Redigera

Dela via

Automatiserade svar i Microsoft Sentinel

Microsoft Sentinel
Microsoft Entra ID
Azure Logic Apps

Lösningsidéer

I den här artikeln beskrivs en lösningsidé. Molnarkitekten kan använda den här vägledningen för att visualisera huvudkomponenterna för en typisk implementering av den här arkitekturen. Använd den här artikeln som utgångspunkt för att utforma en välkonstruerad lösning som överensstämmer med arbetsbelastningens specifika krav.

Microsoft Sentinel är en skalbar molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) och säkerhetsorkestrering, automatisering och svar (SOAR). Den erbjuder intelligent säkerhetsanalys för organisationer av alla storlekar och tillhandahåller följande funktioner och mycket mer:

  • Identifiering av affärsattacker
  • Proaktiv jakt
  • Automatiserad incidenthantering

Hotsvar i Microsoft Sentinel hanteras via spelböcker. När den utlöses av en avisering eller incident kör en spelbok en serie automatiserade åtgärder för att motverka hotet. Du skapar dessa spelböcker med hjälp av Azure Logic Apps.

Microsoft Sentinel tillhandahåller hundratals spelböcker som är redo att användas, inklusive spelböcker för följande scenarier:

  • Blockera en Microsoft Entra-användare
  • Blockera en Microsoft Entra-användare baserat på avvisande via e-post
  • Publicera ett meddelande i en Microsoft Teams-kanal om en incident eller avisering
  • Publicera ett meddelande på Slack
  • Skicka ett e-postmeddelande med incident- eller aviseringsinformation
  • Skicka ett e-postmeddelande med en formaterad incidentrapport
  • Avgöra om en Microsoft Entra-användare är i riskzonen
  • Skicka ett adaptivt kort via Microsoft Teams för att avgöra om en användare har komprometterats
  • Isolera en slutpunkt via Microsoft Defender för Endpoint

Den här artikeln innehåller ett exempel på hur du implementerar en spelbok som svarar på ett hot genom att blockera en Microsoft Entra-användare som komprometteras av misstänkt aktivitet.

Potentiellt användningsfall

De tekniker som beskrivs i den här artikeln gäller när du behöver implementera ett automatiskt svar på ett identifieringsbart villkor.

Arkitektur

Microsoft Sentinel-arkitektur med hjälp av spelböcker.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Det här arbetsflödet visar stegen för att distribuera spelboken. Kontrollera att kraven är uppfyllda innan du börjar. Du måste till exempel välja en Microsoft Entra-användare.

  1. Följ stegen i Skicka loggar till Azure Monitor för att konfigurera Microsoft Entra-ID för att skicka granskningsloggar till Log Analytics-arbetsytan som används med Microsoft Sentinel.

    Kommentar

    Den här lösningen använder inte granskningsloggarna, men du kan använda dem för att undersöka vad som händer när användaren blockeras.

  2. Microsoft Entra ID Protection genererar aviseringar som utlöser spelboken för hotsvar som ska köras. Om du vill att Microsoft Sentinel ska samla in aviseringarna går du till din Microsoft Sentinel-instans och väljer Dataanslutningsprogram. Sök efter Microsoft Entra ID Protection och aktivera insamling av aviseringar. Mer information om Identity Protection finns i Vad är identitetsskydd?.

  3. Installera ToR-webbläsaren på en dator eller virtuell dator (VM) som du kan använda utan att riskera IT-säkerheten.

  4. Använd Tor Browser för att logga in anonymt på Mina appar som den användare som du valde för den här lösningen. Se Anonym IP-adress för instruktioner om hur du använder Tor Browser för att simulera anonyma IP-adresser.

  5. Microsoft Entra autentiserar användaren.

  6. Microsoft Entra ID Protection identifierar att användaren använde en ToR-webbläsare för att logga in anonymt. Den här typen av inloggning är misstänkt aktivitet som utsätter användaren för risk. Identity Protection skickar en avisering till Microsoft Sentinel.

  7. Konfigurera Microsoft Sentinel för att skapa en incident från aviseringen. Mer information om hur du gör detta finns i Skapa incidenter automatiskt från Microsofts säkerhetsaviseringar . Microsofts regelmall för säkerhetsanalys som ska användas är Skapa incidenter baserat på Microsoft Entra ID Protection-aviseringar.

  8. När Microsoft Sentinel utlöser en incident svarar spelboken med åtgärder som blockerar användaren.

Komponenter

  • Microsoft Sentinel är en molnbaserad SIEM- och SOAR-lösning. Den använder avancerad AI och säkerhetsanalys för att identifiera och svara på hot i hela företaget. Det finns många spelböcker på Microsoft Sentinel som du kan använda för att automatisera dina svar och skydda systemet.
  • Microsoft Entra ID är en molnbaserad katalog- och identitetshanteringstjänst som kombinerar kärnkatalogtjänster, hantering av programåtkomst och identitetsskydd till en enda lösning. Den kan synkroniseras med lokala kataloger. Identitetstjänsten tillhandahåller enkel inloggning, multifaktorautentisering och villkorlig åtkomst för att skydda mot cybersäkerhetsattacker. Lösningen som visas i den här artikeln använder Microsoft Entra identity Protect för att identifiera misstänkt aktivitet av en användare.
  • Logic Apps är en serverlös molntjänst för att skapa och köra automatiserade arbetsflöden som integrerar appar, data, tjänster och system. Utvecklare kan använda en visuell designer för att schemalägga och samordna vanliga uppgiftsarbetsflöden. Logic Apps har anslutningsappar för många populära molntjänster, lokala produkter och annan programvara som tjänstprogram. I den här lösningen kör Logic Apps spelboken hotsvar.

Att tänka på

  • Azure Well-Architected Framework är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
  • Microsoft Sentinel erbjuder fler än 50 spelböcker som är redo att användas. Du hittar dem på fliken Spelboksmallar i Microsoft Sentinel|Automation-sidan för din arbetsyta.
  • GitHub har en mängd olika Microsoft Sentinel-spelböcker som skapats av communityn.

Distribuera det här scenariot

Du kan distribuera det här scenariot genom att följa stegen i Arbetsflöde när du har kontrollerat att kraven är uppfyllda.

Förutsättningar

Förbereda programvaran och välj en testanvändare

För att implementera och testa spelboken behöver du Azure och Microsoft Sentinel tillsammans med följande:

  • En Microsoft Entra ID Protection-licens (Premium P2, E3 eller E5).
  • En Microsoft Entra-användare. Du kan använda antingen en befintlig användare eller skapa en ny användare. Om du skapar en ny användare kan du ta bort den när du är klar med den.
  • En dator eller virtuell dator som kan köra en ToR-webbläsare. Du använder webbläsaren för att logga in på Mina appar portalen som Microsoft Entra-användare.

Distribuera spelboken

Om du vill distribuera en Microsoft Sentinel-spelbok fortsätter du på följande sätt:

  • Om du inte har en Log Analytics-arbetsyta att använda för den här övningen skapar du en ny på följande sätt:
    • Gå till Microsoft Sentinel-huvudsidan och välj + Skapa för att komma till sidan Lägg till Microsoft Sentinel på en arbetsyta.
    • Välj Skapa en ny arbetsyta. Följ anvisningarna för att skapa den nya arbetsytan. Efter en kort tid skapas arbetsytan.
  • Nu har du en arbetsyta, kanske en som du nyss skapade. Använd följande steg för att se om Microsoft Sentinel har lagts till i det och för att lägga till det om inte:
    • Gå till Microsoft Sentinel-huvudsidan .
    • Om Microsoft Sentinel redan har lagts till på din arbetsyta visas arbetsytan i listan som visas. Om den inte har lagts till ännu lägger du till den på följande sätt.
      • Välj + Skapa för att komma till sidan Lägg till Microsoft Sentinel på en arbetsyta .
      • Välj din arbetsyta i listan som visas och välj sedan Lägg till längst ned på sidan. Efter en kort tid läggs Microsoft Sentinel till på din arbetsyta.
  • Skapa en spelbok enligt följande:
    • Gå till Microsoft Sentinel-huvudsidan . Välj din arbetsyta. Välj Automation på den vänstra menyn för att komma till sidan Automation . Den här sidan har tre flikar.
    • Välj fliken Spelboksmallar (förhandsversion).
    • I sökfältet anger du Blockera Microsoft Entra-användare – incident.
    • I listan över spelböcker väljer du Blockera Microsoft Entra-användare – Incident och väljer sedan Skapa spelbok i det nedre högra hörnet för att komma till sidan Skapa uppspelning .
    • Gör följande på sidan Skapa spelbok :
      • Välj värden för Prenumeration, Resursgrupp och Region i listorna.
      • Ange ett värde för Spelboksnamn om du inte vill använda standardnamnet som visas.
      • Om du vill väljer du Aktivera diagnostikloggar i Log Analytics för att aktivera loggar.
      • Låt kryssrutan Associera med integrationstjänstens miljö vara avmarkerad.
      • Lämna integrationstjänstmiljön tom.
    • Välj Nästa: Anslutningar > för att gå till fliken Anslutningar i Skapa spelbok.
    • Välj hur du ska autentisera i spelbokens komponenter. Autentisering krävs för:
      • Microsoft Entra ID
      • Microsoft Sentinel
      • Office 365 Outlook

      Kommentar

      Du kan autentisera resurserna under anpassningen av spelboken under logikappresursen om du vill aktivera senare. För att autentisera ovanstående resurser behöver du behörighet att uppdatera en användare på Microsoft Entra-ID och användaren måste ha åtkomst till en e-postlåda och måste kunna skicka e-post.

    • Välj Nästa: Granska och skapa > för att komma till fliken Granska och skapa i Skapa spelbok.
    • Välj Skapa och fortsätt att designa för att skapa spelboken och få åtkomst till logikappdesignersidan.

Mer information om hur du skapar logikappar finns i Vad är Azure Logic Apps och snabbstart: Skapa och hantera arbetsflödesdefinitioner för logikappar.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Nästa steg