Automatizace zpracování incidentů v Microsoft Sentinelu s pravidly automatizace
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tento článek vysvětluje, co jsou pravidla automatizace Microsoft Sentinelu a jak je používat k implementaci operací soar (Security Orchestration, Automation and Response), což zvyšuje efektivitu soC a šetří vám čas a prostředky.
Důležité
- Funkce pravidel automatizace je aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.
Co jsou pravidla automatizace?
Pravidla automatizace jsou v Microsoft Sentinelu novým konceptem. Tato funkce umožňuje uživatelům centrálně spravovat automatizaci řešení incidentů. Kromě toho, že vám umožňují přiřadit playbooky k incidentům (nejen výstrahám jako předtím), pravidla automatizace také umožňují automatizovat odpovědi pro více analytických pravidel najednou, automaticky označovat, přiřazovat nebo zařazovat incidenty bez potřeby playbooků a řídit pořadí spouštěných akcí. Pravidla automatizace zjednodušují používání automatizace ve službě Microsoft Sentinel a umožňují zjednodušit složité pracovní postupy pro procesy orchestrace incidentů.
Komponenty
Pravidla automatizace se smětou z několika komponent:
Trigger
Pravidla automatizace se spouštějí vytvořením incidentu.
Kontrola – incidenty se vytvářejí z upozornění pomocí analytických pravidel, z nichž existuje několik typů, jak je vysvětleno v kurzu Detekce hrozeb pomocí integrovaných analytických pravidel v Microsoft Sentinelu.
Podmínky
Je možné definovat složité sady podmínek, které určují, kdy se mají akce (viz níže) spouštět. Tyto podmínky jsou obvykle založeny na stavech nebo hodnotách atributů incidentů a jejich entit a mohou zahrnovat AND / OR / NOT / CONTAINS operátory.
Akce
Akce lze definovat tak, aby se spouštěl při splnění podmínek (viz výše). V pravidle můžete definovat mnoho akcí a můžete zvolit pořadí, ve kterém se budou spouštět (viz níže). Následující akce je možné definovat pomocí pravidel automatizace bez potřeby pokročilých funkcí playbooku:
Změna stavu incidentu, udržování pracovního postupu v aktuálních stavu
- Při změně na "uzavřeno" zadáte důvod ukončení a přidáte komentář. To vám pomůže sledovat výkon a efektivitu a vyladit, abyste snížili falešně pozitivní výsledky.
Změna závažnosti incidentu – můžete znovu posoudit a změnit prioritu na základě přítomnosti, absenci, hodnot nebo atributů entit zapojených do incidentu.
Přiřazení incidentu vlastníkovi – to vám pomůže nasměrování typů incidentů na pracovníky, kteří jsou pro jejich řešení nejvhodnější, nebo pro ty, kteří jsou k dispozici nejvíce.
Přidání značky k incidentu – to je užitečné pro klasifikaci incidentů podle předmětu, útočníkem nebo jiným běžným jmenovatelem.
Můžete také definovat akci, která spustí playbook, aby bylo možné provádět složitější akce reakce, včetně akcí, které zahrnují externí systémy. V pravidlech automatizace je možné použít jenom playbooky aktivované triggerem incidentu. Můžete definovat akci, která bude obsahovat více playbooků, nebo kombinace playbooků a dalších akcí a pořadí, ve kterém se budou spouštět.
Datum vypršení platnosti
V pravidle automatizace můžete definovat datum vypršení platnosti. Po tomto datu bude pravidlo zakázané. To je užitečné pro zpracování (t řešicích) "šumových" incidentů způsobených plánovanými časově omezenými aktivitami, jako je testování průniku.
Objednávka
Můžete definovat pořadí, ve kterém budou pravidla automatizace spouštěná. Pozdější pravidla automatizace vyhodnotí podmínky incidentu podle jeho stavu poté, co se na něj budou chovat předchozí pravidla automatizace.
Pokud například první pravidlo automatizace změnilo závažnost incidentu ze střední na nízké a druhé pravidlo automatizace je definované tak, aby se spouštěly pouze u incidentů se střední nebo vyšší závažností, nebude se u tohoto incidentu spouštět.
Běžné případy a scénáře použití
Automatizace aktivované incidenty
Až dosud mohla automatizovaná odpověď aktivovat jenom upozornění pomocí playbooků. Díky pravidlům automatizace teď incidenty mohou aktivovat automatizované řetězy reakcí, které mohou zahrnovat nové playbooky aktivované incidenty(jsouvyžadována zvláštní oprávnění) při vytvoření incidentu.
Aktivace playbooků pro poskytovatele Microsoftu
Pravidla automatizace poskytují způsob, jak automatizovat zpracování výstrah zabezpečení Microsoftu tím, že tato pravidla aplikují na incidenty vytvořené z výstrah. Pravidla automatizace mohou volat playbooky(vyžadujese zvláštní oprávnění ) a předat jim incidenty se všemi jejich podrobnostmi, včetně výstrah a entit. Obecně platí, že osvědčené postupy Microsoft Sentinelu diktují použití fronty incidentů jako ústředního bodu operací zabezpečení.
Mezi výstrahy zabezpečení společnosti Microsoft patří:
- Microsoft Defender for Cloud Apps
- Azure AD Identity Protection
- Microsoft Defender for Cloud
- Defender for IoT (dříve Azure Security Center for IoT)
- Microsoft Defender for Office 365 (dříve Office 365 ATP)
- Microsoft Defender pro koncový bod (dříve MDATP)
- Microsoft Defender pro identity (dříve Azure ATP)
Několik sekvencovaných playbooků/akcí v jednom pravidle
V jednom pravidle automatizace teď můžete mít úplnou kontrolu nad pořadím provádění akcí a playbooků. Můžete také řídit pořadí provádění samotných pravidel automatizace. To vám umožní výrazně zjednodušit playbooky, snížit je na jeden úkol nebo malou přímočarou posloupnost úkolů a kombinovat tyto malé playbooky v různých kombinacích v různých pravidlech automatizace.
Přiřazení jednoho playbooku k několika analytickým pravidlům najednou
Pokud máte úkol, který chcete automatizovat ve všech analytických pravidlech ( například vytvoření lístku podpory v externím systému lístků), můžete na jednom krát použít jeden playbook na libovolná nebo všechna analytická pravidla ( včetně všech budoucích pravidel). Díky tomu je jednoduchá, ale opakující se údržba a údržbu mnohem méně práce.
Automatické přiřazování incidentů
Incidenty můžete přiřadit správnému vlastníkovi automaticky. Pokud má váš SOC analytika, který se specializuje na konkrétní platformu, všechny incidenty týkající se této platformy lze analytikovi automaticky přiřadit.
Potlačení incidentu
Pomocí pravidel můžete automaticky vyřešit incidenty, které jsou známé jako falešně nebo neškodné pozitivní, bez použití playbooků. Například při provádění penetračních testů, provádění plánované údržby nebo upgradů nebo při testování automatizačních postupů může být vytvořeno mnoho falešně pozitivních incidentů, které bude SOC chtít ignorovat. Časově omezené pravidlo automatizace může tyto incidenty automaticky uzavřít při jejich vytváření a současně je označování pomocí popisovače příčiny jejich generování.
Časově omezená automatizace
Pro pravidla automatizace můžete přidat data vypršení platnosti. Časově omezená automatizace může zaručovat jiné případy než potlačení incidentů. Konkrétní typ incidentu můžete přiřadit konkrétnímu uživateli (například stážistovi nebo konzultantovi) na konkrétní časové období. Pokud je časový rámec předem známý, můžete efektivně způsobit, že se pravidlo na konci jeho relevance deaktivuje, aniž byste to museli pamatovat.
Automatické označení incidentů
K incidentům můžete automaticky přidat volné textové značky a seskupit nebo klasifikovat je podle libovolných kritérií.
Spouštění pravidel automatizace
Pravidla automatizace se spouštěly postupně podle pořadí, ve které určíte. Každé pravidlo automatizace se spustí po dokončení předchozího pravidla. V rámci pravidla automatizace se všechny akce spouštěly postupně v pořadí, ve kterém jsou definovány.
S akcemi playbooku v pravidle automatizace se za určitých okolností může zacházet jinak, a to podle následujících kritérií:
| Doba běhu playbooku | Pravidlo automatizace přejde k další akci... |
|---|---|
| Méně než sekunda | Okamžitě po dokončení playbooku |
| Méně než dvě minuty | Až dvě minuty po spuštění playbooku: ale ne déle než 10 sekund po dokončení playbooku |
| Více než dvě minuty | Dvě minuty po spuštění playbooku: bez ohledu na to, jestli byl dokončen. |
Oprávnění pro pravidla automatizace pro spouštění playbooků
Když pravidlo automatizace Microsoft Sentinelu spustí playbook, použije speciální účet služby Microsoft Sentinel, který je speciálně autorizovaný pro tuto akci. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby.
Aby pravidlo automatizace mělo spustit playbook, musí mít tento účet explicitní oprávnění ke skupině prostředků, ve které se playbook nachází. V tomto okamžiku bude moct jakékoli pravidlo automatizace spustit libovolný playbook v této skupině prostředků.
Když konfigurujete pravidlo automatizace a přidáváte akci playbooku spuštění, zobrazí se rozevírací seznam playbooků. Playbooky, ke kterým Microsoft Sentinel nemá oprávnění, se zobrazí jako nedostupné ("zašedlé"). Microsoft Sentinel můžete udělit oprávnění ke skupinám prostředků playbooků na místě tak, že vyberete odkaz Spravovat oprávnění playbooku.
Oprávnění v architektuře s více klienty
Pravidla automatizace plně podporují nasazení mezi pracovními prostory a více klienty (v případě víceklientské služby s využitím Azure Lighthouse).
Proto pokud vaše implementace Microsoft Sentinel používá víceklientské architektury, můžete mít pravidlo automatizace v jednom tenantovi, kde spustí PlayBook, který žije v jiném tenantovi, ale oprávnění Sentinelu pro spuštění playbooky musí být definované v tenantovi, kde se nachází pravidla automatizace, nikoli v tenantovi, kde jsou definovaná pravidla automatizace.
V konkrétním případě spravovaného poskytovatele zabezpečení (MSSP), kde tenant poskytovatele služeb spravuje pracovní prostor Microsoft Sentinel v tenantovi zákazníka, existují dva konkrétní scénáře, které vám zaručí, že je potřeba věnovat pozornost:
Pravidlo automatizace vytvořené v tenantovi zákazníka je nakonfigurované tak, aby spouštělo PlayBook umístěný v tenantovi poskytovatele služeb.
Tento přístup se obvykle používá k ochraně duševního vlastnictví v PlayBook. Pro fungování tohoto scénáře není nic speciální. Když v pravidle automatizace definujete akci PlayBook a dostanete se do fáze, kde udělíte oprávnění Microsoft Sentinel pro příslušnou skupinu prostředků, ve které se nachází PlayBook (pomocí panelu Správa oprávnění PlayBook ), uvidíte skupiny prostředků patřící do tenanta poskytovatele služeb, ze kterých můžete vybírat. Prohlédněte si celý proces, který je zde popsaný.
Pravidlo automatizace vytvořené v pracovním prostoru zákazník (při přihlášení k tenantovi poskytovatele služeb) je nakonfigurované tak, aby spouštělo PlayBook umístěné v tenantovi zákazníka.
Tato konfigurace se používá v případě, že není nutné chránit duševní vlastnictví. Aby mohl tento scénář fungovat, musí být oprávnění ke spuštění PlayBook udělena společnosti Microsoft Sentinel v obou klientech. V tenantovi zákazníka je udělíte v panelu _ Spravovat PlayBook oprávnění* stejně jako ve výše uvedeném scénáři. pokud chcete udělit příslušná oprávnění v tenantovi poskytovatele služeb, musíte přidat další delegování azure Lighthouse, které uděluje přístup k aplikaci azure Security Přehledy s rolí přispěvatel Microsoft Sentinel Automation ve skupině prostředků, ve které se nachází playbook.
Scénář vypadá takto:
Další informace najdete v našich pokynech k nastavení.
Vytváření a Správa pravidel automatizace
Můžete vytvářet a spravovat pravidla automatizace z různých bodů v prostředí Microsoft Sentinel, a to v závislosti na konkrétním potřebě a případu použití.
Okno automatizace
Pravidla automatizace se dají centrálně spravovat v novém okně Automatizace (což nahrazuje okno playbooky ) na kartě pravidla automatizace . (v tomto okně teď můžete playbooky spravovat taky na kartě playbooky .) Odtud můžete vytvořit nová pravidla automatizace a upravit stávající. Můžete také přetáhnout pravidla automatizace a změnit pořadí provádění a povolit nebo zakázat.
V okně Automatizace uvidíte všechna pravidla, která jsou definována v pracovním prostoru, spolu se stavem (povoleno/zakázáno) a která pravidla analýzy jsou aplikována na.
Pokud potřebujete pravidlo automatizace, které se bude vztahovat na mnoho pravidel analýzy, vytvořte ho přímo v okně Automatizace . V horní nabídce klikněte na vytvořit a přidejte nové pravidlo, které otevře panel vytvořit nové pravidlo automatizace . Tady máte ucelenou flexibilitu při konfiguraci pravidla: můžete ho použít pro všechna analytická pravidla (včetně budoucích) a definovat nejširší rozsah podmínek a akcí.
Průvodce analytickým pravidlem
Na kartě automatizovaná odpověď v průvodci analytickým pravidlem můžete zobrazit, spravovat a vytvořit pravidla automatizace, která se vztahují na konkrétní analytické pravidlo, které se v průvodci vytvoří nebo upraví.
Když v horní nabídce v okně Analýza kliknete na vytvořit a jeden z typů pravidel (pravidlo plánovaného dotazu nebo pravidlo vytváření incidentu Microsoftu), nebo pokud vyberete existující pravidlo analýzy a kliknete na Upravit, otevře se Průvodce pravidly. Po výběru karty automatizovaná odpověď se zobrazí část s názvem Automatizace incidentů, pod kterou se budou zobrazovat pravidla automatizace, která se aktuálně vztahují k tomuto pravidlu. Můžete vybrat existující pravidlo automatizace, které chcete upravit, nebo kliknutím na Přidat nový vytvořit nový.
Všimněte si, že když vytvoříte pravidlo automatizace z tohoto místa, na panelu vytvořit nové pravidlo automatizace se zobrazí podmínka pravidlo analýzy jako nedostupná, protože toto pravidlo je už nastavené na použití jenom pro pravidlo analýzy, které upravujete v průvodci. Všechny ostatní možnosti konfigurace jsou stále k dispozici.
Okno incidenty
Můžete také vytvořit pravidlo automatizace z okna incidenty , aby bylo možné reagovat na jeden opakovaný incident. To je užitečné při vytváření pravidla potlačení pro automatické uzavírání incidentů "s vysokou úrovní". Vyberte incident z fronty a v horní nabídce klikněte na vytvořit pravidlo automatizace .
Všimněte si, že na panelu vytvořit nové pravidlo automatizace se naplní všechna pole s hodnotami z incidentu. Toto pravidlo pojmenuje stejný název jako incident, použije ho pro pravidlo analýzy, které incident vygenerovalo, a použije všechny dostupné entity v incidentu jako podmínky pravidla. Ve výchozím nastavení také navrhne akci potlačení (zavření) a navrhne datum vypršení platnosti pravidla. Můžete přidat nebo odebrat podmínky a akce a změnit datum vypršení platnosti, jak chcete.
Aktivita pravidla automatizace auditování
Je možné, že vás zajímá, co se stalo s daným incidentem a jaké pravidlo pro určité pravidlo automatizace může nebo nemusí být provedeno. V tabulce SecurityIncident v okně logs máte k dispozici úplný záznam o Chronicles incidentu. Pro zobrazení všech aktivit pravidla automatizace použijte následující dotaz:
SecurityIncident
| where ModifiedBy contains "Automation"
Další kroky
V tomto dokumentu jste zjistili, jak pomocí pravidel automatizace spravovat frontu incidentů Microsoft Sentinel a implementovat základní automatizaci zpracování incidentů.
- Další informace o rozšířených možnostech automatizace najdete v tématu Automatizace reakce na hrozby pomocí playbooky v Microsoft Sentinel.
- Nápovědu k implementaci pravidel automatizace a playbooky najdete v tématu kurz: použití playbooky pro automatizaci reakcí na hrozby v nástroji Microsoft Sentinel.