Migrowanie automatyzacji SOAR rozwiązania IBM Security QRadar do usługi Microsoft Sentinel
Usługa Microsoft Sentinel udostępnia funkcje orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) z regułami automatyzacji i podręcznikami. Reguły automatyzacji automatyzują obsługę zdarzeń i reagowanie, a podręczniki uruchamiają wstępnie określone sekwencje akcji w celu reagowania i korygowania zagrożeń. W tym artykule omówiono sposób identyfikowania przypadków użycia usługi SOAR oraz sposobu migrowania automatyzacji SOAR rozwiązania IBM Security QRadar do usługi Microsoft Sentinel.
Reguły automatyzacji upraszczają złożone przepływy pracy dla procesów orkiestracji zdarzeń i umożliwiają centralne zarządzanie automatyzacją obsługi zdarzeń.
Za pomocą reguł automatyzacji można wykonywać następujące czynności:
- Wykonywanie prostych zadań automatyzacji bez konieczności używania podręczników. Można na przykład przypisywać zdarzenia tagów, zmieniać stan i zamykać zdarzenia.
- Automatyzowanie odpowiedzi dla wielu reguł analizy jednocześnie.
- Kontroluj kolejność wykonywanych akcji.
- Uruchamiaj podręczniki w tych przypadkach, gdy konieczne jest wykonywanie bardziej złożonych zadań automatyzacji.
Identyfikowanie przypadków użycia SOAR
Oto, co należy wziąć pod uwagę podczas migrowania przypadków użycia SOAR z IBM Security QRadar SOAR.
- Jakość przypadków użycia. Wybierz dobre przypadki użycia automatyzacji. Przypadki użycia powinny być oparte na procedurach, które są jasno zdefiniowane, z minimalnymi odchyleniami i niskim współczynnikiem wyników fałszywie dodatnich. Automatyzacja powinna działać z wydajnymi przypadkami użycia.
- Interwencja ręczna. Automatyczna odpowiedź może mieć szerokie efekty i automatyzacje o dużym wpływie powinny mieć ludzkie dane wejściowe, aby potwierdzić działania o dużym wpływie przed ich podjęciem.
- Kryteria binarne. Aby zwiększyć powodzenie odpowiedzi, punkty decyzyjne w zautomatyzowanym przepływie pracy powinny być tak ograniczone, jak to możliwe, z kryteriami binarnymi. Kryteria binarne zmniejszają potrzebę interwencji człowieka i zwiększają przewidywalność wyników.
- Dokładne alerty lub dane. Akcje odpowiedzi zależą od dokładności sygnałów, takich jak alerty. Alerty i źródła wzbogacania powinny być niezawodne. Zasoby usługi Microsoft Sentinel, takie jak listy do obejrzenia i niezawodna analiza zagrożeń, mogą zwiększyć niezawodność.
- Rola analityka. Chociaż automatyzacja tam, gdzie jest to możliwe, należy zarezerwować bardziej złożone zadania dla analityków i zapewnić im możliwość wprowadzania danych do przepływów pracy wymagających weryfikacji. Krótko mówiąc, automatyzacja odpowiedzi powinna rozszerzać i rozszerzać możliwości analityków.
Migrowanie przepływu pracy SOAR
W tej sekcji pokazano, jak kluczowe pojęcia SOAR w programie IBM Security QRadar SOAR tłumaczą się na składniki usługi Microsoft Sentinel. Sekcja zawiera również ogólne wskazówki dotyczące migrowania poszczególnych kroków lub składników w przepływie pracy SOAR.
| Krok (na diagramie) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Definiowanie reguł i warunków. | Definiowanie reguł automatyzacji. |
| 2 | Wykonywanie uporządkowanych działań. | Wykonywanie reguł automatyzacji zawierających wiele podręczników. |
| 3 | Wykonaj wybrane przepływy pracy. | Wykonaj inne podręczniki zgodnie z tagami zastosowanymi przez podręczniki, które zostały wcześniej wykonane. |
| 4 | Publikowanie danych w miejscach docelowych wiadomości. | Wykonywanie fragmentów kodu przy użyciu akcji wbudowanych w usłudze Logic Apps. |
Mapuj składniki SOAR
Sprawdź, które funkcje usługi Microsoft Sentinel lub Azure Logic Apps są mapowe na główne składniki SOAR usługi QRadar.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Reguły | Reguły analizy dołączone do podręczników lub reguł automatyzacji |
| Brama | Kontrolka warunku |
| Skrypty | Kod wbudowany |
| Niestandardowe procesory akcji | Niestandardowe wywołania interfejsu API w usłudze Azure Logic Apps lub łącznikach innych firm |
| Funkcje | Łącznik funkcji platformy Azure |
| Miejsca docelowe wiadomości | Usługa Azure Logic Apps z usługą Azure Service Bus |
| IBM X-Force Exchange | • Karta Szablony automatyzacji > • Katalog centrum zawartości • GitHub |
Operacjonalizacja podręczników i reguł automatyzacji w usłudze Microsoft Sentinel
Większość podręczników używanych z usługą Microsoft Sentinel jest dostępna na karcie Szablony automatyzacji>, katalogu centrum zawartości lub usłudze GitHub. W niektórych przypadkach może być jednak konieczne utworzenie podręczników od podstaw lub z istniejących szablonów.
Zwykle tworzysz niestandardową aplikację logiki przy użyciu funkcji Projektant aplikacji logiki platformy Azure. Kod aplikacji logiki jest oparty na szablonach usługi Azure Resource Manager (ARM), które ułatwiają tworzenie, wdrażanie i przenoszenie usługi Azure Logic Apps w wielu środowiskach. Aby przekonwertować niestandardowy podręcznik na przenośny szablon usługi ARM, możesz użyć generatora szablonów usługi ARM.
Użyj tych zasobów w przypadkach, w których należy utworzyć własne podręczniki od podstaw lub z istniejących szablonów.
- Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel
- Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
- Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel
- Jak używać usługi Microsoft Sentinel do reagowania na zdarzenia, orkiestracji i automatyzacji
- Karty adaptacyjne w celu ulepszenia reagowania na zdarzenia w usłudze Microsoft Sentinel
SOAR post migration best practices (Najlepsze rozwiązania dotyczące usługi SOAR po migracji)
Poniżej przedstawiono najlepsze rozwiązania, które należy wziąć pod uwagę po migracji SOAR:
- Po przeprowadzeniu migracji podręczników przetestuj podręczniki w szerokim zakresie, aby upewnić się, że zmigrowane akcje działają zgodnie z oczekiwaniami.
- Okresowe przeglądanie automatyzacji w celu zbadania sposobów dalszego uproszczenia lub ulepszenia soAR. Usługa Microsoft Sentinel stale dodaje nowe łączniki i akcje, które mogą pomóc w dalszym uproszczeniu lub zwiększeniu skuteczności bieżących implementacji odpowiedzi.
- Monitorowanie wydajności podręczników przy użyciu skoroszytu monitorowania kondycji podręczników.
- Użyj tożsamości zarządzanych i jednostek usługi: uwierzytelnianie względem różnych usług platformy Azure w usłudze Logic Apps, przechowywanie wpisów tajnych w usłudze Azure Key Vault i ukrywanie danych wyjściowych wykonywania przepływu. Zalecamy również monitorowanie działań tych jednostek usługi.
Następne kroki
W tym artykule przedstawiono sposób mapowania automatyzacji SOAR firmy IBM Security QRadar SOAR na usługę Microsoft Sentinel.