Migrar a automação do ArcSight SOAR para o Microsoft Sentinel
O Microsoft Sentinel fornece recursos SOAR (Orquestração de Segurança, Automação e Resposta) com regras de automação e guias estratégicos. As regras de automação automatizam o tratamento e a resposta de incidentes, e os guias estratégicos executam sequências predeterminadas de ações para responder e corrigir ameaças. Este artigo mostra como identificar casos de uso do SOAR e migrar sua automação do ArcSight SOAR para o Microsoft Sentinel.
As regras de automação simplificam fluxos de trabalho complexos para seus processos de orquestração de incidentes e permitem que você gerencie centralmente a automação de tratamento de incidentes.
Com as regras de automação, você pode:
- Executar tarefas de automação simples sem necessariamente usar guias estratégicos. Por exemplo, você pode atribuir, marcar incidentes, alterar status e fechar incidentes.
- Automatizar as respostas para várias regras de análise ao mesmo tempo.
- Controlar a ordem das ações executadas.
- Executar guias estratégicos para os casos em que tarefas de automação mais complexas são necessárias.
Identificar casos de uso do SOAR
Veja o que você precisa pensar ao migrar casos de uso do SOAR do ArcSight.
- Qualidade do caso de uso. Escolha bons casos de uso para automação. Os casos de uso devem ser baseados em procedimentos claramente definidos, com variação mínima e uma taxa de falso positivo baixa. A automação deve funcionar com casos de uso eficientes.
- Intervenção manual. A resposta automatizada pode ter efeitos amplos, e automações de alto impacto devem ser feitas manualmente para confirmar ações de alto impacto antes de serem executadas.
- Critérios binários. Para aumentar o sucesso da resposta, os pontos de decisão dentro de um fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Os critérios binários reduzem a necessidade de intervenção humana e aprimoram a previsibilidade de resultados.
- Alertas ou dados precisos. As ações de resposta dependem da precisão de sinais, como alertas. Alertas e fontes de enriquecimento devem ser confiáveis. Os recursos do Microsoft Sentinel, como watchlists e inteligência confiável contra ameaças, podem aumentar a confiabilidade.
- Função do analista. Embora usar da automação sempre que possível seja ótimo, reserve tarefas mais complexas para analistas e forneça a eles a oportunidade de entrada em fluxos de trabalho que exigem validação. Resumindo, a automação de resposta deve aumentar e estender os recursos de analistas.
Migrar fluxo de trabalho do SOAR
Esta seção mostra como os principais conceitos do SOAR no ArcSight se traduzem em componentes do Microsoft Sentinel e fornece diretrizes gerais sobre como migrar cada etapa ou componente no fluxo de trabalho do SOAR.
| Etapa (no diagrama) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Ingerir eventos no ESM (Enterprise Security Manager) e disparar eventos de correlação. | Ingerir eventos no workspace do Log Analytics. |
| 2 | Filtrar automaticamente alertas para a criação de casos. | Usar regras de análise para disparar alertas. Enriquecer alertas usando o recurso de detalhes personalizados para criar nomes de incidentes dinâmicos. |
| 3 | Classificar casos. | Usar regras de automação. Com as regras de automação, o Microsoft Sentinel trata incidentes de acordo com a regra de análise que disparou o incidente e as propriedades de incidente que correspondem aos critérios definidos. |
| 4 | Consolidar casos. | Você pode consolidar vários alertas para um único incidente de acordo com as propriedades, como entidades correspondentes, detalhes de alertas ou período de criação, usando o recurso de agrupamento de alertas. |
| 5 | Expedir casos. | Atribua incidentes a analistas específicos usando uma integração entre Microsoft Teams, Aplicativos Lógicos do Azure e regras de automação do Microsoft Sentinel. |
Mapear componentes do SOAR
Examine quais recursos do Microsoft Sentinel ou dos Aplicativos Lógicos do Azure mapeiam para os principais componentes do ArcSight SOAR.
| ArcSight | Microsoft Sentinel/Aplicativos Lógicos do Azure |
|---|---|
| Gatilho | Gatilho |
| Bit de automação | Conector de função do Azure |
| Ação | Ação |
| Guias estratégicos agendados | Guias estratégicos iniciados pelo gatilho de recorrência |
| Guias estratégicos do fluxo de trabalho | Guias estratégicos iniciados automaticamente por alerta ou gatilhos de incidentes do Microsoft Sentinel |
| Marketplace | • Guia Automação > Modelos • Catálogo do hub de conteúdo • GitHub |
Operacionalizar guias estratégicos e regras de automação no Microsoft Sentinel
A maioria dos guias estratégicos que você usa com o Microsoft Sentinel estão disponíveis na guia Automação > Modelos, no Catálogo do hub de conteúdo ou no GitHub. No entanto, em alguns casos talvez seja necessário criar guias estratégicos do zero ou de modelos existentes.
Normalmente, você cria seu aplicativo lógico personalizado usando o recurso Designer do Aplicativo Lógico do Azure. O código de aplicativos lógicos é baseado em modelos do ARM (Azure Resource Manager), que facilitam o desenvolvimento, a implantação e a portabilidade dos Aplicativos Lógicos do Azure em vários ambientes. Para converter seu guia estratégico personalizado em um modelo do ARM portátil, você poderá usar o gerador de modelo do ARM.
Use esses recursos para casos em que você precisa criar seus próprios guias estratégicos do zero ou de modelos existentes.
- Automatizar o tratamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
- Tutorial: Usar guias estratégicos com regras de automação no Microsoft Sentinel
- Como usar o Microsoft Sentinel em respostas a incidentes, orquestração e automação
- Cartões Adaptáveis para aprimorar a resposta a incidentes no Microsoft Sentinel
Melhores práticas pós-migração do SOAR
Aqui estão as melhores práticas que você deve levar em consideração após a migração do SOAR:
- Depois de migrar seus guias estratégicos, teste-os extensivamente para garantir que as ações migradas funcionem conforme o esperado.
- Examine periodicamente suas automações para explorar maneiras de simplificar ou aprimorar ainda mais o SOAR. O Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das implementações de resposta atuais.
- Monitore o desempenho dos guias estratégicos usando a pasta de trabalho de monitoramento de integridade dos guias estratégicos.
- Use identidades gerenciadas e entidades de serviço: autentique-se em vários serviços do Azure nos Aplicativos Lógicos, armazene os segredos no Azure Key Vault e obscureça a saída da execução do fluxo. Também recomendamos que você monitore as atividades dessas entidades de serviço.
Próximas etapas
Neste artigo, você aprendeu a mapear a automação do SOAR do ArcSight para o Microsoft Sentinel.