Миграция автоматизации IBM Security QRadar SOAR в Microsoft Sentinel
Microsoft Sentinel предоставляет возможности оркестрации безопасности, автоматизации и ответа (SOAR) с использованием правил автоматизации и сборников схем. Правила автоматизации позволяют автоматизировать обработку инцидентов и реагирование, а сборники схем выполняют заданные последовательности действий для реагирования на угрозы и их устранения. В настоящей статье рассмотрено, как определить варианты использования SOAR и осуществить миграцию автоматизации IBM Security QRadar SOAR в Microsoft Sentinel.
Правила автоматизации упрощают сложные рабочие процессы для оркестрации инцидентов и позволяют централизованно управлять автоматизацией обработки инцидентов.
С помощью правил автоматизации вам будет доступно следующее:
- Выполнение простых задач автоматизации без обязательного использования сборников схем. Например, можно назначать инциденты, помечать инциденты тегами, изменять состояние и закрывать инциденты.
- Автоматизация ответов для нескольких правил аналитики одновременно.
- Управление порядком выполняемых действий.
- Запуск сборников схем в тех случаях, когда необходимы более сложные задачи автоматизации.
Определение вариантов использования SOAR
Планируя миграцию вариантов использования SOAR из IBM Security QRadar, необходимо учитывать следующее.
- Качество вариантов использования. Выберите подходящие варианты использования для автоматизации. Варианты использования должны основываться на четко определенных процедурах с минимальными вариациями и низким коэффициентом ложноположительных результатов. Автоматизация должна работать с эффективными вариантами использования.
- Вмешательство вручную. Автоматизированное реагирование может иметь широкий диапазон эффектов, поэтому автоматизация с высокой степенью воздействия должна предусматривать участие человека, который будет согласовывать действия с высокой степенью воздействия перед их выполнением.
- Двоичные критерии. Чтобы повысить успешность реагирования, точки принятия решений в автоматизированном рабочем процессе должны быть максимально ограничены двоичными критериями. Двоичные критерии снижают потребность во вмешательстве человека и повышают предсказуемость результатов.
- Точные оповещения или данные. Действия реагирования зависят от точности таких сигналов, как оповещения. Оповещения и источники обогащения должны быть надежными. Ресурсы Microsoft Sentinel, включая списки отслеживания и надежные средства аналитики угроз, могут повысить надежность.
- Роль аналитика. Хотя автоматизация, где она возможна, является отличным вариантом, более сложные задачи следует оставлять аналитикам, давая им возможность участвовать в рабочих процессах, требующих проверки. Коротко говоря, автоматизация реагирования должна расширять и приумножать возможности аналитиков.
Миграция рабочего процесса SOAR
В этом разделе показано, как основные понятия SOAR в IBM Security QRadar SOAR преобразуются в компоненты Microsoft Sentinel. В этом разделе также приводятся общие рекомендации по миграции каждого шага или компонента в рабочем процессе SOAR.
| Шаг (на схеме) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | Определение правил и условий. | Определение правил автоматизации. |
| 2 | Выполнение упорядоченных действий. | Выполнение правил автоматизации, содержащих несколько сборников схем. |
| 3 | Выполнение выбранных рабочих процессов. | Выполнение других сборников схем в соответствии с тегами, примененными ранее выполненными сборниками схем. |
| 4 | Публикация данных в местах назначения сообщений. | Выполнение фрагментов кода с помощью встроенных действий в Logic Apps. |
Сопоставление компонентов SOAR
Проверьте, какие функции Microsoft Sentinel или Azure Logic Apps сопоставляются с основными компонентами QRadar SOAR.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Правила | Правила аналитики, вложенные в сборники схем или правила автоматизации |
| Шлюз | Условие управления |
| Сценарии | Встроенный код |
| Пользовательские обработчики действий | Пользовательские вызовы API в Azure Logic Apps или сторонних соединителях |
| Функции | Соединитель Функций Azure |
| Места назначения сообщений | Azure Logic Apps со Служебной шиной Azure |
| IBM X-Force Exchange | • Вкладка "Автоматизация и шаблоны" • Каталог центра содержимого • GitHub |
Активация сборников схем и правил автоматизации в Microsoft Sentinel
Большинство сборников схем, используемых с Microsoft Sentinel, доступны на вкладке Автоматизация и шаблоны, в Каталоге центра содержимого или на GitHub. Однако в некоторых случаях вам придется создавать сборники схем с нуля или на основе существующих шаблонов.
Обычно настраиваемое приложение логики создается с помощью возможности "Конструктор приложений логики Azure". Код приложений логики основан на шаблонах Azure Resource Manager (ARM), которые упрощают разработку, развертывание и переносимость Azure Logic Apps в различных средах. Чтобы преобразовать пользовательский сборник схем в переносимый шаблон ARM, можно использовать генератор шаблонов ARM.
Используйте эти ресурсы, когда вам необходимо создать собственные сборники схем с нуля или на основе существующих шаблонов.
- Автоматизация обработки инцидентов в Microsoft Sentinel
- Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
- Учебник. Использование сборников схем с правилами автоматизации в Microsoft Sentinel
- Использование Microsoft Sentinel для реагирования на инциденты, оркестрации и автоматизации
- Адаптивные карточки для усовершенствования реагирования на инциденты в Microsoft Sentinel
Рекомендации, выполняемые после миграции SOAR
Ниже приведены рекомендации, которые следует учитывать после миграции SOAR:
- После миграции сборников схем тщательно протестируйте их, чтобы убедиться, что перенесенные действия работают должным образом.
- Периодически анализируйте автоматизацию, чтобы изучить способы дальнейшего упрощения или улучшения SOAR. Microsoft Sentinel постоянно добавляет новые соединители и действия, которые помогут вам упростить или повысить эффективность текущей реализации мер реагирования.
- Отслеживайте эффективность сборников схем с помощью книг мониторинга работоспособности сборников схем.
- Используйте управляемые удостоверения и субъекты-службы: проводите проверку подлинности в различных службах Azure в Logic Apps, храните секреты в Azure Key Vault и скрывайте выходные данные выполнения потока. Мы также рекомендуем осуществлять мониторинг действий этих субъектов-служб.
Дальнейшие шаги
Из этой статьи вы узнали, как перенести автоматизацию SOAR из IBM Security QRadar SOAR в Microsoft Sentinel.