Обновление процессов SOC
Центр информационной безопасности (SOC) — это централизованная функция в рамках организации, которая интегрирует людей, процессы и технологии. SOC реализует общую платформу кибербезопасности организации. SOC объединяет организационные усилия по мониторингу, предупреждению, предотвращению, обнаружению, анализу и реагированию на инциденты кибербезопасности. Команды SOC, возглавляемые менеджером SOC, могут включать в себя специалистов по реагированию на инциденты, аналитиков SOC уровней 1, 2 и 3, специалистов по поиску угроз и менеджеров по реагированию на инциденты.
Команды SOC используют данные телеметрии из ИТ-инфраструктуры по всей организации, включая сети, устройства, приложения, действия, приборы и информационные хранилища. Затем команды соотносят и анализируют данные, чтобы определить, как управлять ими и какие действия предпринять.
Чтобы успешно перейти на Microsoft Sentinel, необходимо обновить не только технологию, которую использует SOC, но и задачи и процессы самого SOC. В данной статье описано, как обновить процессы центра информационной безопасности и аналитиков в рамках миграции в Microsoft Sentinel.
Обновление рабочего процесса аналитиков
Microsoft Sentinel предлагает ряд средств, разработанных для типичного рабочего процесса аналитиков, от назначения инцидентов до закрытия. Аналитики могут гибко использовать некоторые или все доступные инструменты для рассмотрения и расследования инцидентов. По мере миграции вашей организации в Microsoft Sentinel аналитики должны адаптироваться к этим новым наборам инструментов, функциям и рабочим процессам.
Инциденты в Microsoft Sentinel
В Microsoft Sentinel инцидент — это коллекция оповещений, которые Microsoft Sentinel определяет как имеющие достаточную точность для активации инцидента. Таким образом, при использовании Microsoft Sentinel аналитик сначала анализирует инциденты на странице Инциденты, а затем переходит к анализу оповещений, если требуется более глубокое погружение. Сравните используемую вами терминологию инцидентов и области управления SIEM с Microsoft Sentinel.
Этапы рабочего процесса аналитика
В данной таблице описаны ключевые этапы рабочего процесса аналитика и выделены конкретные средства, относящиеся к каждому действию в рамках рабочего процесса.
| Назначить | Рассмотрение | Исследование | Respond |
|---|---|---|---|
|
Назначение инцидентов: • Вручную на странице "Инциденты" • Автоматически с использованием сборников схем или правил автоматизации |
Рассмотрение инцидентов с использованием следующих сведений: • Сведения об инциденте на странице Инцидент • Сведения о сущности на странице Инцидент на вкладке Сущности • Записные книжки Jupyter |
Анализ инцидентов с использованием следующих инструментов: • Аналитический граф • Книги Microsoft Sentinel • Окно запроса Log Analytics |
Реагирование на инциденты с использованием следующих средств: • Сборники схем и правила автоматизации • Microsoft Teams WAR Room |
В следующих разделах терминология и рабочий процесс аналитиков сопоставляется с конкретными функциями Microsoft Sentinel.
Назначить
Используйте страницу Инциденты в Microsoft Sentinel для назначения инцидентов. Страница Инциденты включает предварительный обзор инцидента и подробное представление для отдельно взятых инцидентов.
Чтобы назначить инцидент, выполните приведенные действия:
- Вручную. Задайте полю Владелец соответствующее имя пользователя.
- Автоматически. Примените пользовательское решение на основе Microsoft Teams и Logic Appsили правила автоматизации.
Рассмотрение
Чтобы провести упражнение по рассмотрению в Microsoft Sentinel, вы можете начать с различных функций Microsoft Sentinel, в зависимости от уровня знаний и характера расследуемого инцидента. В качестве типичной отправной точки выберите Просмотреть полные сведения на странице Инцидент. Там вы можете изучить оповещения, составляющие инцидент, просмотреть закладки, выбрать конкретные сущности для детализации или добавить комментарии.
Ниже приведены рекомендуемые действия для дальнейшей проверки инцидента:
- Выберите Анализ для визуального представления связей между инцидентами и соответствующими сущностями.
- Используйте Записную книжку Jupyter для выполнения упражнения по более глубокому рассмотрению конкретной сущности. Для этого упражнения можно использовать записную книжку Рассмотрение инцидентов.
Ускоренное рассмотрение
Используйте следующие функции и возможности для ускорения процесса рассмотрения:
- Для быстрой фильтрации на странице Инцидентынайдите инциденты, связанные с определенной сущностью. Фильтрация по сущности на странице Инциденты выполняется быстрее, чем фильтрация по столбцу сущности в устаревших очередях инцидентов SIEM.
- Чтобы ускорить рассмотрение, используйте окно Сведения об оповещениях, чтобы включить ключевые сведения об инциденте в имя и описание инцидента, в том числе связанное имя пользователя, IP-адрес или узел. Например, инцидент можно динамически переименовать в
Ransomware activity detected in DC01, гдеDC01является критически важным ресурсом, динамически идентифицируемым с помощью настраиваемых свойств оповещения. - Для более глубокого анализа на странице Инциденты выберите инцидент и нажмите События в разделе Доказательства, чтобы просмотреть конкретные события, которые привели к инциденту. Данные события отображаются как выходные данные запроса, связанного с правилом аналитики, а не с необработанным событием. Инженер миграции правил может использовать эти выходные данные, чтобы убедиться, что аналитик получает правильные данные.
- Для получения подробных сведений о сущности на странице Инциденты выберите инцидент и имя сущности в разделе Сущности, чтобы просмотреть сведения о каталоге, временной шкале и аналитике сущности. Узнайте, как сопоставлять сущности.
- Чтобы установить связь с соответствующими книгами, выберите Предварительный просмотр инцидентов. Вы можете настроить книгу для отображения дополнительных сведений об инциденте или связанных сущностей и настраиваемых полей.
Анализ
Используйте аналитический граф для более глубокого анализа инцидентов. На странице Инциденты выберите инцидент и нажмите Анализировать, чтобы просмотреть аналитический граф.
С помощью аналитического графа вы можете:
- Определить область и выявить первопричину возможной угрозы безопасности за счет соотнесения релевантных данных с любой соответствующей сущностью.
- Подробно изучить сущности и выбрать различные варианты расширения.
- Легко просматривать подключения между различными источниками данных, анализируя связи, автоматически извлеченные из необработанных данных.
- Расширить область исследования, используя встроенные запросы исследования, чтобы представить угрозу во всей полноте.
- Использовать стандартные варианты исследования, чтобы задать правильные вопросы в процессе анализа угрозы.
В аналитическом графе можно также открывать книги для дальнейшего содействия процессу анализа. Microsoft Sentinel включает несколько шаблонов книг, которые можно настроить в соответствии с конкретным вариантом использования.
Respond
Используйте возможности автоматического реагирования Microsoft Sentinel для реагирования на комплексные угрозы и сокращения объема оповещений. Microsoft Sentinel предоставляет автоматический ответ с помощью сборников схем и правил автоматизации Logic Apps.
Для доступа к сборникам схем можно использовать один из следующих вариантов:
- Вкладка шаблонов Автоматизация> сборника схем
- Центр содержимого Microsoft Sentinel
- Репозиторий GitHub в Microsoft Sentinel
Эти источники включают широкий спектр сборников схем, ориентированных на безопасность, которые охватывают значительную часть вариантов использования разной сложности. Чтобы оптимизировать работу с сборниками схем, используйте шаблоны в разделе шаблонов Автоматизация> сборников схем. Шаблоны позволяют легко развертывать сборники схем в экземпляре Microsoft Sentinel, а затем изменять сборники схем в соответствии с потребностями вашей организации.
Ознакомьтесь с платформой процессов SOC для сопоставления процесса SOC с возможностями Microsoft Sentinel.
Сравнение понятий SIEM
Используйте данную таблицу для сравнения основных понятий устаревшей системы SIEM с понятиями Microsoft Sentinel.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Мероприятие | Мероприятие | Мероприятие | Мероприятие |
| Событие корреляции | Событие корреляции | Важное событие | Предупреждение |
| Incident | Правонарушение | Важное событие | Incident |
| Список правонарушений | Теги | Страница "Инциденты" | |
| Наклейки | Настраиваемое поле в SOAR | Теги | Теги |
| Jupyter Notebook | Jupyter Notebook | Записные книжки Microsoft Sentinel | |
| Панели мониторинга | Панели мониторинга | Панели мониторинга | Workbooks |
| Правила корреляции | Стандартные блоки | Правила корреляции | Правила аналитики |
| Очередь инцидентов | Вкладка "Преступления" | Обзор инцидентов | Страница Инцидент |
Следующие шаги
После миграции изучите материалы по Microsoft Sentinel, чтобы расширить свои навыки и максимально эффективно использовать Microsoft Sentinel.
Кроме того, рекомендуется увеличить защиту от угроз с помощью Microsoft Sentinel вместе с XDR Microsoft Defender и Microsoft Defender для облака для интегрированной защиты от угроз. Воспользуйтесь преимуществами обширного мониторинга в Microsoft Sentinel и тщательно изучайте подробные данные анализа угроз.
Дополнительные сведения см. в разделе:
- Рекомендации по переносу правил
- Вебинар: рекомендации по преобразованию правил обнаружения
- Оркестрация, автоматизация и реагирование системы безопасности (SOAR) в Microsoft Sentinel
- Управление SOC лучше с помощью метрик инцидентов
- Схема обучения Microsoft Sentinel
- Сертификат SC-200 Microsoft Security Operations Analyst
- Станьте экспертом в Microsoft Sentinel
- Исследование атаки в гибридной среде с помощью Microsoft Sentinel