Microsoft Sentinel 中的自動化:安全性協調流程、自動化和回應 (SOAR)
安全性資訊與事件管理 (SIEM) 和安全性作業中心 (SOC) 小組常會週期性地面臨大量安全性警示和事件,其數量之大,讓可用人力疲於應付。 在許多警示經常遭到忽略且不少事件未經調查的情況下,使得組織更容易面臨未察覺的攻擊。
Microsoft Sentinel 除了是 SIEM 系統之外,也是安全性協調流程、自動化和回應的平台 (SOAR)。 其主要用途之一是將安全性作業中心和人員 (SOC/SecOps) 負責的任何週期性、可預測的擴充、回應和補救工作自動化、釋出時間和資源,以進行更深入的調查,以及搜捕進階威脅。
本文描述 Microsoft Sentinel 的 SOAR 功能,並說明如何使用自動化規則和劇本來回應安全性威脅,進而提升 SOC 的有效性,並節省您的時間和資源。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
自動化規則
Microsoft Sentinel 會使用自動化規則,讓使用者從中央位置管理事件處理自動化。 使用自動化規則來:
建議您在建立或更新事件時套用自動化規則,以進一步簡化自動化,並簡化事件協調流程的複雜工作流程。
如需詳細資訊,請參閱使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化。
劇本
劇本集合了回應和補救動作,以及可從 Microsoft Sentinel 當作常式執行的邏輯。 劇本可以:
- 協助協調並將威脅回應自動化
- 與其他系統整合,包括內部和外部
- 設定為自動執行以回應特定警示或事件,或視需要手動執行,例如回應新的警示
在 Microsoft Sentinel 中,劇本會以 Azure Logic Apps 內建的工作流程為基礎,這是一種雲端服務,可協助您跨整個企業的系統排程、自動化,以及協調工作和工作流程。 這表示,劇本可以利用 Logic Apps 整合和協調流程功能的所有能力和可自訂性,以及易於使用的設計工具,還有第 1 層 Azure 服務的可擴縮性、可靠性和服務層級。
如需詳細資訊,請參閱使用 Microsoft Sentinel 中的劇本將威脅回應自動化。
Microsoft Defender 入口網站中的自動化
將Microsoft Sentinel 工作區上線至 Defender 入口網站之後,請注意工作區中自動化功能的方式有下列差異:
| 功能 | 描述 |
|---|---|
| 具有警示觸發程序的自動化規則 | 在 Defender 入口網站中,具有警示觸發程式的自動化規則僅適用於 sentinel 警示Microsoft。 如需詳細資訊,請參閱警示建立觸發程序。 |
| 具有事件觸發程序的自動化規則 | 在 Azure 入口網站 和 Defender 入口網站中,會移除事件提供者條件屬性,因為所有事件都 Microsoft Defender 全面偵測回應 事件提供者(ProviderName 字段中的值)。 此時,任何現有的自動化規則都會在 Microsoft sentinel 和 Microsoft Defender 全面偵測回應事件上執行,包括 [事件提供者] 條件設定為僅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 不過,指定特定分析規則名稱的自動化規則只會在包含指定分析規則所建立警示的事件上執行。 這表示您可以將 [分析規則名稱] 條件屬性定義為只存在於 Microsoft Sentinel 中的分析規則,以將您的規則限制為只在 Microsoft Sentinel 中執行。 如需詳細資訊,請參閱事件觸發條件。 |
| 變更現有事件的名稱 | Defender 入口網站會使用唯一引擎來將事件和警示相互關聯。 將工作區上線至 Defender 入口網站時,如果套用相互關聯,可能會變更現有的事件名稱。 為了確保自動化規則一律正確執行,因此建議您避免在自動化規則中使用事件標題做為條件準則,並建議改用任何建立事件內含警示的分析規則名稱,以及如果需要更具體性的標記。 |
| [更新者] 欄位 | 如需詳細資訊,請參閱事件更新觸發程序。 |
| 新增事件工作的自動化規則 | 如果自動化規則新增事件工作,則工作只會顯示在 Azure 入口網站中。 |
| Microsoft 事件建立規則 | 在 Defender 入口網站中不支援Microsoft事件建立規則。 如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應事件和 Microsoft 事件建立規則。 |
| 從 Defender 入口網站執行自動化規則 | 最多可能需要 10 分鐘的時間,觸發才會警示,並且當執行自動化規則時,在 Defender 入口網站中建立或更新事件。 這個時間延遲是因為事件是在 Defender 入口網站中建立,然後轉送至 Microsoft Defender 進行自動化規則。 |
| [使用中的劇本] 索引標籤 | 上線至 Defender 入口網站之後,根據預設,[ 作用中劇本] 索引 標籤會顯示預先定義的篩選,其中包含已上線工作區的訂用帳戶。 在 Azure 入口網站中,使用訂用帳戶篩選來新增其他訂用帳戶的資料。 如需詳細資訊,請參閱從內容範本建立及自訂 Microsoft Sentinel 劇本。 |
| 視需要手動執行劇本 | Defender 入口網站目前不支援下列程式: |
| 在事件上執行劇本需要 Microsoft Sentinel 同步處理 | 如果您嘗試從 Defender 入口網站對事件執行劇本,並看到訊息 「無法存取與此動作相關的數據。請在幾分鐘內重新整理畫面」。 訊息,這表示事件尚未同步至Microsoft Sentinel。 在事件同步處理之後重新整理事件頁面,以順利執行劇本。 |
| 事件:將警示新增至事件 / 從事件中移除警示 |
由於將工作區上線至 Defender 入口網站之後,不支援將警示新增至或從事件中移除警示,因此劇本中也不支援這些動作。 如需詳細資訊,請參閱 入口網站之間的功能差異。 |