解決方案構想
本文說明解決方案概念。 您的雲端架構師可以使用本指南,協助視覺化此架構的一般實作的主要元件。 以本文為起點,設計符合您工作負載具體要求的完善解決方案。
Microsoft Sentinel 是安全性資訊和事件管理 (SIEM) 和安全性協調流程、自動化和回應 (SOAR) 的可調整雲端式解決方案。 它為各種規模的組織提供智慧型手機安全性分析,並提供下列功能和更多功能:
- 商務攻擊偵測
- 主動式搜捕
- 自動化事件回應
Microsoft Sentinel 中的威脅回應是透過劇本進行管理。 當警示或事件觸發時,劇本會執行一系列自動化動作來對抗威脅。 您建立這些劇本是使用 Azure Logic Apps。
Microsoft Sentinel 提供數百個現成可用的劇本,包括下列案例的劇本:
- 封鎖 Microsoft Entra 使用者
- 根據透過電子郵件拒絕封鎖Microsoft Entra 使用者
- 在 Microsoft Teams 頻道中張貼關於事件或警示的訊息
- 在 Slack 上張貼訊息
- 傳送含有事件或警示詳細資料的電子郵件
- 傳送具有格式化事件報告的電子郵件
- 判斷Microsoft Entra 使用者是否面臨風險
- 透過 Microsoft Teams 傳送調適型卡片,以判斷使用者是否遭到入侵
- 透過 適用於端點的 Microsoft Defender 隔離端點
本文包含實作劇本的範例,此劇本會封鎖可疑活動遭入侵的 Microsoft Entra 使用者,以回應威脅。
潛在使用案例
每當您需要對可偵測條件實作自動回應時,本文所述的技術都適用。
架構
下載此架構的 Visio 檔案。
工作流程
此工作流程會顯示部署劇本的步驟。 在開始之前,請確保滿足先決條件。 例如,您必須選擇 Microsoft Entra 使用者。
請遵循將記錄傳送至 Azure 監視器中的步驟,設定 Microsoft Entra ID,將稽核記錄傳送至與 Microsoft Sentinel 搭配使用的記錄分析工作區。
注意
此解決方案不會使用稽核記錄,但您可以使用它們來調查封鎖使用者時會發生什麼情況。
Microsoft Entra ID Protection 會產生觸發威脅回應劇本執行的警示。 若要讓 Microsoft Sentinel 收集警示,請瀏覽至您的 Microsoft Sentinel 執行個體,然後選取 [資料連接器]。 搜尋 Microsoft Entra ID Protection,並啟用警示收集。 有關 Identity Protection 的更多資訊,請參閱什麼是 Identity Protection?。
將 ToR 瀏覽器安裝到您可以使用的電腦或虛擬機器 (VM) 上,而不會危及 IT 安全。
使用 Tor Browser 以匿名方式登入 [我的應用程式] 作為您為此解決方案選取的使用者。 如需使用 Tor Browser 模擬匿名 IP 位址的指示,請參閱匿名 IP 位址。
Microsoft Entra 驗證使用者。
Microsoft Entra ID Protection 會偵測使用者使用 ToR 瀏覽器匿名登入。 這種類型的登入是讓使用者面臨風險的可疑活動。 Identity Protection 將警示傳送至 Microsoft Sentinel。
設定 Microsoft Sentinel 以從警示建立事件。 有關執行此操作的資訊,請參閱從 Microsoft 安全性警示自動建立事件。 要使用的 Microsoft 安全性分析規則範本是根據 Microsoft Entra ID Protection 警示建立事件。
當 Microsoft Sentinel 觸發事件時,劇本會回應封鎖使用者的動作。
元件
- Microsoft Sentinel 是雲端原生 SIEM 和 SOAR 解決方案。 它會使用進階 AI 和安全性分析來偵測及回應整個企業的威脅。 Microsoft Sentinel 上有許多劇本,可用來自動化回應並保護您的系統。
- Microsoft Entra ID 是雲端式目錄和身分識別管理服務,可將核心目錄服務、應用程式存取管理和身分識別保護結合成單一解決方案。 它可以與內部部署目錄同步處理。 識別服務提供單一登入、多重要素驗證和條件式存取,以防範網路安全性攻擊。 本文中所示的解決方案會使用 Microsoft Entra identity Protect 來偵測使用者的可疑活動。
- Logic Apps 是無伺服器的雲端服務,可用於建立和執行整合應用程式、資料、服務和系統的自動化工作流程。 開發人員可以使用可做出視覺效果的設計工具,以排程及協調一般工作的工作流程。 Logic Apps 具有許多熱門雲端服務、內部部署產品和其他軟體即服務應用程式的連接器。 在此解決方案中,Logic Apps 會執行威脅回應劇本。
考量
- Azure Well-Architected Framework 是一組指導租用戶,可用於改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
- Microsoft Sentinel 提供 50 多本可供使用的劇本。 您可以在工作區的 Microsoft Sentinel | 自動化頁面的劇本範本索引標籤上找到它們。
- GitHub 具有社群所建置的各種 Microsoft Sentinel 劇本。
部署此案例
您可以遵循工作流程中的步驟,確定符合必要條件之後,即可部署此案例。
必要條件
準備軟體並選擇測試使用者
若要實作及測試劇本,您需要 Azure 和 Microsoft Sentinel,以及下列各項:
- Microsoft Entra ID Protection 授權 (Premium P2、E3 或 E5)。
- Microsoft Entra 使用者。 您可以使用現有的使用者或建立新的使用者。 如果您確實建立新的使用者,您可以在完成使用時將其刪除。
- 可執行 ToR 瀏覽器的電腦或 VM。 您將使用瀏覽器,以您的Microsoft Entra 使用者身分登入 我的應用程式 入口網站。
部署劇本
若要部署 Microsoft Sentinel 劇本,請依照下列方式繼續進行:
- 如果您沒有用於此練習的 Log Analytics 工作區,請如下建立新的工作區:
- 此時,您有一個工作區,也許是您剛才建立的工作區。 使用下列步驟來查看是否已將 Microsoft Sentinel 新增至其中,如果否,請新增它:
- 建立劇本,如下所示:
- 前往 [Microsoft Sentinel] 主頁面。 選取您的工作區。 從左側功能表中選取 [自動化] 以前往 [自動化] 頁面。 此頁面有三個索引標籤。
- 選取 [劇本範本 (預覽)] 索引標籤。
- 在搜尋欄位中,輸入封鎖 Microsoft Entra 使用者 - 事件。
- 在劇本清單中,選取 [封鎖 Microsoft Entra 使用者 - 事件],然後選取右下角的 [建立劇本] 以前往 [建立播放]頁面。
- 在 [建立劇本] 頁面上,執行下列:
- 從清單中選擇 [訂用帳戶]、[資源群組],和 [區域] 的值。
- 如果您不想使用顯示的預設名稱,請輸入 [劇本名稱] 的值。
- 如有需要,請選取 [在 Log Analytics 中啟用診斷記錄] 以啟用記錄。
- 將 [與整合服務環境的關聯] 核取方塊保持未核取。
- 將 [整合服務環境] 留空。
- 選取 [下一步:連接]> 以前往 [建立劇本] 的 [連接] 索引標籤。
- 選擇如何在劇本的元件內進行驗證。 以下情況需要驗證:
- Microsoft Entra ID
- Microsoft Sentinel
- Office 365 Outlook
注意
如果您想要稍後啟用,可以在邏輯應用程式資源下的劇本自訂期間驗證資源。 若要在此時驗證上述資源,您需要權限才能更新 Microsoft Entra ID 上的使用者,而且該使用者必須能夠存取電子郵件信箱,而且必須能夠傳送電子郵件。
- 選取 [下一步:檢閱並建立]> 以前往 [建立劇本] 的 [檢閱和建立] 索引標籤。
- 選取 [建立並繼續設計工具] 以建立劇本並存取 [邏輯應用程式設計工具] 頁面。
如需建置邏輯應用程式的詳細資訊,請參閱 什麼是 Azure Logic Apps 和快速入門:建立和管理邏輯應用程式工作流程定義。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Rudnei Oliveira | 資深 Azure 安全性工程師
其他投稿人:
- Andrew Nathan | 資深客戶工程經理
- Lavanya Kasturi | 技術寫入員
下一步
- Azure 雲端服務概觀?
- 什麼是 Microsoft Sentinel?
- Microsoft Sentinel 中的安全性協調流程、自動化和回應 (SOAR)。
- 使用 Microsoft Sentinel 中的劇本將威脅回應自動化
- 什麼是 Microsoft Entra 識別碼?
- 什麼是 Identity Protection?
- 在 Identity Protection 中模擬風險偵測
- 什麼是 Azure Logic Apps?
- 教學課程:使用 Azure Logic Apps 建立以核准為基礎的自動化工作流程
- Microsoft Sentinel 簡介