將 IBM Security QRadar SOAR 自動化移轉至 Microsoft Sentinel
Microsoft Sentinel 提供安全性協調流程、自動化和回應 (SOAR) 功能,以及自動化規則和劇本。 自動化規則可將事件處理和回應自動化,而劇本可執行預先決定的動作序列來回應和補救威脅。 本文討論如何識別 SOAR 使用案例,以及如何將您的 IBM Security QRadar SOAR 自動化移轉到 Microsoft Sentinel。
自動化規則可簡化您事件協調流程的複雜工作流程,並可讓您集中管理事件處理自動化。
使用自動化規則,您可以:
- 執行簡單的自動化工作,而不需要使用劇本。 例如,您可以指派、標記事件、變更狀態,以及關閉事件。
- 一次將多個分析規則的回應自動化。
- 控制執行的動作順序。
- 執行劇本來處理需要更複雜自動化工作的情況。
識別 SOAR 使用案例
以下是從 IBM Security QRadar SOAR 移轉 SOAR 使用案例時所需考慮的事項。
- 使用案例品質。 選擇適合自動化的使用案例。 使用案例應該以明確定義的程序為依據,並具有最少的變化和低誤判率。 自動化應該使用有效率的使用案例。
- 手動操作。 自動化回應可能會有廣泛的影響,而高影響力的自動化應該具有人為輸入,以便在採取高影響力的動作之前先行確認。
- 二元準則。 為了提高回應成功率,自動化工作流程內的決策點應該盡可能受限,並採用二元準則。 二元準則可減少人為介入的需求,並增強結果可預測性。
- 精確的警示或資料。 回應動作取決於訊號的精確度,例如警示。 警示和擴充來源應該要是可靠的。 Microsoft Sentinel 資源 (例如關注清單和可靠的威脅情報) 可以增強可靠性。
- 分析師角色。 雖然盡可能執行自動化是件好事,但請將更複雜的工作保留給分析師,並讓他們有機會在需要驗證的工作流程中進行輸入。 簡單來說,回應自動化應該增強和擴充分析師的能力。
移轉 SOAR 工作流程
本節說明 IBM Security QRadar SOAR 中的重要 SOAR 概念會如何轉譯為 Microsoft Sentinel 元件。 本節也提供了如何移轉 SOAR 工作流程中每個步驟或元件的一般指導方針。
| 步驟 (圖表中) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | 定義規則與條件。 | 定義自動化規則。 |
| 2 | 執行已排序的活動。 | 執行包含多個劇本的自動化規則。 |
| 3 | 執行選取的工作流程。 | 根據先前執行劇本所套用的標籤,執行其他劇本。 |
| 4 | 將資料張貼至訊息目的地。 | 在 Logic Apps 中使用內嵌動作執行程式碼片段。 |
對應 SOAR 元件
檢閱哪些 Microsoft Sentinel 或 Azure Logic Apps 功能會對應到主要 QRadar SOAR 元件。
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 規則 | 附加至劇本或自動化規則的分析規則 |
| 閘道 | 條件控制項 |
| 指令碼 | 內嵌程式碼 |
| 自訂動作處理器 | Azure Logic Apps 或協力廠商連接器中的自訂 API 呼叫 |
| 函式 | Azure 函式連接器 |
| 訊息目的地 | 具有 Azure 服務匯流排 的 Azure Logic Apps |
| IBM X-Force Exchange | • [自動化] > [範本] 索引標籤 • 內容中樞目錄 • GitHub |
讓劇本和自動化規則在 Microsoft Sentinel 中運作
您搭配 Microsoft Sentinel 使用的大多數劇本都可以在 [自動化] > [範本] 索引標籤、內容中樞目錄或 GitHub 中取得。 不過,在某些情況下,您可能需要從頭開始或從現有的範本建立劇本。
您通常會使用 Azure 邏輯應用程式設計工具功能來建置自訂邏輯應用程式。 邏輯應用程式程式碼是以 Azure Resource Manager (ARM) 範本為依據,可跨多個環境開發、部署和移植 Azure Logic Apps。 若要將自訂劇本轉換成可攜式 ARM 範本,您可以使用 ARM 範本產生器。
如果您需要從頭開始或從現有的範本建置自己的劇本,請利用下列資源。
- 將 Microsoft Sentinel 中的事件處理自動化
- 使用 Microsoft Sentinel 中的劇本將威脅回應自動化
- 教學課程:在 Microsoft Sentinel 中搭配自動化規則使用劇本
- 如何使用 Microsoft Sentinel 進行事件回應、協調流程和自動化
- 以調適型卡片增強 Microsoft Sentinel 中的事件回應
SOAR 移轉後的最佳做法
以下是在 SOAR 移轉之後應列入考量的最佳做法:
- 移轉劇本之後,請廣泛測試劇本,以確保移轉的動作如預期般運作。
- 定期檢閱您的自動化,以探索進一步簡化或增強 SOAR 的方式。 Microsoft Sentinel 會持續新增連接器和動作,以協助您進一步簡化或提升目前回應實作的有效性。
- 使用劇本狀況監控活頁簿來監視劇本的效能。
- 使用受控識別和服務主體:對 Logic Apps 內的各種 Azure 服務進行驗證、將祕密儲存在 Azure Key Vault 中,並遮蔽流程執行的輸出。 我們也建議您監視這些服務主體的活動。
下一步
在本文中,您已了解如何將 SOAR 自動化從 IBM Security QRadar SOAR 對應到 Microsoft Sentinel。