你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Splunk SOAR 自动化迁移到 Microsoft Sentinel
Microsoft Sentinel 通过自动化规则和 playbook 提供安全业务流程、自动化和响应 (SOAR) 功能。 自动化规则有助于简单的事件处理和响应,而 playbook 则运行更复杂的操作序列来响应和补救威胁。 本文讨论如何识别 SOAR 用例,以及如何将 Splunk SOAR 自动化迁移到 Microsoft Sentinel 自动化规则和 playbook。
若要详细了解自动化规则和 playbook 之间的差异,请参阅以下文章:
识别 SOAR 用例
以下是从 Splunk 迁移 SOAR 用例时需要考虑的事项。
- 用例质量。 基于明确定义的、变化最小的且误报率较低的过程来选择自动化用例。
- 手动干预。 自动响应可以产生广泛的影响。 具有很大影响的自动化应该有人工输入,以便在执行具有很大影响的操作之前进行确认。
- 二元条件。 为了提高响应成功率,自动化工作流中的决策点应尽可能有限,并采用二元条件。 当自动决策中只有两个变量时,对人为干预的需求就会减少,结果的可预测性也会增强。
- 准确的警报或数据。 响应操作取决于信号(如警报)的准确性。 警报和扩充源应可靠。 具有高置信度评级的监视列表和威胁情报等 Microsoft Sentinel 资源可增强可靠性。
- 分析师角色。 虽然自动化很出色,但最复杂的任务还是留给分析师吧。 请为他们提供需要验证的工作流的输入机会。 简而言之,响应自动化应增强和扩展分析师功能。
迁移 SOAR 工作流
本部分介绍 Splunk 中的关键 SOAR 概念如何转换为 Microsoft Sentinel 组件,并提供有关如何迁移 SOAR 工作流中每个步骤或组件的一般准则。
| 步骤(在图中) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | 将事件引入主索引。 | 将事件引入 Log Analytics 工作区。 |
| 2 | 创建容器。 | 使用自定义详细信息功能标记事件。 |
| 3 | 创建案例。 | Microsoft Sentinel 可以根据用户定义的条件(例如共享实体或严重性)自动对事件进行分组。 然后,这些警报将生成事件。 |
| 4 | 创建 playbook。 | Azure 逻辑应用使用多个连接器跨 Microsoft Sentinel、Azure、第三方和混合云环境协调活动。 |
| 4 | 创建工作簿。 | Microsoft Sentinel 以隔离方式或作为有序自动化规则的一部分执行 playbook。 还可以根据预定义的安全运营中心 (SOC) 过程,针对警报或事件手动执行 playbook。 |
映射 SOAR 组件
查看哪些 Microsoft Sentinel 或 Azure 逻辑应用功能映射到主 Splunk SOAR 组件。
| Splunk | Microsoft Sentinel/Azure 逻辑应用 |
|---|---|
| Playbook 编辑器 | 逻辑应用设计器 |
| 触发器 | 触发器 |
| • 连接器 • 应用 • 自动化代理 |
• 连接器 • 混合 Runbook 辅助角色 |
| 操作块 | 操作 |
| 连接代理 | 混合 Runbook 辅助角色 |
| 社区 | • “自动化”>“模板”选项卡 • 内容中心目录 • GitHub |
| 决策 | 条件控件 |
| 代码 | Azure 函数连接器 |
| Prompt | 发送批准电子邮件 |
| 格式 | 数据操作 |
| 输入 playbook | 从以前执行的步骤或显式声明的变量的结果中获取变量输入 |
| 使用实用工具块 API 实用工具设置参数 | 使用 API 管理事件 |
在 Microsoft Sentinel 中操作 playbook 和自动化规则
与 Microsoft Sentinel 一起使用的大多数 playbook 都已在“自动化”>“模板”选项卡、内容中心目录或 GitHub 中提供。 但是,在某些情况下,可能需要从头开始或根据现有模板创建 playbook。
通常使用 Azure 逻辑应用设计器功能来生成自定义逻辑应用。 逻辑应用代码基于 Azure 资源管理器 (ARM) 模板,这些模板有助于跨多个环境开发、部署和移植 Azure 逻辑应用。 若要将自定义 playbook 转换为可移植的 ARM 模板,可以使用 ARM 模板生成器。
对于需要从头开始或根据现有模板生成自己的 playbook 的情况,请使用这些资源。
- 在 Microsoft Sentinel 中自动处理事件
- 在 Microsoft Sentinel 中使用 playbook 自动响应威胁
- 教程:在 Microsoft Sentinel 中结合自动化规则使用 playbook
- 如何使用 Microsoft Sentinel 进行事件响应、协调和自动化
- 使用自适应卡片增强 Microsoft Sentinel 中的事件响应
SOAR 迁移后最佳做法
下面是在 SOAR 迁移后应考虑的最佳做法:
- 迁移 playbook 后,请广泛测试 playbook,以确保迁移的操作按预期工作。
- 定期查看自动化,以探索进一步简化或增强 SOAR 的方法。 Microsoft Sentinel 不断添加新的连接器和操作,可帮助你进一步简化当前响应实现或提高其有效性。
- 使用 playbook 运行状况监视工作簿监视 playbook 的性能。
- 使用托管标识和服务主体:在逻辑应用中针对各种 Azure 服务进行身份验证,将机密存储在 Azure Key Vault 中,并遮盖流执行输出。 我们还建议监视这些服务主体的活动。
后续步骤
在本文中,你已了解如何将 SOAR 自动化从 Splunk 映射到 Microsoft Sentinel。