Миграция автоматизации Splunk SOAR в Microsoft Sentinel
Microsoft Sentinel предоставляет возможности оркестрации безопасности, автоматизации и ответа (SOAR) с использованием правил автоматизации и сборников схем. Правила автоматизации упрощают обработку и реагирование на инциденты, а сборники схем выполняют более сложные последовательности действий для реагирования и устранения угроз. В этой статье описывается, как определить варианты использования SOAR и как перенести автоматизацию Splunk SOAR в правила и сборники схем службы автоматизации Microsoft Sentinel.
Дополнительные сведения о различиях между правилами автоматизации и сборниками схем см. в следующих статьях:
- Автоматизация реагирования на угрозы с помощью правил автоматизации
- Автоматизация реагирования на угрозы с помощью сборников схем
Определение вариантов использования SOAR
Вот что необходимо думать о переносе вариантов использования SOAR из Splunk.
- Качество вариантов использования. Выберите варианты использования автоматизации на основе процедур, четко определенных, с минимальными вариациями и низкой ложноположительной скоростью.
- Вмешательство вручную. Автоматические ответы могут иметь широкий диапазон эффектов. Автоматизация с высоким воздействием должна иметь человеческие данные, чтобы подтвердить действия с высоким воздействием, прежде чем они будут приняты.
- Двоичные критерии. Чтобы повысить успешность реагирования, точки принятия решений в автоматизированном рабочем процессе должны быть максимально ограничены двоичными критериями. При наличии только двух переменных в автоматизированном принятии решений необходимость вмешательства человека уменьшается и прогнозируемость результатов улучшается.
- Точные оповещения или данные. Действия реагирования зависят от точности таких сигналов, как оповещения. Оповещения и источники обогащения должны быть надежными. Ресурсы Microsoft Sentinel, такие как списки наблюдения и аналитика угроз с высоким уровнем достоверности, повышают надежность.
- Роль аналитика. Хотя автоматизация отлична, зарезервировать наиболее сложные задачи для аналитиков. Предоставьте им возможность ввода в рабочие процессы, требующие проверки. Коротко говоря, автоматизация реагирования должна расширять и приумножать возможности аналитиков.
Миграция рабочего процесса SOAR
В этом разделе описано, как основные понятия Splunk SOAR преобразуются в компоненты Microsoft Sentinel, и содержатся общие рекомендации по миграции каждого шага или компонента в рабочем процессе SOAR.
| Шаг (на схеме) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Прием событий в основной индекс. | Прием событий в рабочую область Log Analytics. |
| 2 | Создание контейнеров. | Пометка инцидентов тегами с помощью функции пользовательских сведений. |
| 3 | Создание вариантов. | Microsoft Sentinel может автоматически группировать инциденты в соответствии с определяемыми пользователем критериями, например, по общим сущностям или степени серьезности. Затем эти оповещения создают инциденты. |
| 4 | Создание сборников схем. | Azure Logic Apps использует несколько соединителей для оркестрации действий в Microsoft Sentinel, Azure, сторонних и гибридных облачных средах. |
| 4 | Создание книг. | Microsoft Sentinel выполняет сборники схем по отдельности или в рамках упорядоченного правила автоматизации. Вы также можете выполнять сборники схем вручную для оповещений или инцидентов в соответствии с установленной процедурой центра информационной безопасности (SOC). |
Сопоставление компонентов SOAR
Проверьте, какие функции Microsoft Sentinel или Azure Logic Apps сопоставляются с основными компонентами Splunk SOAR.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Редактор сборника схем | Конструктор приложений логики |
| Триггер | Триггер |
| • Соединители • Приложение • Брокер автоматизации |
• Соединитель • Гибридная рабочая роль Runbook |
| Блоки действий | Действие |
| Брокер подключений | Гибридная рабочая роль Runbook |
| Сообщество | • Вкладка "Автоматизация и шаблоны" • Каталог центра содержимого • GitHub |
| Decision | Условный элемент управления |
| Код | Соединитель Функций Azure |
| Prompt | Отправка сообщения электронной почты с утверждением |
| Формат | Операции с данными |
| Входные сборники схем | Получение входных данных переменных из результатов ранее выполненных шагов или из напрямую объявленных переменных |
| Установка параметров с помощью утилиты API блока служебной программы | Управление инцидентами с помощью API |
Активация сборников схем и правил автоматизации в Microsoft Sentinel
Большинство сборников схем, используемых с Microsoft Sentinel, доступны на вкладке Автоматизация и шаблоны, в Каталоге центра содержимого или на GitHub. Однако в некоторых случаях вам придется создавать сборники схем с нуля или на основе существующих шаблонов.
Обычно настраиваемое приложение логики создается с помощью возможности "Конструктор приложений логики Azure". Код приложений логики основан на шаблонах Azure Resource Manager (ARM), которые упрощают разработку, развертывание и переносимость Azure Logic Apps в различных средах. Чтобы преобразовать пользовательский сборник схем в переносимый шаблон ARM, можно использовать генератор шаблонов ARM.
Используйте эти ресурсы, когда вам необходимо создать собственные сборники схем с нуля или на основе существующих шаблонов.
- Автоматизация обработки инцидентов в Microsoft Sentinel
- Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
- Руководство. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
- Использование Microsoft Sentinel для реагирования на инциденты, оркестрации и автоматизации
- Адаптивные карточки для усовершенствования реагирования на инциденты в Microsoft Sentinel
Рекомендации, выполняемые после миграции SOAR
Ниже приведены рекомендации, которые следует учитывать после миграции SOAR:
- После миграции сборников схем тщательно протестируйте их, чтобы убедиться, что перенесенные действия работают должным образом.
- Периодически анализируйте автоматизацию, чтобы изучить способы дальнейшего упрощения или улучшения SOAR. Microsoft Sentinel постоянно добавляет новые соединители и действия, которые помогут вам упростить или повысить эффективность текущей реализации мер реагирования.
- Отслеживайте эффективность сборников схем с помощью книг мониторинга работоспособности сборников схем.
- Используйте управляемые удостоверения и субъекты-службы: проводите проверку подлинности в различных службах Azure в Logic Apps, храните секреты в Azure Key Vault и скрывайте выходные данные выполнения потока. Мы также рекомендуем осуществлять мониторинг действий этих субъектов-служб.
Следующие шаги
Из этой статьи вы узнали, как сопоставить автоматизацию SOAR из Splunk с Microsoft Sentinel.