什麼是 Microsoft Sentinel 劇本?
除了評估及解決安全性設定的問題之外,Contoso 還必須監視新的問題和威脅,然後適當地回應。
Microsoft Sentinel 作為 SIEM 和 SOAR 解決方案
Microsoft Sentinel 是專為混合式環境所設計的安全性資訊與事件管理 (SIEM) 以及安全性協調流程、自動化與回應 (SOAR) 解決方案。
注意
SIEM 解決方案可供儲存及分析其他系統所產生的記錄、事件和警示。 您可設定這些解決方案來引發其自有的警示。 SOAR 解決方案支援弱點修復及安全性程序的整體自動化。
Microsoft Sentinel 使用內建和自訂偵測功能,在偵測到潛在安全性威脅時對您發出警示,例如當有人嘗試從 Contoso 的基礎結構外部存取 Contoso 的資源,或 Contoso 的資料似乎被傳送到已知惡意的 IP 位址時。 您也可以根據這些警示來建立事件。
Microsoft Sentinel 劇本
您可在 Microsoft Sentinel 中建立安全性劇本來回應警示。 「安全性劇本」是可執行以回應警示並以 Azure Logic Apps 為基礎的程序集合。 您可手動執行這些安全性劇本來回應事件調查,也可以設定警示來自動執行劇本。
透過自動回應事件的能力,您可將部分安全性作業自動化,並讓安全性作業中心 (SOC) 更具生產力。
例如,若要解決 Contoso 的疑慮,您可開發工作流程,並定義步驟來禁止可疑使用者名稱從不安全的 IP 位址存取資源。 或者,您可設定劇本來執行作業,例如通知 SecOps 小組有關高層級的安全性警示。
Azure Logic 應用程式
Azure Logic Apps 是一項雲端服務,可用來將商務程序作業自動化。 您會使用稱為「Logic Apps 設計工具」的圖形設計工具,以依照您所需順序安排預先建置的元件。 您也可以使用程式碼檢視,並在 JSON 檔案中撰寫自動化程序。
Logic Apps 連接器
邏輯應用程式使用連接器來連接到數百項服務。 「連接器」是一個提供外部服務存取介面的元件。
注意
Microsoft Sentinel 資料連接器與 Logic Apps 連接器不同。 Microsoft Sentinel 資料連接器會將 Microsoft Sentinel 與 Microsoft 安全性產品和非 Microsoft 解決方案的安全性生態系統連接在一起。 Logic Apps 連接器是一種元件,可為外部服務提供 API 連線,並允許跨其他應用程式、服務、系統、通訊協定和平台整合事件、資料和動作。
什麼是觸發程序和動作
Azure Logic Apps 使用觸發程序和動作,其定義如下:
「觸發程序」是會在滿足一組特定條件時發生的事件。 觸發程序會在滿足條件時自動啟動。 例如,在 Microsoft Sentinel 中發生安全性事件是自動化動作的觸發程序。
「動作」是執行 Logic Apps 工作流程中某項工作的作業。 動作會在啟動觸發程序、完成其他動作或滿足條件時執行。
Microsoft Sentinel Logic Apps 連接器
Microsoft Sentinel 劇本使用 Microsoft Sentinel Logic Apps 連接器。 其提供可啟動劇本並執行已定義動作的觸發程序和動作。
目前,Microsoft Sentinel Logic Apps 連接器有兩個觸發程序:
觸發對 Microsoft Sentinel 警示的回應時
觸發 Microsoft Sentinel 事件建立規則時
注意
由於 Microsoft Sentinel 邏輯應用程式連接器處於預覽狀態,因此本課程模組中所述的功能未來可能會有所變更。
下表列出 Microsoft Sentinel 連接器的所有目前動作。
名稱 | 描述 |
---|---|
新增事件的註解 | 新增所選事件的註解。 |
新增事件的標籤 | 新增所選事件的標籤。 |
警示 - 取得事件 | 傳回與所選警示建立關聯的事件。 |
變更事件描述 | 變更所選事件的描述。 |
變更事件嚴重性 | 變更所選事件的嚴重性。 |
變更事件狀態 | 變更所選事件的狀態。 |
變更事件標題 (V2) | 變更所選事件的標題。 |
實體 - 取得帳戶 | 傳回與警示建立關聯的帳戶清單。 |
實體 - 取得檔案雜湊 | 傳回與警示建立關聯的檔案雜湊清單。 |
實體 - 取得主機 | 傳回與警示建立關聯的主機清單。 |
實體 - 取得 IP | 傳回與警示建立關聯的 IP 清單。 |
實體 - 取得 URL | 傳回與警示建立關聯的 URL 清單。 |
移除事件的標籤 | 移除所選事件的標籤。 |
注意
具有 (V2) 或更高號碼的動作會提供新版本的動作,且可能與動作的舊功能不同。
某些動作需要與來自另一個連接器的動作整合。 例如,如果 Contoso 想要從定義的實體識別警示中所傳回所有可疑帳戶,您必須將 [實體-取得帳戶] 動作與 [每一個] 動作結合。 同樣地,若要從偵測可疑主機的事件取得所有個別主機,您必須將 [實體-取得主機] 動作與 [每一個] 動作結合。