Настройка автоматизации в Microsoft Sentinel

  • 7 мин

Общие сведения о правилах автоматизации и сборниках схем

Правила автоматизации помогают рассматривать инциденты в Microsoft Sentinel. Их можно использовать для автоматического назначения инцидентов нужному персоналу, закрытия мнимых инцидентов или известных ложноположительных результатов, изменения их серьезности и добавления тегов. Они также являются механизмом, с помощью которого можно запускать сборники схем в ответ на инциденты или оповещения.

Сборники схем — это коллекции процедур, которые могут выполняться из Microsoft Sentinel в ответ на весь инцидент, на отдельное оповещение или определенную сущность. Сборник схем может помочь автоматизировать и оркестрировать ответ, и его можно настроить автоматически при создании или обновлении определенных оповещений, при подключении к правилу автоматизации. Он также может выполняться вручную по запросу по конкретным инцидентам, оповещениям или сущностям.

Сборники схем в Microsoft Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps. Это означает, что вы получаете все функции, возможности настройки и встроенные шаблоны Logic Apps. Каждая сборник схем создается для конкретной подписки, к которой она принадлежит, но в сборниках схем отображаются все сборники схем, доступные в любой выбранной подписке.

Например, если вы хотите предотвратить доступ потенциально скомпрометированных пользователей к ресурсам сети и кражу информации, можно создать автоматизированный многоаспектный ответ на инциденты, созданные на основе правил обнаружения скомпрометированных пользователей. Начнем с создания сборника схем, выполняющего описанные ниже действия.

  1. При вызове сборника схем правилом автоматизации, которое передает ему инцидент, сборник схем открывает запрос в ServiceNow или любой другой системе обработки запросов.
  2. Он отправляет сообщение в ваш канал операций по обеспечению безопасности в Microsoft Teams или Slack, чтобы уведомить аналитиков системы безопасности об инциденте.
  3. Он также отправляет все сведения в инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. В сообщении электронной почты будут включены кнопки "Блокировать " и "Игнорировать параметры пользователя".
  4. Сборник схем ожидает получения ответа от администраторов, а затем переходит к следующим шагам.
  5. Если администраторы выбирают блокировку, он отправляет команду в идентификатор Microsoft Entra, чтобы отключить пользователя, и один в брандмауэр, чтобы заблокировать IP-адрес.
  6. Если администратор выбирает игнорировать, сборник схем закрывает инцидент в Microsoft Sentinel и запрос в ServiceNow.

Чтобы активировать сборник схем, вы создадите правило автоматизации, которое будет выполняться при создании таких инцидентов. В соответствии с этим правилом будут выполняться следующие действия:

  1. Состояние инцидента будет изменено на Активно.
  2. Инцидент будет назначен аналитику, отвечающему за управление инцидентами такого типа.
  3. Будет добавлен тег "скомпрометированный пользователь".
  4. Наконец, будет вызван только что созданный сборник схем. (Для этого шага требуются специальные разрешения.)

Сборники схем можно запускать автоматически в ответ на инциденты, создав правила автоматизации, вызывающие такие сборники в качестве действий, как в приведенном выше примере. Они также могут запускаться автоматически в ответ на предупреждения, если в правиле аналитики предусмотрено автоматическое выполнение одного или нескольких сборников схем при создании предупреждения.

При этом можно также выбрать запуск сборника схем вручную по запросу в ответ на выбранное предупреждение.

Ознакомьтесь с более полным и подробным введением в автоматизацию реагирования на угрозы с помощью правил автоматизации и сборников схем в Microsoft Sentinel.

Создание сборника схем

Чтобы создать сборник схем в Microsoft Sentinel, сделайте следующее.

  1. Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите >.

  2. В верхнем меню щелкните Создать.

  3. Раскрывающееся меню, которое отображается в разделе "Создание" , предоставляет четыре варианта создания сборников схем:

    • Если вы создаете стандартный сборник схем (новый вид — см. типы приложений логики), выберите пустой сборник схем, а затем выполните действия на вкладке "Стандартный" logic Apps ниже.

    • Если вы создаете сборник схем потребления (исходный, классический тип), то в зависимости от того, какой триггер вы хотите использовать, выберите сборник схем с триггером инцидента, сборник схем с триггером оповещения или сборник схем с триггером сущности. Затем перейдите к инструкциям на вкладке Приложения логики категории "Потребление" ниже.

Дополнительные сведения об используемом триггере см. в разделе "Использование триггеров и действий" в сборниках схем Microsoft Sentinel. Дополнительные сведения об используемом триггере см. в разделе "Использование триггеров и действий" в сборниках схем Microsoft Sentinel.

На вкладке Основные сведения задайте следующие параметры:

  1. Выберите подписку, группу ресурсов и регион из соответствующих раскрывающихся списков. Выбранный регион — это место, в котором будут храниться сведения о вашем приложении логики.
  2. Введите название сборника схем в поле Имя сборника схем.
  3. Если вы хотите отслеживать действие этого сборника схем в целях диагностики, установите флажок Включить журналы диагностики в анализе журналов и выберите рабочую область Log Analytics из раскрывающегося списка.
  4. Если сборники схем нуждаются в доступе к защищенным ресурсам, которые находятся внутри или подключены к виртуальной сети Azure, может потребоваться использовать среду службы интеграции (ISE). В этом случае установите флажок Связь со средой службы интеграции и выберите нужную среду из раскрывающегося списка.
  5. Нажмите кнопку "Далее" — подключения>.

На вкладке Подключения:

Лучше всего будет оставить этот раздел без изменений и настроить Logic Apps для подключения к Microsoft Sentinel с использованием управляемого удостоверения. Узнайте об этом и других вариантах проверки подлинности.

Нажмите кнопку "Далее": проверка и создание>.

На вкладке Проверка и создание:

Просмотрите выбранные параметры конфигурации и выберите Создать конструктор и перейти в него.

Создание и развертывание сборника схем займет несколько минут, после чего появится сообщение "Развертывание завершено" и вы перейдете в конструктор приложений логики нового сборника схем. Триггер, выбранный в начале, будет автоматически добавлен в качестве первого шага, и вы можете продолжить проектирование рабочего процесса.

Если вы выбрали триггер сущности Microsoft Sentinel (предварительная версия), выберите тип сущности, которую вы хотите получить в качестве входных данных.

Снимок экрана: пример выбора типа сущности, которую требуется получить в качестве входных данных.

Добавление действий

Теперь можно определить, что произойдет при активации сборника схем. Чтобы добавить действия, логические условия, циклы или условия для оператора switch, выберите Новый шаг. При выборе этого варианта в конструкторе открывается новый фрейм, где можно выбрать систему или приложение для взаимодействия или условие, которое необходимо задать. Введите имя системы или приложения в строке поиска в верхней части фрейма, а затем выберите один из доступных результатов.

На каждом из этих шагов при щелчке в любом поле отображается панель с двумя меню: Динамическое содержимое и Выражение. В меню динамического содержимого можно добавить ссылки на атрибуты оповещения или инцидента, переданные в сборник схем, включая значения и атрибуты всех сопоставленных сущностей и пользовательских сведений , содержащихся в оповещении или инциденте. С помощью меню Выражение можно добавить дополнительную логику к шагам, выбрав необходимые элементы из большой библиотеки функций.

На этом снимке экрана показаны действия и условия, которые можно добавить при создании сборника схем, описанного в примере в начале этого документа. Узнайте больше о добавлении действий в сборники схем.

Снимок экрана: действия и условия, которые вы добавите при создании сборника схем.

Дополнительные сведения о действиях, которые можно добавить в сборники схем Microsoft Sentinel, см . в разделе "Использование триггеров и действий" в сборниках схем Microsoft Sentinel.

В частности, обратите внимание на эти важные сведения о сборниках схем на основе триггера сущности в контексте, отличном от инцидентов.

Автоматизация реагирования на угрозы

Вы создали сборник схем и определили триггер, установили условия, а также задали действия, которые он будет выполнять, и выходные данные, которые он будет создавать. Теперь необходимо определить условия, при которых он будет выполняться, и настроить механизм автоматизации, который будет запускать его при выполнении этих условий.

Реагирование на инциденты и оповещения

Чтобы использовать сборник схем для автоматического реагирования на весь инцидент или отдельное оповещение, создайте правило автоматизации, которое будет выполняться при создании или обновлении инцидента или при создании оповещения. Это правило автоматизации будет включать шаг, который вызывает сборник схем, который вы хотите использовать.

Чтобы создать правило автоматизации, выполните следующие действия.

  1. На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать" в верхнем меню, а затем правило автоматизации.

  2. Откроется панель Create new automation rule (Создание правила автоматизации). Введите имя правила. Параметры отличаются в зависимости от того, подключена ли рабочая область к единой платформе операций безопасности. Например:

  3. Триггер: выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации: при создании инцидента, при обновлении инцидента или при создании оповещения.

  4. Условия.

    • Если рабочая область еще не подключена к единой платформе операций безопасности, инциденты могут иметь два возможных источника:

    • Если вы выбрали один из триггеров инцидентов и хотите, чтобы правило автоматизации ввелось только на инциденты, которые были источником в Microsoft Sentinel или в XDR в Microsoft Defender, укажите источник в условии, если поставщик инцидентов равен условию.

    • Это условие будет отображаться только в том случае, если выбран триггер инцидента, и ваша рабочая область не подключена к единой платформе операций безопасности.

    • Для всех типов триггеров, если требуется, чтобы правило автоматизации действовало только в определенных правилах аналитики, укажите, какие из них можно изменить, изменив имя правила If Analytics, содержащее условие.

    • Добавьте любые другие условия, которые необходимо определить, будет ли выполняться это правило автоматизации. Выберите +Добавить и выберите условия или группы условий из раскрывающегося списка. Список условий заполняется сведениями о предупреждении и полями идентификаторов сущностей.

  5. Действия:

    • Так как вы используете это правило автоматизации для запуска сборника схем, выберите действие run playbook из раскрывающегося списка. Затем появится запрос на выбор из второго раскрывающегося списка, где отображаются доступные сборники схем. Правило автоматизации может запускать только те сборники схем, которые начинаются с того же триггера (инцидента или оповещения), что и триггер, определенный в правиле, поэтому в списке будут отображаться только те сборники схем.

Внимание

Microsoft Sentinel должен предоставлять явные разрешения, чтобы запускать сборники схем вручную или из правил автоматизации. Если сборник схем в раскрывающемся списке неактивен, это означает, что у Sentinel нет разрешения на доступ к группе ресурсов этого сборника. Щелкните ссылку Manage playbook permissions (Управление разрешениями для сборника схем), чтобы назначить разрешения.

На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и нажмите кнопку Применить.

  • У вас должны быть разрешения владельца для любой группы ресурсов, которой требуется предоставить разрешения Microsoft Sentinel, и у вас должна быть роль участника приложения логики для любой группы ресурсов, содержащей сборники схем, которые требуется запустить.
  • В мультитенантном развертывании, если сборник схем, который вы хотите запустить, находится в другом клиенте, необходимо предоставить Microsoft Sentinel разрешение на запуск сборника схем в клиенте сборника схем.
  • В меню навигации Microsoft Sentinel в арендаторе сборника схем выберите Параметры.
  • В колонке Параметры выберите вкладку Параметры, а затем — расширитель разрешений сборника схем.
  • Нажмите кнопку "Настройка разрешений", чтобы открыть панель "Управление разрешениями ", описанную выше, и продолжить, как описано здесь.

В сценарии MSSP необходимо запустить сборник схем в клиенте клиента из правила автоматизации, созданного при входе в клиент поставщика услуг, необходимо предоставить Microsoft Sentinel разрешение на запуск сборника схем в обоих клиентах. В клиенте клиента следуйте инструкциям по развертыванию мультитенантного развертывания в предыдущей точке маркера. На арендаторе поставщика услуг необходимо добавить приложение Azure Security Insights в шаблон адаптации Azure Lighthouse.

  1. В портал Azure перейдите к идентификатору Microsoft Entra.
  2. Выберите Корпоративные приложения.
  3. Выберите Тип приложения и фильтр Приложения Майкрософт.
  4. В поле поиска введите Azure Security Insights.
  5. Скопируйте поле Идентификатор объекта. Необходимо добавить эту дополнительную авторизацию в существующее делегирование Azure Lighthouse.

Роль участника службы автоматизации Microsoft Sentinel имеет фиксированный идентификатор GUID, для которого установлено значение f4c81013-99ee-4d62-a7ee-b3f1f648599a.

  1. Добавьте другие действия, которые вы хотите выполнить для этого правила. Порядок выполнения действий можно изменить, выбрав стрелки вверх или вниз справа от любого действия.
  2. Задайте дату истечения срока действия правила автоматизации, если это необходимо.
  3. Введите число в разделе Порядок, чтобы определить, где в последовательности правил автоматизации будет выполняться это правило.
  4. Выберите Применить. Готово!

Реагирование на оповещения — устаревший метод

Еще одним способом автоматического запуска сборников схем в ответ на оповещения являются вызовы из правила аналитики. Когда правило создает оповещение, сборник схем запускается.

Этот метод будет нерекомендуем по состоянию на март 2026 года.

Начиная с июня 2023 года, вы больше не можете добавлять сборники схем в правила аналитики таким образом. Однако вы по-прежнему видите существующие сборники схем, вызываемые из правил аналитики, и эти сборники схем по-прежнему будут работать до марта 2026 года. Перед этим настоятельно рекомендуется создавать правила автоматизации для вызова этих сборников схем.

Выполнение сборника схем по запросу

Вы также можете вручную запустить сборник схем по запросу, будь то в ответ на оповещения, инциденты (в предварительной версии) или сущности (также в предварительной версии). Это может быть полезно в тех ситуациях, когда требуется больше сотрудников для ввода данных и управления процессами оркестрации и реагирования.

Запуск сборника схем в оповещении вручную

Примечание.

Эта процедура не поддерживается на унифицированной платформе операций безопасности.

В портал Azure выберите одну из следующих вкладок, как это необходимо для вашей среды:

  1. На странице Инциденты выберите инцидент. В портал Azure выберите "Просмотреть полные сведения" в нижней части области сведений об инциденте, чтобы открыть страницу сведений об инциденте.
  2. На странице сведений об инциденте в мини-приложении временной шкалы инцидента выберите оповещение, в которое нужно запустить сборник схем. Выберите три точки в конце строки оповещения и выберите команду "Запустить сборник схем" во всплывающем меню.

Снимок экрана: пример страницы сведений о временной шкале инцидента в Microsoft Sentinel.

  1. Откроется панель Сборники схем оповещения. Вы увидите список всех сборников схем, настроенных с помощью триггера Logic Apps Microsoft Sentinel Alert, к которому у вас есть доступ.
  2. Выберите Запустить в строке сборника схем, чтобы запустить его немедленно.

Журнал выполнения для сборника схем можно просмотреть в оповещении, выбрав вкладку Запуски в области Сборники схем оповещения. На отображение только что выполненной операции запуска в этом списке может потребоваться несколько секунд. При выборе конкретной операции запуска открывается полный журнал запуска в Logic Apps.