Vad är Microsoft Sentinel-spelböcker?
Förutom att utvärdera och åtgärda problem med deras säkerhetskonfiguration, måste Contoso också övervaka nya problem och hot och sedan agera på ett lämpligt sätt.
Microsoft Sentinel som en SIEM- och SOAR-lösning
Microsoft Sentinel är både en SIEM-lösning (Security Information and Event Management) och en SOAR-lösning (Security Orchestration, Automation and Response) som är utformad för hybridmiljöer.
Kommentar
SIEM-lösningar tillhandahåller lagring och analys av loggar, händelser och aviseringar som andra system genererar. Du kan konfigurera dessa lösningar så att de skapar egna aviseringar. SOAR-lösningar har stöd för reparation av sårbarheter och den övergripande automatiseringen av säkerhetsprocesser.
Microsoft Sentinel använder inbyggda och anpassade identifieringar för att varna dig om potentiella säkerhetshot, till exempel försök att komma åt Contosos resurser utanför infrastrukturen eller när data från Contoso verkar skickas till en känd skadlig IP-adress. Du kan också skapa incidenter baserat på dessa aviseringar.
Microsoft Sentinel-spelböcker
Du kan skapa säkerhetsspelböcker i Microsoft Sentinel för att svara på aviseringar. Säkerhetsspelböcker är samlingar med åtgärder som baseras på Azure Logic Apps som körs som svar på en avisering. Du kan köra dessa säkerhetsspelböcker manuellt som svar på din undersökning av en incident, eller konfigurera en avisering som kör en spelbok automatiskt.
Med möjligheten att svara på incidenter automatiskt kan du automatisera vissa av dina säkerhetsåtgärder och göra Ditt Security Operations Center (SOC) mer produktivt.
Om du till exempel vill ta itu med Contosos problem, kan du utveckla ett arbetsflöde med definierade steg som kan blockera ett misstänkt användarnamn från att få åtkomst till resurser från en IP-adress som inte är säker. Du kan också konfigurera spelboken så att den utför en åtgärd, till exempel genom att meddela SecOps-teamet om en säkerhetsavisering på hög nivå.
Azure Logic Program-program
Azure Logic Apps är en molntjänst som automatiserar körningen av affärsprocesser. Du använder det grafiska designverktyget Logic Apps-designern till att ordna fördefinierade komponenter i önskad ordning. Du kan också använda kodvyn och skriva din automatiserade process i JSON-filen.
Logic Apps-anslutningsapp
Logic Apps använder anslutningsappar till att ansluta till hundratals tjänster. En anslutningsapp är en komponent som tillhandahåller ett gränssnitt för en extern tjänst.
Kommentar
En Microsoft Sentinel-dataanslutning och en Logic Apps-anslutning är inte samma sak. En Microsoft Sentinel-dataanslutning ansluter Microsoft Sentinel till Microsofts säkerhetsprodukter och säkerhetsekosystem för icke-Microsoft-lösningar. En Logic Apps-anslutningsapp är en komponent som tillhandahåller en API-anslutning för en extern tjänst och möjliggör integrering av händelser, data och åtgärder i andra appar, tjänster, system, protokoll och plattformar.
Vad är utlösare och åtgärder?
Azure Logic Apps använder utlösare och åtgärder, som definieras enligt följande:
En utlösare är en händelse som inträffar när en specifik uppsättning villkor är uppfyllt. Utlösare aktiveras automatiskt när villkor är uppfyllda. Till exempel inträffar en säkerhetsincident i Microsoft Sentinel, som är en utlösare för en automatiserad åtgärd.
En åtgärd utför en uppgift i Logic Apps-arbetsflödet. Åtgärder körs när en utlösare aktiveras, någon annan åtgärd slutförs, eller ett villkor uppfylls.
Anslutningsprogram för Microsoft Sentinel Logic Apps
En Microsoft Sentinel-spelbok använder en Microsoft Sentinel Logic Apps-anslutning. Den innehåller utlösare och åtgärder som kan starta spelboken och utföra definierade åtgärder.
För närvarande finns det två utlösare från Anslutningsappen för Microsoft Sentinel Logic Apps:
När ett svar på en Microsoft Sentinel-avisering utlöses
När en regel för att skapa Microsoft Sentinel-incidenter utlöses
Kommentar
Eftersom Microsoft Sentinel Logic Anslutningsverktyg finns i förhandsversion kan funktionerna som beskrivs i den här modulen ändras i framtiden.
I följande tabell visas alla aktuella åtgärder för Microsoft Sentinel-anslutningsappen.
| Name | beskrivning |
|---|---|
| Lägg till en kommentar till incidenten | Lägger till kommentarer till den valda incidenten. |
| Lägg till etikett till incidenten | Lägger till etiketter till den valda incidenten. |
| Avisering – Hämta incident | Returnerar incidenten som är associerad med den valda aviseringen. |
| Ändra incidentbeskrivning | Ändrar beskrivningen av den valda incidenten. |
| Ändra incidentens allvarlighetsgrad | Ändrar allvarlighetsgraden för den valda incidenten. |
| Ändra incidentstatus | Ändrar status för den valda incidenten. |
| Ändra incidentrubrik (V2) | Ändrar rubriken för den valda incidenten. |
| Entiteter – Hämta konton | Returnerar en lista med konton som är associerade med aviseringen. |
| Entiteter – Hämta FileHashes | Returnerar en lista med filhashar som är associerade med aviseringen. |
| Entiteter – Hämta värdar | Returnerar en lista med värdar som är associerade med aviseringen. |
| Entiteter – Hämta IP-adresser | Returnerar en lista med IP-adresser som är associerade med aviseringen. |
| Entiteter – Hämta URL:er | Returnerar en lista med URL:er som är associerade med aviseringen. |
| Ta bort etiketter från incidenten | Tar bort etiketter från den valda incidenten. |
Kommentar
Åtgärder som har (V2) eller ett högre nummer innehåller en ny version av åtgärden och kan skilja sig från de gamla funktionerna.
Vissa åtgärder kräver integrering med åtgärder från andra anslutningsappar. Om Contoso exempelvis vill identifiera alla misstänkta konton som returneras i aviseringen från de definierade entiteterna, måste du kombinera åtgärden Entiteter – Hämta konton med åtgärden For Each. Om du vill hämta alla enskilda värdar i en incident som identifierar misstänkta värdar måste du kombinera åtgärden Entiteter – Hämta värdar med åtgärden För varje .