Migrowanie automatyzacji SPLUNK SOAR do usługi Microsoft Sentinel
Usługa Microsoft Sentinel udostępnia funkcje orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR) z regułami automatyzacji i podręcznikami. Reguły automatyzacji ułatwiają prostą obsługę i reagowanie na zdarzenia, a podręczniki uruchamiają bardziej złożone sekwencje akcji w celu reagowania na zagrożenia i ich korygowania. W tym artykule omówiono sposób identyfikowania przypadków użycia SOAR oraz sposobu migrowania automatyzacji SOAR splunk do reguł automatyzacji i podręczników usługi Microsoft Sentinel.
Aby uzyskać więcej informacji na temat różnic między regułami automatyzacji i podręcznikami, zobacz następujące artykuły:
- Automatyzowanie reagowania na zagrożenia przy użyciu reguł automatyzacji
- Automatyzowanie reagowania na zagrożenia za pomocą podręczników
Identyfikowanie przypadków użycia USŁUGI SOAR
Oto, co należy wziąć pod uwagę podczas migrowania przypadków użycia SOAR z splunk.
- Jakość przypadków użycia. Wybierz przypadki użycia automatyzacji na podstawie procedur, które są jasno zdefiniowane, z minimalnymi odchyleniami i niskim współczynnikiem wyników fałszywie dodatnich.
- Interwencja ręczna. Automatyczne odpowiedzi mogą mieć szerokie efekty. Automatyzacje o dużym wpływie powinny mieć dane wejściowe człowieka, aby potwierdzić działania o dużym wpływie przed ich podjęciem.
- Kryteria binarne. Aby zwiększyć sukces odpowiedzi, punkty decyzyjne w zautomatyzowanym przepływie pracy powinny być tak ograniczone, jak to możliwe, z kryteriami binarnymi. Jeśli w zautomatyzowanym podejmowaniu decyzji istnieją tylko dwie zmienne, potrzeba interwencji człowieka jest ograniczona, a przewidywalność wyników zostanie zwiększona.
- Dokładne alerty lub dane. Akcje odpowiedzi zależą od dokładności sygnałów, takich jak alerty. Alerty i źródła wzbogacania powinny być niezawodne. Zasoby usługi Microsoft Sentinel, takie jak listy do obejrzenia i analiza zagrożeń z wysokimi ocenami ufności, zwiększają niezawodność.
- Rola analityka. Chociaż automatyzacja jest świetna, zarezerwuj najbardziej złożone zadania dla analityków. Zapewnij im możliwość wprowadzenia danych wejściowych do przepływów pracy, które wymagają weryfikacji. Krótko mówiąc, automatyzacja odpowiedzi powinna rozszerzać i rozszerzać możliwości analityków.
Migrowanie przepływu pracy SOAR
W tej sekcji pokazano, jak kluczowe pojęcia soAR splunk przekładają się na składniki usługi Microsoft Sentinel i zawierają ogólne wskazówki dotyczące migrowania poszczególnych kroków lub składników w przepływie pracy SOAR.
| Krok (na diagramie) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Pozyskiwanie zdarzeń do indeksu głównego. | Pozyskiwanie zdarzeń do obszaru roboczego usługi Log Analytics. |
| 2 | Tworzenie kontenerów. | Tagowanie zdarzeń przy użyciu funkcji szczegółów niestandardowych. |
| 3 | Tworzenie przypadków. | Usługa Microsoft Sentinel może automatycznie grupować zdarzenia zgodnie z kryteriami zdefiniowanymi przez użytkownika, takimi jak jednostki udostępnione lub ważność. Te alerty generują następnie zdarzenia. |
| 100 | Tworzenie podręczników. | Usługa Azure Logic Apps używa kilku łączników do organizowania działań w środowiskach usług Microsoft Sentinel, Azure, innych firm i chmury hybrydowej. |
| 100 | Tworzenie skoroszytów. | Usługa Microsoft Sentinel wykonuje podręczniki w izolacji lub w ramach uporządkowanej reguły automatyzacji. Podręczniki można również wykonywać ręcznie względem alertów lub zdarzeń zgodnie ze wstępnie zdefiniowaną procedurą usługi Security Operations Center (SOC). |
Mapuj składniki SOAR
Sprawdź, które funkcje usługi Microsoft Sentinel lub Azure Logic Apps są mapowe na główne składniki SOAR splunk.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Edytor podręcznika | Projektant aplikacji logiki |
| Wyzwalacz | Wyzwalacz |
| •Złącza •App • Broker usługi Automation |
• Łącznik • Hybrydowy proces roboczy elementu Runbook |
| Bloki akcji | Akcja |
| Broker łączności | Hybrydowy proces roboczy elementu Runbook |
| Społeczność | • Karta Szablony automatyzacji > • Katalog centrum zawartości • GitHub |
| Decyzja | Kontrola warunkowa |
| Kod | Łącznik funkcji platformy Azure |
| Monit | Wyślij wiadomość e-mail z zatwierdzeniem |
| Formatuj | Operacje na danych |
| Podręczniki wejściowe | Uzyskiwanie danych wejściowych zmiennych z wyników poprzednio wykonanych kroków lub jawnie zadeklarowanych zmiennych |
| Ustawianie parametrów za pomocą narzędzia do blokowania interfejsu API | Zarządzanie zdarzeniami za pomocą interfejsu API |
Operacjonalizacja podręczników i reguł automatyzacji w usłudze Microsoft Sentinel
Większość podręczników używanych z usługą Microsoft Sentinel jest dostępna na karcie Szablony automatyzacji>, katalogu centrum zawartości lub usłudze GitHub. W niektórych przypadkach może być jednak konieczne utworzenie podręczników od podstaw lub z istniejących szablonów.
Zwykle tworzysz niestandardową aplikację logiki przy użyciu funkcji projektanta aplikacji logiki platformy Azure. Kod aplikacji logiki jest oparty na szablonach usługi Azure Resource Manager (ARM), które ułatwiają tworzenie, wdrażanie i przenoszenie usługi Azure Logic Apps w wielu środowiskach. Aby przekonwertować niestandardowy podręcznik na przenośny szablon usługi ARM, możesz użyć generatora szablonów usługi ARM.
Użyj tych zasobów w przypadkach, w których musisz utworzyć własne podręczniki od podstaw lub z istniejących szablonów.
- Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel
- Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel
- Samouczek: używanie podręczników z regułami automatyzacji w usłudze Microsoft Sentinel
- Jak używać usługi Microsoft Sentinel do reagowania na zdarzenia, orkiestracji i automatyzacji
- Karty adaptacyjne w celu ulepszenia reagowania na zdarzenia w usłudze Microsoft Sentinel
SOAR post migration best practices (Najlepsze rozwiązania dotyczące usługi SOAR po migracji)
Poniżej przedstawiono najlepsze rozwiązania, które należy wziąć pod uwagę po migracji SOAR:
- Po przeprowadzeniu migracji podręczników przetestuj podręczniki w szerokim zakresie, aby upewnić się, że zmigrowane akcje działają zgodnie z oczekiwaniami.
- Okresowo przeglądaj automatyzacje, aby zapoznać się ze sposobami dalszego upraszczania lub ulepszania bazy danych SOAR. Usługa Microsoft Sentinel stale dodaje nowe łączniki i akcje, które mogą pomóc w dalszym uproszczeniu lub zwiększeniu skuteczności bieżących implementacji odpowiedzi.
- Monitorowanie wydajności podręczników przy użyciu skoroszytu monitorowania kondycji podręczników.
- Używanie tożsamości zarządzanych i jednostek usługi: uwierzytelnianie w różnych usługach platformy Azure w usłudze Logic Apps, przechowywanie wpisów tajnych w usłudze Azure Key Vault i ukrywanie danych wyjściowych wykonywania przepływu. Zalecamy również monitorowanie działań tych jednostek usługi.
Następne kroki
W tym artykule przedstawiono sposób mapowania automatyzacji SOAR z rozwiązania Splunk na usługę Microsoft Sentinel.