Co to są podręczniki usługi Microsoft Sentinel?
Oprócz oceniania i rozwiązywania problemów z konfiguracją zabezpieczeń firma Contoso musi również monitorować występowanie nowych problemów i zagrożeń, a następnie odpowiednio na nie reagować.
Microsoft Sentinel jako rozwiązanie SIEM i SOAR
Usługa Microsoft Sentinel to rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR), które jest przeznaczone dla środowisk hybrydowych.
Uwaga
Rozwiązania SIEM umożliwiają przechowywanie i analizę dzienników, zdarzeń oraz alertów generowanych przez inne systemy. Te rozwiązania można skonfigurować w taki sposób, aby zgłaszały własne alerty. Rozwiązania SOAR umożliwiają korygowanie luk w zabezpieczeniach i ogólną automatyzację procesów zabezpieczeń.
Usługa Microsoft Sentinel używa wbudowanych i niestandardowych wykryć, aby otrzymywać alerty o potencjalnych zagrożeniach bezpieczeństwa, takich jak próby uzyskania dostępu do zasobów firmy Contoso spoza infrastruktury firmy Contoso lub gdy dane z firmy Contoso wydają się być wysyłane do znanego złośliwego adresu IP. Na podstawie tych alertów można również tworzyć incydenty.
Podręczniki usługi Microsoft Sentinel
Możesz utworzyć podręczniki zabezpieczeń w usłudze Microsoft Sentinel, aby reagować na alerty. Podręczniki zabezpieczeń to kolekcje procedur opartych na usłudze Azure Logic Apps, które są uruchamiane w odpowiedzi na alert. Podręczniki zabezpieczeń można uruchamiać ręcznie po przeanalizowaniu incydentu. Można również skonfigurować alert, który będzie automatycznie uruchamiał podręcznik.
Dzięki możliwości automatycznego reagowania na zdarzenia można zautomatyzować niektóre operacje zabezpieczeń i zwiększyć produktywność usługi Security Operations Center (SOC).
Przykładowo aby rozwiązać problemy firmy Contoso, można utworzyć przepływ pracy ze zdefiniowanymi krokami, które mogą blokować możliwość uzyskiwania dostępu do zasobów z niezabezpieczonego adresu IP przez podejrzaną nazwę użytkownika. Alternatywnie można skonfigurować podręcznik do wykonywania operacji, takiej jak powiadamianie zespołu SecOps o alertie zabezpieczeń wysokiego poziomu.
Azure Logic Apps
Azure Logic Apps to usługa w chmurze, która automatyzuje wykonywanie procesów biznesowych. Za pomocą graficznego narzędzia do projektowania o nazwie Projektant aplikacji usługi Logic Apps można umieścić wstępnie utworzone składniki w odpowiedniej sekwencji. W widoku kodu można też napisać zautomatyzowany proces w pliku JSON.
Łącznik usługi Logic Apps
Za pomocą łączników aplikacje logiki łączą się z setkami usług. Łącznik to składnik udostępniający interfejs dla usługi zewnętrznej.
Uwaga
Łącznik danych usługi Microsoft Sentinel i łącznik usługi Logic Apps nie są takie same. Łącznik danych usługi Microsoft Sentinel łączy usługę Microsoft Sentinel z produktami zabezpieczeń firmy Microsoft i ekosystemami zabezpieczeń dla rozwiązań firm innych niż Microsoft. Łącznik usługi Logic Apps to składnik, który zapewnia połączenie interfejsu API dla usługi zewnętrznej i umożliwia integrację zdarzeń, danych i akcji w innych aplikacjach, usługach, systemach, protokołach i platformach.
Co to są wyzwalacze i akcje
Usługa Azure Logic Apps korzysta z wyzwalaczy i akcji, które są zdefiniowane w następujący sposób:
Wyzwalacz to zdarzenie występujące po spełnieniu określonego zestawu warunków. Wyzwalacze są uaktywniane automatycznie w przypadku spełnienia warunków. Na przykład w usłudze Microsoft Sentinel występuje zdarzenie zabezpieczeń, które jest wyzwalaczem zautomatyzowanej akcji.
Akcja jest operacją, która wykonuje zadanie w przepływie pracy usługi Logic Apps. Akcje są uruchamiane po uaktywnieniu wyzwalacza, zakończeniu innej akcji lub spełnieniu warunku.
Łącznik usługi Logic Apps usługi Microsoft Sentinel
Podręcznik usługi Microsoft Sentinel używa łącznika usługi Logic Apps usługi Microsoft Sentinel. Udostępnia on wyzwalacze i akcje, które mogą uruchamiać podręcznik oraz wykonywać zdefiniowane akcje.
Obecnie istnieją dwa wyzwalacze z łącznika usługi Logic Apps usługi Microsoft Sentinel:
Po wyzwoleniu odpowiedzi na alert usługi Microsoft Sentinel
Po wyzwoleniu reguły tworzenia zdarzenia usługi Microsoft Sentinel
Uwaga
Ponieważ Łącznik aplikacji logiki usługi Microsoft Sentinel jest dostępna w wersji zapoznawczej, funkcje opisane w tym module mogą ulec zmianie w przyszłości.
W poniższej tabeli wymieniono wszystkie bieżące akcje łącznika usługi Microsoft Sentinel.
| Nazwa/nazwisko | opis |
|---|---|
| Dodaj komentarz do incydentu | Dodaje komentarze do wybranego incydentu. |
| Dodaj etykiety do incydentu | Dodaje etykiety do wybranego incydentu. |
| Alert — pobierz incydent | Zwraca incydent skojarzony z wybranym alertem. |
| Zmień opis incydentu | Zmienia opis wybranego incydentu. |
| Zmień ważność incydentu | Zmienia ważność wybranego incydentu. |
| Zmień stan incydentu | Zmienia stan wybranego incydentu. |
| Zmień tytuł incydentu (V2) | Zmienia tytuł wybranego incydentu. |
| Jednostki — pobierz konta | Zwraca listę kont skojarzonych z alertem. |
| Jednostki — pobierz skróty plików | Zwraca listę skrótów plików skojarzonych z alertem. |
| Jednostki — pobierz hosty | Zwraca listę hostów skojarzonych z alertem. |
| Jednostki — pobierz adresy IP | Zwraca listę adresów IP skojarzonych z alertem. |
| Jednostki — pobierz adresy URL | Zwraca listę adresów URL skojarzonych z alertem. |
| Usuń etykiety z incydentu | Usuwa etykiety z wybranego incydentu. |
Uwaga
Akcje oznaczone symbolem (V2) lub wyższą liczbą są w nowej wersji i ich funkcje mogą się różnić od funkcji starych akcji.
Niektóre akcje wymagają integracji z akcjami innych łączników. Przykładowo jeśli firma Contoso chce zidentyfikować wszystkie podejrzane konta zwrócone w alercie ze zdefiniowanych jednostek, należy połączyć akcję Jednostki — pobierz konta z akcją Dla każdego. Podobnie, aby uzyskać wszystkie poszczególne hosty w zdarzeniu, które wykrywają podejrzane hosty, należy połączyć akcję Jednostki — Pobierz hosty z akcją Dla każdego .