Изменить

Поделиться через

Автоматические ответы Microsoft Sentinel

Microsoft Sentinel
Microsoft Entra ID
Azure Logic Apps

Идеи решения

В этой статье описывается идея решения. Ваш архитектор облака может использовать это руководство, чтобы визуализировать основные компоненты для типичной реализации этой архитектуры. Используйте эту статью в качестве отправной точки для разработки хорошо спроектированного решения, которое соответствует конкретным требованиям рабочей нагрузки.

Microsoft Sentinel — это масштабируемое облачное решение для управления информационной безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Он предлагает интеллектуальную аналитику безопасности для организаций всех размеров и предоставляет следующие возможности и многое другое:

  • Обнаружение бизнес-атак
  • Упреждающая охота
  • Автоматическое реагирование на инциденты

Ответ на угрозы в Microsoft Sentinel управляется с помощью сборников схем. При активации оповещения или инцидента сборник схем выполняет ряд автоматических действий для противодействия угрозе. Эти сборники схем создаются с помощью Azure Logic Apps.

Microsoft Sentinel предоставляет сотни готовых сборников схем, включая сборники схем для следующих сценариев:

  • Блокировка пользователя Microsoft Entra
  • Блокировка пользователя Microsoft Entra на основе отказа по электронной почте
  • Публикация сообщения в канале Microsoft Teams об инциденте или оповещении
  • Публикация сообщения в Slack
  • Отправка сообщения электронной почты с сведениями об инциденте или оповещении
  • Отправка сообщения электронной почты с отформатированным отчетом об инциденте
  • Определение риска у пользователя Microsoft Entra
  • Отправка адаптивной карты через Microsoft Teams для определения того, скомпрометирован ли пользователь
  • Изоляция конечной точки с помощью Microsoft Defender для конечной точки

В этой статье приведен пример реализации сборника схем, который отвечает на угрозу, блокируя пользователя Microsoft Entra, скомпрометированного подозрительным действием.

Возможные сценарии использования

Методы, описанные в этой статье, применяются всякий раз, когда необходимо реализовать автоматический ответ на обнаруживаемое условие.

Архитектура

Архитектура Microsoft Sentinel с помощью сборников схем.

Скачайте файл Visio этой архитектуры.

Рабочий процесс

В этом рабочем процессе показаны шаги по развертыванию сборника схем. Перед началом работы убедитесь, что предварительные требования выполнены. Например, необходимо выбрать пользователя Microsoft Entra.

  1. Выполните действия, описанные в статье "Отправка журналов в Azure Monitor ", чтобы настроить идентификатор Microsoft Entra для отправки журналов аудита в рабочую область Log Analytics, которая используется с Microsoft Sentinel.

    Примечание.

    Это решение не использует журналы аудита, но их можно использовать для изучения того, что происходит при блокировке пользователя.

  2. Защита идентификации Microsoft Entra создает оповещения, которые активируют сборник схем реагирования на угрозы для запуска. Чтобы Microsoft Sentinel собирал оповещения, перейдите к экземпляру Microsoft Sentinel и выберите соединители данных. Найдите Защита идентификации Microsoft Entra и включите сбор оповещений. Дополнительные сведения о защите идентификации см. в разделе "Что такое защита идентификации?".

  3. Установите браузер ToR на компьютер или виртуальную машину, которую можно использовать, не подвергая риску ит-безопасность.

  4. Используйте браузер Tor для анонимного входа в мои приложения в качестве пользователя, выбранного для этого решения. Инструкции по использованию браузера Tor для имитации анонимных IP-адресов см. в анонимных IP-адресах .

  5. Microsoft Entra проверяет подлинность пользователя.

  6. Защита идентификации Microsoft Entra обнаруживает, что пользователь использовал браузер ToR для анонимного входа. Этот тип входа является подозрительным действием, которое ставит пользователя под угрозу. Защита идентификации отправляет оповещение в Microsoft Sentinel.

  7. Настройте Microsoft Sentinel для создания инцидента из оповещения. Сведения об этом см. в статье об автоматическом создании инцидентов из оповещений системы безопасности Майкрософт. Шаблон правила аналитики безопасности Майкрософт для использования — создание инцидентов на основе оповещений Защита идентификации Microsoft Entra.

  8. Когда Microsoft Sentinel активирует инцидент, сборник схем реагирует на действия, которые блокируют пользователя.

Компоненты

  • Microsoft Sentinel — это облачное решение SIEM и SOAR. Она использует расширенную аналитику ИИ и безопасности для обнаружения и реагирования на угрозы в организации. Существует множество сборников схем в Microsoft Sentinel, которые можно использовать для автоматизации ответов и защиты системы.
  • Идентификатор Microsoft Entra — это облачная служба управления удостоверениями, которая объединяет основные службы каталогов, управление доступом к приложениям и защиту идентификации в одном решении. Он может синхронизироваться с локальными каталогами. Служба удостоверений предоставляет единый вход, многофакторную проверку подлинности и условный доступ для защиты от атак кибербезопасности. В решении, приведенном в этой статье, используется защита удостоверений Майкрософт для обнаружения подозрительных действий пользователем.
  • Logic Apps — это бессерверная облачная служба для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Разработчики могут использовать визуальный конструктор для планирования и оркестрации общих рабочих процессов задач. Logic Apps имеет соединители для многих популярных облачных служб, локальных продуктов и других программ в качестве приложений-служб. В этом решении Logic Apps запускает сборник схем реагирования на угрозы.

Рекомендации

  • Azure Well-Architected Framework — это набор руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.
  • Microsoft Sentinel предлагает более 50 сборников схем, готовых к использованию. Их можно найти на вкладке шаблонов сборников схем Microsoft Sentinel|Страница автоматизации рабочей области.
  • GitHub имеет множество сборников схем Microsoft Sentinel, созданных сообществом.

Развертывание этого сценария

Этот сценарий можно развернуть, выполнив действия в рабочем процессе , убедившись, что необходимые компоненты выполнены.

Необходимые компоненты

Подготовка программного обеспечения и выбор тестового пользователя

Для реализации и тестирования сборника схем вам потребуется Azure и Microsoft Sentinel вместе со следующими инструкциями:

  • Лицензия Защита идентификации Microsoft Entra (Премиум P2, E3 или E5).
  • Пользователь Microsoft Entra. Вы можете использовать существующего пользователя или создать нового пользователя. Если вы создаете нового пользователя, его можно удалить, когда вы закончите использовать его.
  • Компьютер или виртуальная машина, которая может запускать браузер ToR. Вы будете использовать браузер для входа на портал Мои приложения в качестве пользователя Microsoft Entra.

Развертывание сборника схем

Чтобы развернуть сборник схем Microsoft Sentinel, выполните следующие действия:

  • Если у вас нет рабочей области Log Analytics для использования в этом упражнении, создайте новую рабочую область следующим образом:
    • Перейдите на главную страницу Microsoft Sentinel и нажмите кнопку "Создать ", чтобы перейти на страницу рабочей области "Добавить Microsoft Sentinel".
    • Выберите Создать рабочую область. Следуйте инструкциям, чтобы создать новую рабочую область. Через некоторое время создается рабочая область.
  • На этом этапе у вас есть рабочая область, возможно, только что созданная. Выполните следующие действия, чтобы узнать, добавлен ли в него Microsoft Sentinel, и добавить его, если нет:
    • Перейдите на главную страницу Microsoft Sentinel .
    • Если Microsoft Sentinel уже добавлен в рабочую область, рабочая область появится в отображаемом списке. Если он еще не добавлен, добавьте его следующим образом.
      • Нажмите кнопку +Создать , чтобы открыть страницу добавления Microsoft Sentinel на страницу рабочей области .
      • Выберите рабочую область из отображаемого списка и нажмите кнопку "Добавить " в нижней части страницы. Через некоторое время Microsoft Sentinel добавляется в рабочую область.
  • Создайте сборник схем следующим образом:
    • Перейдите на главную страницу Microsoft Sentinel . Щелкните рабочую область. Выберите "Автоматизация " в меню слева, чтобы открыть страницу автоматизации . На этой странице есть три вкладки.
    • Перейдите на вкладку шаблонов сборников схем (предварительная версия).
    • В поле поиска введите блокировать пользователя Microsoft Entra — Инцидент.
    • В списке сборников схем выберите "Блокировать пользователя Microsoft Entra " Инцидент " и выберите " Создать сборник схем" в правом нижнем углу, чтобы открыть страницу "Создать воспроизведение ".
    • На странице "Создание сборника схем" выполните следующие действия:
      • Выберите значения для подписки, группы ресурсов и региона из списков.
      • Введите значение для имени сборника схем, если вы не хотите использовать отображаемое по умолчанию имя.
      • Если вы хотите, выберите включить журналы диагностика в Log Analytics, чтобы включить журналы.
      • Установите флажок "Связать с средой службы интеграции".
      • Оставьте среду службы интеграции пустой.
    • Нажмите кнопку "Далее": подключения, чтобы перейти на вкладку "Подключения>" в сборнике схем.
    • Выберите способ проверки подлинности в компонентах сборника схем. Для проверки подлинности требуется:
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Office 365 Outlook

      Примечание.

      Вы можете пройти проверку подлинности ресурсов во время настройки сборника схем в ресурсе приложения логики, если вы хотите включить позже. Для проверки подлинности указанных выше ресурсов на этом этапе требуется разрешение на обновление пользователя в идентификаторе Microsoft Entra, а пользователь должен иметь доступ к почтовому ящику электронной почты и иметь возможность отправлять сообщения электронной почты.

    • Нажмите кнопку >вкладку "Рецензирование" и "Создать сборник схем".
    • Выберите "Создать" и продолжить конструктор , чтобы создать сборник схем и получить доступ к странице конструктора приложений логики.

Дополнительные сведения о создании приложений логики см. в статье "Что такое Azure Logic Apps и краткое руководство. Создание определений рабочих процессов приложения логики и управление ими".

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Автор субъекта:

Другие участники:

Следующие шаги