych przypadków użycia podręczników i szablonów podręczników , aby rozpocząć.
Jeśli nie używasz szablonu, utwórz podręcznik i skompiluj aplikację logiki. Aby uzyskać więcej informacji, zobacz Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi.
Przetestuj aplikację logiki, uruchamiając ją ręcznie. Aby uzyskać więcej informacji, zobacz Ręczne uruchamianie podręcznika na żądanie.
Skonfiguruj element playbook do automatycznego uruchamiania podczas tworzenia nowego alertu lub zdarzenia albo uruchom go ręcznie zgodnie z potrzebami dla procesów. Aby uzyskać więcej informacji, zobacz Reagowanie na zagrożenia za pomocą podręczników usługi Microsoft Sentinel.
Powiązana zawartość
- Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości
- Tworzenie podręczników usługi Microsoft Sentinel i zarządzanie nimi
- Reagowanie na zagrożenia za pomocą podręczników usługi Microsoft Sentinel
- Podręczniki usługi Azure Logic Apps dla usługi Microsoft Sentinel