Udostępnij za pośrednictwem


Automatyzacja w usłudze Microsoft Sentinel: orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR)

Zespoły ds. zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i centrum operacji zabezpieczeń (SOC) są zwykle zapełniane alertami zabezpieczeń i zdarzeniami regularnie w woluminach tak dużych, że dostępni pracownicy są przeciążeni. Wynika to zbyt często w sytuacjach, w których wiele alertów jest ignorowanych, a wiele zdarzeń nie jest badanych, pozostawiając organizację podatną na ataki, które pozostają niezauważone.

Microsoft Sentinel, oprócz bycia systemem SIEM, jest również platformą do orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Jednym z jego głównych celów jest zautomatyzowanie wszelkich cyklicznych i przewidywalnych zadań wzbogacania, reagowania i korygowania, które są odpowiedzialne za centrum operacji zabezpieczeń i personel (SOC/SecOps), zwalniając czas i zasoby w celu dokładniejszego badania i wyszukiwania zagrożeń dla zaawansowanych zagrożeń.

W tym artykule opisano możliwości SOAR usługi Microsoft Sentinel i pokazano, jak korzystanie z reguł automatyzacji i podręczników w odpowiedzi na zagrożenia bezpieczeństwa zwiększa skuteczność SOC i oszczędza czas i zasoby.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Reguły automatyzacji

Usługa Microsoft Sentinel używa reguł automatyzacji, aby umożliwić użytkownikom zarządzanie automatyzacją obsługi zdarzeń z centralnej lokalizacji. Użyj reguł automatyzacji, aby:

  • Przypisywanie bardziej zaawansowanej automatyzacji do zdarzeń i alertów przy użyciu podręczników
  • Automatyczne tagowanie, przypisywanie lub zamykanie zdarzeń bez podręcznika
  • Automatyzowanie odpowiedzi dla wielu reguł analizy jednocześnie
  • Tworzenie list zadań, które mają być wykonywane przez analityków podczas klasyfikowania, badania i korygowania zdarzeń
  • Kontrolowanie kolejności wykonywanych akcji

Zalecamy stosowanie reguł automatyzacji podczas tworzenia lub aktualizowania zdarzeń, aby jeszcze bardziej usprawnić automatyzację i uprościć złożone przepływy pracy dla procesów aranżacji zdarzeń.

Aby uzyskać więcej informacji, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji.

Podręczniki

Podręcznik to zbiór akcji reagowania i korygowania oraz logiki, które mogą być uruchamiane z usługi Microsoft Sentinel jako rutynowe. Podręcznik może:

  • Pomoc w automatyzowaniu i organizowaniu reagowania na zagrożenia
  • Integracja z innymi systemami, zarówno wewnętrznymi, jak i zewnętrznymi
  • Należy skonfigurować automatyczne uruchamianie w odpowiedzi na określone alerty lub zdarzenia albo uruchamiać ręcznie na żądanie, na przykład w odpowiedzi na nowe alerty

W usłudze Microsoft Sentinel podręczniki są oparte na przepływach pracy utworzonych w usłudze Azure Logic Apps, usłudze w chmurze, która ułatwia planowanie, automatyzowanie i organizowanie zadań i przepływów pracy w systemach w całym przedsiębiorstwie. Oznacza to, że podręczniki mogą korzystać ze wszystkich możliwości i możliwości dostosowywania możliwości integracji i orkiestracji usługi Logic Apps oraz łatwych w użyciu narzędzi projektowych oraz skalowalności, niezawodności i poziomu usług usługi platformy Azure w warstwie 1.

Aby uzyskać więcej informacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.

Automatyzacja w portalu usługi Microsoft Defender

Po dołączeniu obszaru roboczego usługi Microsoft Sentinel do portalu usługi Defender zwróć uwagę na następujące różnice w sposobie działania automatyzacji w obszarze roboczym:

Funkcjonalność opis
Reguły automatyzacji z wyzwalaczami alertów W portalu usługi Defender reguły automatyzacji z wyzwalaczami alertów działają tylko w przypadku alertów usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Wyzwalacz tworzenia alertów.
Reguły automatyzacji z wyzwalaczami zdarzeń W witrynie Azure Portal i portalu Defender właściwość Warunek dostawcy zdarzeń jest usuwana, ponieważ wszystkie zdarzenia mają usługę Microsoft Defender XDR jako dostawcę zdarzeń (wartość w polu ProviderName).

W tym momencie wszystkie istniejące reguły automatyzacji są uruchamiane zarówno w przypadku zdarzeń Microsoft Sentinel, jak i Microsoft Defender XDR, w tym tych, w których warunek dostawcy zdarzeń jest ustawiony tylko na usługę Microsoft Sentinel lub Microsoft 365 Defender.

Jednak reguły automatyzacji, które określają określoną nazwę reguły analizy, są uruchamiane tylko w przypadku zdarzeń zawierających alerty utworzone przez określoną regułę analizy. Oznacza to, że można zdefiniować właściwość warunku nazwy reguły analitycznej na regułę analizy, która istnieje tylko w usłudze Microsoft Sentinel, aby ograniczyć działanie reguły tylko w przypadku zdarzeń w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Warunki wyzwalacza zdarzeń.
Zmiany istniejących nazw zdarzeń Portal usługi Defender używa unikatowego aparatu do korelowania zdarzeń i alertów. Podczas dołączania obszaru roboczego do portalu usługi Defender istniejące nazwy zdarzeń mogą zostać zmienione w przypadku zastosowania korelacji. Aby upewnić się, że reguły automatyzacji zawsze działają prawidłowo, zalecamy więc unikanie używania tytułów zdarzeń jako kryteriów warunku w regułach automatyzacji, a zamiast tego zalecamy użycie nazwy dowolnej reguły analizy, która utworzyła alerty zawarte w zdarzeniu, oraz tagów, jeśli jest wymagana większa szczegółowość.
Zaktualizowane według pola
  • Po dołączeniu obszaru roboczego pole Zaktualizowane według zawiera nowy zestaw obsługiwanych wartości, które nie obejmują już usługi Microsoft 365 Defender. W istniejących regułach automatyzacji usługa Microsoft 365 Defender jest zastępowana wartością Inne po dołączeniu obszaru roboczego.

  • Jeśli w okresie 5–10 minut wprowadzono wiele zmian w tym samym zdarzeniu, pojedyncza aktualizacja zostanie wysłana do usługi Microsoft Sentinel z tylko najnowszą zmianą.

    Aby uzyskać więcej informacji, zobacz Wyzwalacz aktualizacji zdarzeń.
  • Reguły automatyzacji, które dodają zadania zdarzeń Jeśli reguła automatyzacji dodaje zadanie zdarzenia, zadanie jest wyświetlane tylko w witrynie Azure Portal.
    Reguły tworzenia zdarzeń firmy Microsoft Reguły tworzenia zdarzeń firmy Microsoft nie są obsługiwane w portalu usługi Defender.

    Aby uzyskać więcej informacji, zobacz Microsoft Defender XDR incidents and Microsoft incident creation rules (Zdarzenia XDR w usłudze Microsoft Defender i reguły tworzenia zdarzeń firmy Microsoft).
    Uruchamianie reguł automatyzacji z poziomu portalu usługi Defender Może upłynąć do 10 minut od momentu wyzwolenia alertu i utworzenia lub zaktualizowania zdarzenia w portalu usługi Defender do momentu uruchomienia reguły automatyzacji. Tym razem opóźnienie jest spowodowane tym, że zdarzenie jest tworzone w portalu usługi Defender, a następnie przekazywane do usługi Microsoft Sentinel dla reguły automatyzacji.
    Karta Aktywnych podręczników Po dołączeniu do portalu usługi Defender domyślnie karta Aktywne podręczniki zawiera wstępnie zdefiniowany filtr z subskrypcją dołączonego obszaru roboczego. W witrynie Azure Portal dodaj dane dla innych subskrypcji przy użyciu filtru subskrypcji.

    Aby uzyskać więcej informacji, zobacz Tworzenie i dostosowywanie podręczników usługi Microsoft Sentinel na podstawie szablonów zawartości.
    Ręczne uruchamianie podręczników na żądanie Następujące procedury nie są obecnie obsługiwane w portalu usługi Defender:
  • Ręczne uruchamianie podręcznika w alercie
  • Ręczne uruchamianie podręcznika w jednostce
  • Uruchamianie podręczników dotyczących zdarzeń wymaga synchronizacji usługi Microsoft Sentinel Jeśli spróbujesz uruchomić podręcznik w zdarzeniu z portalu usługi Defender i zobaczysz komunikat "Nie można uzyskać dostępu do danych związanych z tą akcją. Odśwież ekran w ciągu kilku minut". komunikat oznacza to, że zdarzenie nie zostało jeszcze zsynchronizowane z usługą Microsoft Sentinel.

    Odśwież stronę zdarzenia po pomyślnym zsynchronizowaniu zdarzenia w celu pomyślnego uruchomienia podręcznika.
    Zdarzenia: dodawanie alertów do zdarzeń /
    Usuwanie alertów ze zdarzeń
    Ponieważ dodawanie alertów do lub usuwanie alertów ze zdarzeń nie jest obsługiwane po dołączeniu obszaru roboczego do portalu usługi Defender, te akcje nie są również obsługiwane z poziomu podręczników. Aby uzyskać więcej informacji, zobacz Możliwości różnic między portalami.