Automatyczne odpowiedzi usługi Microsoft Sentinel

Microsoft Sentinel to skalowalne rozwiązanie oparte na chmurze na potrzeby zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Oferuje ona inteligentną analizę zabezpieczeń dla organizacji o wszystkich rozmiarach i udostępnia następujące możliwości i nie tylko:

• Wykrywanie ataków biznesowych
• Aktywne wyszukiwanie zagrożeń
• Automatyczna odpowiedź na zdarzenia

Odpowiedź na zagrożenia w usłudze Microsoft Sentinel jest zarządzana za pośrednictwem podręczników. Po wyzwoleniu alertu lub zdarzenia podręcznik uruchamia serię zautomatyzowanych akcji w celu przeciwdziałania zagrożeniu. Te podręczniki są tworzone przy użyciu usługi Azure Logic Apps.

Usługa Microsoft Sentinel udostępnia setki gotowych do użycia podręczników, w tym podręczników dla następujących scenariuszy:

• Blokowanie użytkownika entra firmy Microsoft
• Blokowanie użytkownika entra firmy Microsoft na podstawie odrzucenia za pośrednictwem poczty e-mail
• Publikowanie wiadomości w kanale usługi Microsoft Teams na temat zdarzenia lub alertu
• Publikowanie wiadomości w usłudze Slack
• Wysyłanie wiadomości e-mail ze szczegółami zdarzenia lub alertu
• Wysyłanie wiadomości e-mail z sformatowanym raportem o zdarzeniu
• Określanie, czy użytkownik firmy Microsoft Entra jest zagrożony
• Wysyłanie karty adaptacyjnej za pośrednictwem usługi Microsoft Teams w celu ustalenia, czy naruszono bezpieczeństwo użytkownika
• Izolowanie punktu końcowego za pośrednictwem Ochrona punktu końcowego w usłudze Microsoft Defender

Ten artykuł zawiera przykład implementacji podręcznika, który reaguje na zagrożenie, blokując użytkownika Firmy Microsoft Entra, który jest zagrożony podejrzanymi działaniami.

Potencjalny przypadek użycia

Techniki opisane w tym artykule mają zastosowanie zawsze, gdy trzeba zaimplementować automatyczną odpowiedź na możliwy do wykrycia warunek.

Architektura

Pobierz plik programu Visio tej architektury.

Przepływ pracy

Ten przepływ pracy przedstawia kroki wdrażania podręcznika. Przed rozpoczęciem upewnij się, że wymagania wstępne są spełnione. Na przykład musisz wybrać użytkownika Microsoft Entra.

1. Wykonaj kroki opisane w temacie Wysyłanie dzienników do usługi Azure Monitor , aby skonfigurować identyfikator entra firmy Microsoft w celu wysyłania dzienników inspekcji do obszaru roboczego usługi Log Analytics używanego w usłudze Microsoft Sentinel.

   Uwaga

   To rozwiązanie nie korzysta z dzienników inspekcji, ale można ich użyć do zbadania, co się stanie, gdy użytkownik zostanie zablokowany.

2. Ochrona tożsamości Microsoft Entra generuje alerty, które wyzwalają element playbook reagowania na zagrożenia do uruchomienia. Aby usługa Microsoft Sentinel zbierała alerty, przejdź do wystąpienia usługi Microsoft Sentinel i wybierz pozycję Łączniki danych. Wyszukaj Ochrona tożsamości Microsoft Entra i włącz zbieranie alertów. Aby uzyskać więcej informacji na temat usługi Identity Protection, zobacz Co to jest usługa Identity Protection?.

3. Zainstaluj przeglądarkę ToR na komputerze lub maszynie wirtualnej, której można użyć bez narażania bezpieczeństwa IT na ryzyko.

4. Użyj przeglądarki Tor, aby anonimowo zalogować się do pozycji Moje aplikacje jako użytkownik wybrany dla tego rozwiązania. Zobacz Anonimowy adres IP, aby uzyskać instrukcje dotyczące symulowania anonimowych adresów IP przy użyciu przeglądarki Tor.

5. Firma Microsoft Entra uwierzytelnia użytkownika.

6. Ochrona tożsamości Microsoft Entra wykrywa, że użytkownik loguje się anonimowo przy użyciu przeglądarki ToR. Ten typ logowania jest podejrzanym działaniem, które naraża użytkownika na ryzyko. Usługa Identity Protection wysyła alert do usługi Microsoft Sentinel.

7. Skonfiguruj usługę Microsoft Sentinel, aby utworzyć zdarzenie na podstawie alertu. Aby uzyskać informacje na temat tego, zobacz Automatyczne tworzenie zdarzeń na podstawie alertów zabezpieczeń firmy Microsoft. Szablon reguły analizy zabezpieczeń firmy Microsoft do użycia to Tworzenie zdarzeń na podstawie alertów Ochrona tożsamości Microsoft Entra.

8. Gdy usługa Microsoft Sentinel wyzwala zdarzenie, podręcznik odpowiada za pomocą akcji, które blokują użytkownika.

Składniki

• Microsoft Sentinel to natywne dla chmury rozwiązanie SIEM i SOAR. Używa ona zaawansowanej analizy sztucznej inteligencji i zabezpieczeń do wykrywania zagrożeń i reagowania na nie w całym przedsiębiorstwie. Istnieje wiele podręczników w usłudze Microsoft Sentinel, których można używać do automatyzowania odpowiedzi i ochrony systemu.
• Microsoft Entra ID to oparta na chmurze usługa katalogów i zarządzania tożsamościami, która łączy podstawowe usługi katalogowe, zarządzanie dostępem do aplikacji i ochronę tożsamości w jednym rozwiązaniu. Może ona być synchronizowana z katalogami lokalnymi. Usługa tożsamości zapewnia logowanie jednokrotne, uwierzytelnianie wieloskładnikowe i dostęp warunkowy w celu ochrony przed atakami cyberbezpieczeństwa. Rozwiązanie przedstawione w tym artykule używa usługi Microsoft Entra identity Protect do wykrywania podejrzanych działań przez użytkownika.
• Logic Apps to bezserwerowa usługa w chmurze służąca do tworzenia i uruchamiania zautomatyzowanych przepływów pracy, które integrują aplikacje, dane, usługi i systemy. Deweloperzy mogą używać projektanta wizualnego do planowania i organizowania typowych przepływów pracy zadań. Usługa Logic Apps ma łączniki dla wielu popularnych usług w chmurze, produktów lokalnych i innych aplikacji jako usług. W tym rozwiązaniu usługa Logic Apps uruchamia podręcznik reagowania na zagrożenia.

Kwestie wymagające rozważenia

• Platforma Azure Well-Architected Framework to zestaw wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.
• Usługa Microsoft Sentinel oferuje ponad 50 podręczników gotowych do użycia. Można je znaleźć na karcie Szablony podręczników w usłudze Microsoft Sentinel|Strona automatyzacji dla obszaru roboczego.
• Usługa GitHub oferuje różne podręczniki usługi Microsoft Sentinel, które są tworzone przez społeczność.

Wdrażanie tego scenariusza

Ten scenariusz można wdrożyć, wykonując kroki opisane w temacie Przepływ pracy po upewnieniu się, że wymagania wstępne są spełnione.

Wymagania wstępne

• Przygotowywanie oprogramowania i wybieranie użytkownika testowego
• Wdrażanie podręcznika

Przygotowywanie oprogramowania i wybieranie użytkownika testowego

Aby zaimplementować i przetestować podręcznik, potrzebujesz platformy Azure i usługi Microsoft Sentinel wraz z następującymi elementami:

• Licencja Ochrona tożsamości Microsoft Entra (Premium P2, E3 lub E5).
• Użytkownik Firmy Microsoft Entra. Możesz użyć istniejącego użytkownika lub utworzyć nowego użytkownika. Jeśli utworzysz nowego użytkownika, możesz go usunąć po zakończeniu korzystania z niego.
• Komputer lub maszyna wirtualna, na których można uruchomić przeglądarkę ToR. Użyjesz przeglądarki, aby zalogować się do portalu Moje aplikacje jako użytkownik firmy Microsoft Entra.

Wdrażanie podręcznika

Aby wdrożyć podręcznik usługi Microsoft Sentinel, wykonaj następujące czynności:

• Jeśli na potrzeby tego ćwiczenia nie masz obszaru roboczego usługi Log Analytics, utwórz nowy w następujący sposób:
  • Przejdź do strony głównej usługi Microsoft Sentinel i wybierz pozycję + Utwórz, aby przejść do strony Dodawanie usługi Microsoft Sentinel do obszaru roboczego.
  • Wybierz pozycję Utwórz nowy obszar roboczy. Postępuj zgodnie z instrukcjami, aby utworzyć nowy obszar roboczy. Po krótkim czasie zostanie utworzony obszar roboczy.
• Na tym etapie masz obszar roboczy, być może taki, który właśnie został utworzony. Wykonaj następujące kroki, aby sprawdzić, czy usługa Microsoft Sentinel została do niej dodana, i dodać ją, jeśli nie:
  • Przejdź do strony głównej usługi Microsoft Sentinel .
  • Jeśli usługa Microsoft Sentinel została już dodana do obszaru roboczego, obszar roboczy zostanie wyświetlony na wyświetlonej liście. Jeśli jeszcze nie został dodany, dodaj go w następujący sposób.
    • Wybierz pozycję + Utwórz , aby przejść do strony Dodawanie usługi Microsoft Sentinel do obszaru roboczego .
    • Wybierz obszar roboczy z wyświetlonej listy, a następnie wybierz pozycję Dodaj w dolnej części strony. Po krótkim czasie usługa Microsoft Sentinel zostanie dodana do obszaru roboczego.
• Utwórz podręcznik w następujący sposób:
  • Przejdź do strony głównej usługi Microsoft Sentinel . Wybierz obszar roboczy. Wybierz pozycję Automatyzacja z menu po lewej stronie, aby przejść do strony Automatyzacja. Ta strona ma trzy karty.
  • Wybierz kartę Szablony podręczników (wersja zapoznawcza).
  • W polu wyszukiwania wprowadź blokuj użytkownika Microsoft Entra — Zdarzenie.
  • Na liście podręczników wybierz pozycję Blokuj użytkownika Microsoft Entra — Zdarzenie , a następnie wybierz pozycję Utwórz podręcznik w prawym dolnym rogu, aby przejść do strony Tworzenie odtwarzania .
  • Na stronie Tworzenie podręcznika wykonaj następujące czynności:
    • Wybierz wartości dla pozycji Subskrypcja, Grupa zasobów i Region z list.
    • Wprowadź wartość nazwy podręcznika, jeśli nie chcesz używać wyświetlanej nazwy domyślnej.
    • Jeśli chcesz, wybierz pozycję Włącz dzienniki diagnostyczne w usłudze Log Analytics , aby włączyć dzienniki.
    • Pozostaw niezaznaczone pole wyboru Skojarz ze środowiskiem usługi integracji.
    • Pozostaw puste środowisko usługi integracji.
  • Wybierz pozycję Dalej: Połączenia, aby przejść do karty Połączenia > w obszarze Tworzenie podręcznika.
  • Wybierz sposób uwierzytelniania w składnikach podręcznika. Uwierzytelnianie jest wymagane dla:
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    Uwaga

    Jeśli chcesz włączyć później, możesz uwierzytelnić zasoby podczas dostosowywania podręcznika w ramach zasobu aplikacji logiki. Aby uwierzytelnić powyższe zasoby w tym momencie, musisz mieć uprawnienia do aktualizowania użytkownika w usłudze Microsoft Entra ID, a użytkownik musi mieć dostęp do skrzynki pocztowej poczty e-mail i musi mieć możliwość wysyłania wiadomości e-mail.

  • Wybierz pozycję Dalej: Przejrzyj i utwórz>, aby przejść do karty Przeglądanie i tworzenie podręcznika.
  • Wybierz pozycję Utwórz i przejdź do projektanta, aby utworzyć podręcznik i uzyskać dostęp do strony projektanta aplikacji logiki.

Aby uzyskać więcej informacji na temat tworzenia aplikacji logiki, zobacz Co to jest usługa Azure Logic Apps i Szybki start: tworzenie definicji przepływu pracy aplikacji logiki i zarządzanie nimi.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Rudnei Oliveira | Starszy inżynier ds. zabezpieczeń platformy Azure

Inni współautorzy:

• Andrew Nathan | Starszy menedżer ds. inżynierii klienta
• Lavanya Kasturi | Składnik zapisywania technicznego

Następne kroki

• Omówienie usług Azure Cloud Services?
• Co to jest usługa Microsoft Sentinel?
• Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) w usłudze Microsoft Sentinel.
• Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
• Czym jest usługa Microsoft Entra ID?
• Co to jest ochrona tożsamości?
• Symulowanie wykrywania ryzyka w usłudze Identity Protection
• Co to jest Azure Logic Apps?
• Samouczek: tworzenie zautomatyzowanych przepływów pracy opartych na zatwierdzaniach przy użyciu usługi Azure Logic Apps
• Wprowadzenie do usługi Microsoft Sentinel

Powiązane zasoby

• Wskaźniki zagrożeń dla analizy zagrożeń cybernetycznych w usłudze Microsoft Sentinel
• Monitorowanie zabezpieczeń hybrydowych przy użyciu Microsoft Defender dla Chmury i usługi Microsoft Sentinel
• Projekt architektury zabezpieczeń