Automatizace reakce na hrozby pomocí playbooky v Microsoft Sentinel
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
V tomto článku se dozvíte, co jsou Microsoft Sentinel playbooky a jak se dají používat k implementaci operací orchestrace zabezpečení, automatizace a reakce (společnosti) a dosažení lepších výsledků při ukládání času a prostředků.
Co je PlayBook?
Týmy SIEM/SOC se obvykle inundated s výstrahami zabezpečení a incidenty v pravidelných intervalech, a to na svazcích, aby byli zaměstnanci, kteří jsou k dispozici, velké množství. To je velmi často v situacích, kdy se několik výstrah ignoruje a mnoho incidentů se nezkoumá, takže organizace bude zranitelná vůči útokům, které se neprojevily.
Mnoho z těchto výstrah a incidentů, které jsou v souladu s opakovanými vzorci, které lze řešit konkrétní a definované sady nápravných akcí, není celá řada.
PlayBook je kolekce těchto opravných akcí, které je možné spustit ze služby Microsoft Sentinel jako rutiny. PlayBook může přispět k automatizaci a orchestraci vaší reakce na hrozby. dá se spustit ručně nebo nastavit tak, aby se spouštěla automaticky v reakci na konkrétní výstrahy nebo incidenty, když se aktivuje pomocí pravidla analýzy nebo pravidla automatizace v uvedeném pořadí.
Například pokud dojde k ohrožení bezpečnosti účtu a počítače, může PlayBook izolovat počítač ze sítě a zablokovat účet v době, kdy se týmu SOC oznámí incident.
Playbooky se dá použít v rámci předplatného, ke kterému patří, ale karta playbooky (v okně Automatizace ) zobrazuje všechny dostupné playbooky v rámci všech vybraných předplatných.
Šablony PlayBook
Důležité
Šablony PlayBook jsou momentálně ve verzi Preview. další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nedostupné ve všeobecné dostupnosti, najdete v tématu dodatečné podmínky použití pro Microsoft Azure preview.
Šablona PlayBook je předem sestavený, testovaný a připravený pracovní postup, který můžete přizpůsobit podle svých potřeb. Šablony mohou sloužit také jako reference pro osvědčené postupy při vývoji playbooky od začátku nebo jako inspiraci pro nové scénáře automatizace.
Šablony PlayBook nejsou aktivní playbooky, dokud nevytvoříte PlayBook (upravitelnou kopii šablony).
Šablony PlayBook můžete získat z následujících zdrojů:
Karta šablony PlayBook (v rámci Automatizace) prezentuje přední scénáře, které přispěla v komunitě Sentinel společnosti Microsoft. Ze stejné šablony lze vytvořit více aktivních playbooky.
Když je publikovaná nová verze šablony, aktivní playbooky vytvořené z této šablony (na kartě playbooky ) se označí oznámením, že je k dispozici aktualizace.
Šablony PlayBook lze také získat jako součást řešení Sentinel společnosti Microsoft v kontextu konkrétního produktu. Nasazení řešení vytváří aktivní playbooky.
úložiště GitHub Microsoft Sentinel obsahuje mnoho šablon playbook. Můžete je nasadit do předplatného Azure tak, že vyberete tlačítko nasadit do Azure .
technicky, šablona playbook je šablonou ARM , která se skládá z několika prostředků: Azure Logic Apps pracovní postup a připojení rozhraní API pro každé příslušné připojení.
Azure Logic Apps základní koncepty
playbooky ve službě Microsoft Sentinel vychází z pracovních postupů vytvořených v Azure Logic Apps, cloudové služby, která pomáhá plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. To znamená, že playbooky může využít výhod veškerého výkonu a úprav předdefinovaných šablon Logic Apps.
Poznámka
vzhledem k tomu, že Azure Logic Apps jsou samostatný prostředek, mohou platit další poplatky. další podrobnosti najdete na stránce s cenami Azure Logic Apps .
Azure Logic Apps komunikuje s jinými systémy a službami pomocí konektorů. Následuje stručný popis konektorů a některé z jejich důležitých atributů:
Spravovaný konektor: Sada akcí a triggerů, které zabalí volání rozhraní API do konkrétního produktu nebo služby. Azure Logic Apps nabízí stovky konektorů ke komunikaci s microsoftem i bez služby Microsoft.
Vlastní konektor: Je možné, že budete chtít komunikovat se službami, které nejsou k dispozici jako předem připravené konektory. Vlastní konektory řeší tuto potřebu tím, že vám umožní vytvořit (a dokonce sdílet) konektor a definovat vlastní triggery a akce.
Microsoft Sentinel Connector: K vytvoření playbooky, která komunikuje s nástrojem Microsoft Sentinel, použijte Microsoft Sentinel Connector.
Aktivační událost: Komponenta konektoru, která spustí PlayBook. Definuje schéma, které PlayBook očekává, když se aktivuje. Konektor Microsoft Sentinel má v současné době dvě triggery:
Aktivační událost výstrahy: PlayBook přijme výstrahu jako svůj vstup.
Trigger incidentu: PlayBook přijímá incident jako svůj vstup spolu se všemi zahrnutými výstrahami a entitami.
Důležité
Funkce triggeru incidentu pro playbooky je aktuálně ve verzi Preview. další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, preview nebo jinak ještě nedostupné ve všeobecné dostupnosti, najdete v tématu dodatečné podmínky použití pro Microsoft Azure preview.
Akce: Akce jsou všechny kroky, ke kterým dochází po triggeru. Můžou být uspořádané sekvenčně, paralelně nebo v matrici složitých podmínek.
Dynamická pole: Dočasná pole určená výstupním schématem triggerů a akcí a vyplněná jejich skutečným výstupem, které lze použít v následujících akcích.
Požadovaná oprávnění
Aby mohl váš tým SecOps používat Logic Apps pro operace orchestrace, automatizace a reakce zabezpečení (společnosti). to znamená vytvořit a spustit playbooky-in Microsoft Sentinel, můžete přiřadit role Azure buď ke konkrétním členům vašeho týmu provozu zabezpečení nebo k celému týmu. Následující článek popisuje různé dostupné role a úkoly, ke kterým by měly být přiřazeny:
Role Azure pro Logic Apps
- Přispěvatel aplikace logiky umožňuje spravovat Logic Apps a spouštět playbooky, ale nemůžete k nim mít přístup, ale nemůžete k nim mít přístup (pro kterou potřebujete roli vlastníka ).
- Operátor aplikace logiky umožňuje číst, povolit a zakázat Logic Apps, ale nemůžete je upravovat ani aktualizovat.
Role Azure pro Sentinel
- Role přispěvatele Microsoft Sentinel umožňuje připojit PlayBook k pravidlu Analytics.
- Role respondérů služby Microsoft Sentinel umožňuje spustit PlayBook ručně.
- Přispěvatel Microsoft Sentinel Automation umožňuje pravidlům pro automatizaci spustit playbooky. Nepoužívá se k žádným jiným účelům.
Další informace
- Přečtěte si další informace o rolích Azure v Azure Logic Apps.
- Přečtěte si další informace o rolích Azure v Microsoft Sentinel.
Postup vytvoření PlayBook
Připojte PlayBook k pravidlu automatizace nebo analytickému pravidlunebo ho v případě potřeby spouštějte ručně.
Případy použití pro playbooky
platforma Azure Logic Apps nabízí stovky akcí a triggerů, takže je možné vytvořit skoro jakýkoli scénář automatizace. Ověřovací modul Microsoft Sentinel doporučuje začít s následujícími SOC scénáři:
Rozšiřování
Shromažďovat data a připojovat je k incidentu, aby se daly lépe rozhodovat.
Například:
Pomocí pravidla analýzy, které generuje entity IP adres, byl z výstrahy vytvořen incident Microsoft Sentinel.
Incident spustí pravidlo automatizace, které spustí PlayBook pomocí následujících kroků:
Spusťte při Vytvoření nového incidentu Sentinel společnosti Microsoft. Entity reprezentované v incidentu jsou uloženy v dynamických polích triggeru incidentu.
Pro každou IP adresu se dotazuje externího poskytovatele služby Threat Intelligence, jako je například virus celkem, aby získal více dat.
Přidejte vracená data a přehledy jako komentáře incidentu.
Obousměrná synchronizace
Playbooky je možné použít k synchronizaci incidentů Sentinel společnosti Microsoft s jinými systémy pro lístky.
Například:
Vytvořte pravidlo automatizace pro všechna vytvoření incidentu a připojte PlayBook, které otevře lístek v ServiceNow:
Spusťte při Vytvoření nového incidentu Sentinel společnosti Microsoft.
Vytvoří nový lístek v ServiceNow.
Zahrňte do lístku název incidentu, důležitá pole a adresu URL incidentu Sentinel společnosti Microsoft pro snadné překlopení.
Orchestrace
Pomocí platformy chatu SOC můžete lépe řídit frontu incidentů.
Například:
Pomocí analytického pravidla, které generuje entity uživatelského jména a IP adresy, byl z výstrahy vytvořen incident Sentinel společnosti Microsoft.
Incident spustí pravidlo automatizace, které spustí PlayBook pomocí následujících kroků:
Spusťte při Vytvoření nového incidentu Sentinel společnosti Microsoft.
odešlete zprávu na kanál operací zabezpečení v Microsoft Teams nebo časové rezervy , abyste se ujistili, že analytikům zabezpečení ví o incidentu.
Odešlete všechny informace v upozornění e-mailem vašemu správci a správci zabezpečení vaší hlavní sítě. E-mailová zpráva bude obsahovat přepínače blokování a Ignorovat uživatele.
Počkejte, dokud nebude odpověď přijata od správců, a pak pokračujte v běhu.
Pokud správci zvolili blok, odešlete příkaz do brány firewall, aby zablokoval IP adresu v upozornění, a další službě Azure AD, která uživatele zakáže.
Odpověď
Okamžitě reagovat na hrozby s minimálními lidskými závislostmi.
Dva příklady:
Příklad 1: Reakce na analytické pravidlo, které indikuje ohrožení zabezpečení uživatele, jak zjistil Azure AD Identity Protection:
Pro každou entitu uživatele v incidentu, u které se podezření na ohrožení zabezpečení:
Odešlete Teams uživateli zprávu s žádostí o potvrzení, že uživatel podezřelou akci udělal.
Pomocí Azure AD Identity Protection ověřte stav uživatele jako ohrožený. Azure AD Identity Protection uživatele jako rizikového a použije všechny zásady vynucení, které jsou už nakonfigurované – například aby při příštím přihlášení vyžadoval použití MFA.
Poznámka
Playbook neiiciuje žádnou akci vynucení pro uživatele ani neiiciuje žádnou konfiguraci zásad vynucení. Říká vám pouze Azure AD Identity Protection podle potřeby použít všechny již definované zásady. Jakékoli vynucování zcela závisí na odpovídajících zásadách definovaných v Azure AD Identity Protection.
Příklad 2: Reakce na analytické pravidlo, které indikuje ohrožený počítač, jak zjistil Microsoft Defender for Endpoint:
Pomocí akce Entity – Získat hostitele ve službě Microsoft Sentinel můžete analyzovat podezřelé počítače, které jsou součástí entit incidentu.
Vydáte Microsoft Defenderu for Endpoint příkaz, který izoluje počítače v upozornění.
Spuštění playbooku
Playbooky je možné spustit ručně nebo automaticky.
Jejich ruční spuštění znamená, že když dostanete upozornění, můžete se rozhodnout spustit playbook na vyžádání jako odpověď na vybrané upozornění. V současné době je tato funkce podporována pouze pro výstrahy, nikoli pro incidenty.
Jejich automatické spuštění znamená nastavit je jako automatizovanou odpověď v analytickém pravidle (pro upozornění) nebo jako akci v pravidle automatizace (pro incidenty). Přečtěte si další informace o pravidlech automatizace.
Nastavení automatizované odpovědi
Týmy operací zabezpečení mohou výrazně snížit svou úlohu tím, že plně automatizují rutinní reakce na opakující se typy incidentů a výstrah, což vám umožní soustředit se více na jedinečné incidenty a výstrahy, analýzu vzorů, proazírování hrozeb a další.
Nastavení automatizované odpovědi znamená, že pokaždé, když se aktivuje analytické pravidlo, se kromě vytvoření upozornění spustí playbook, který jako vstup obdrží upozornění vytvořené pravidlem.
Pokud výstraha vytvoří incident, incident aktivuje pravidlo automatizace, které může zase spustit playbook, který obdrží jako vstup incident vytvořený výstrahou.
Automatizovaná odpověď při vytváření upozornění
Pro playbooky, které se aktivují vytvořením upozornění a přijímají upozornění jako jejich vstupy (jejich prvním krokem je "Když se aktivuje upozornění Microsoft Sentinelu"), připojte playbook k analytickému pravidlu:
Upravte analytické pravidlo, které generuje upozornění, pro které chcete definovat automatizovanou odpověď.
V části Automatizace upozornění na kartě Automatizovaná odpověď vyberte playbook nebo playbooky, které toto analytické pravidlo aktivuje při vytvoření upozornění.
Automatizovaná reakce na vytvoření incidentu
Pro playbooky, které se aktivuje vytvořením incidentu a přijetím incidentů jako jejich vstupy (jejich prvním krokem je "Když se aktivuje incident Microsoft Sentinelu"), vytvořte pravidlo automatizace a definujte v ní akci spustit playbook. To lze provést dvěma způsoby:
Upravte analytické pravidlo, které generuje incident, pro který chcete definovat automatizovanou odpověď. V části Automatizace incidentů na kartě Automatizovaná odpověď vytvořte pravidlo automatizace. Tím se vytvoří automatizovaná odpověď pouze pro toto analytické pravidlo.
Na kartě Pravidla automatizace v okně Automatizace vytvořte nové pravidlo automatizace a zadejte příslušné podmínky a požadované akce. Toto pravidlo automatizace se použije na každé analytické pravidlo, které splňuje zadané podmínky.
Poznámka
Pravidla automatizace Microsoft Sentinelu vyžadují oprávnění ke spouštění playbooků.
Ke spuštění playbooku z pravidla automatizace používá Microsoft Sentinel účet služby, který k tomu má konkrétní oprávnění. Použití tohoto účtu (na rozdíl od vašeho uživatelského účtu) zvyšuje úroveň zabezpečení služby a umožňuje rozhraní API pro pravidla automatizace podporovat případy použití CI/CD.
Tomuto účtu musí být udělena explicitní oprávnění (která mají formu role Přispěvatel služby Microsoft Sentinel Automation) ke skupině prostředků, ve které se playbook nachází. V tomto okamžiku bude moct jakékoli pravidlo automatizace spustit libovolný playbook v této skupině prostředků.
Když přidáte akci spuštění playbooku do pravidla automatizace, zobrazí se pro váš výběr rozevírací seznam playbooků. Playbooky, ke kterým Microsoft Sentinel nemá oprávnění, se zobrazí jako nedostupné ("zašedlé"). Oprávnění k Microsoft Sentinelu můžete udělit na místě výběrem odkazu Spravovat oprávnění playbooku.
Ve scénáři s více tenanty(Lighthouse)musíte definovat oprávnění pro tenanta, ve kterém se playbook nachází, i když je pravidlo automatizace volající playbook v jiném tenantovi. K tomu musíte mít oprávnění Vlastník ve skupině prostředků playbooku.
Existuje jedinečný scénář, ve kterém poskytovatel služeb spravovaného zabezpečení (MSSP) vytvoří při přihlášení k vlastnímu tenantovi v pracovním prostoru zákazníka pravidlo automatizace pomocí Azure Lighthouse. Toto pravidlo automatizace pak volá playbook, který patří do tenanta zákazníka. V takovém případě musí mít Microsoft Sentinel udělená oprávnění pro oba tenanty_. V zákaznickém tenantovi je udělíte na panelu _ Spravovat oprávnění playbooku stejně jako v běžném scénáři s více tenanty. Pokud chcete udělit příslušná oprávnění v tenantovi poskytovatele služeb, musíte do skupiny prostředků, ve které se playbook nachází, přidat další delegování Azure Lighthouse, které uděluje přístupová práva k aplikaci Azure Security Přehledy s rolí Přispěvatel automatizace Microsoft Sentinelu. Zjistěte, jak toto delegování přidat.
Kompletní pokyny k vytváření pravidel automatizace najdete v tématu.
Ruční spuštění playbooku u výstrahy
Ruční aktivace je k dispozici na portálu Microsoft Sentinel v následujících okně:
V zobrazení Incidenty zvolte konkrétní incident, otevřete jeho kartu Výstrahy a zvolte výstrahu.
V části Šetření zvolte konkrétní výstrahu.
Klikněte na Zobrazit playbooky pro zvolené upozornění. Zobrazí se seznam všech playbooků, které začínají výstrahou Microsoft Sentinel, která se aktivuje a ke které máte přístup.
Kliknutím na Spustit na řádku konkrétního playbooku ho aktivujte.
Výběrem karty Spuštění zobrazíte seznam všech časů spuštění playbooku v této výstraze. Zobrazení právě dokončeného spuštění v tomto seznamu může několik sekund trvat.
Kliknutím na konkrétní spuštění se otevře protokol úplného spuštění v Logic Apps.
Ruční spuštění playbooku u incidentu
Zatím se nepodporuje.
Správa playbooků
Na kartě Playbooky se zobrazí seznam všech playbooků, ke kterým máte přístup, vyfiltrovaných podle předplatných, která se aktuálně zobrazují v Azure. Filtr předplatných je k dispozici v nabídce Adresář a předplatné v záhlaví globální stránky.
Kliknutím na název playbooku se zobrazí hlavní stránka playbooku v Logic Apps. Sloupec Stav udává, jestli je povolený nebo zakázaný.
Druh triggeru představuje Logic Apps trigger, který spouští tento playbook.
| Druh triggeru | Označuje typy komponent v playbooku. |
|---|---|
| Incident nebo výstraha služby Microsoft Sentinel | Playbook se spouští jedním z triggerů Sentinelu (výstraha, incident). |
| Použití akce Microsoft Sentinelu | Playbook se spouští triggerem mimo Sentinel, ale používá akci Microsoft Sentinelu. |
| Další | Playbook neobsahuje žádné komponenty služby Sentinel. |
| Neinicializované | Playbook se vytvořil, ale neobsahuje žádné komponenty (triggery ani akce). |
Na stránce aplikace logiky playbooku se zobrazí další informace o playbooku, včetně protokolu všech dob, kdy se spouštěl, a výsledku (úspěch nebo neúspěch a další podrobnosti). Můžete také zadat Logic Apps a playbook přímo upravit, pokud máte příslušná oprávnění.
Připojení rozhraní API
Připojení rozhraní API slouží k připojení Logic Apps k jiným službám. Pokaždé, když se vytvoří nové ověřování konektoru Logic Apps, vytvoří se nový prostředek typu Připojení rozhraní API a bude obsahovat informace poskytnuté při konfiguraci přístupu ke službě.
Pokud chcete zobrazit všechna připojení rozhraní API, zadejte do vyhledávacího pole záhlaví pole rozhraní API Azure Portal. Všimněte si sloupců, které vás zajímají:
- Zobrazovaný název – popisný název, který dejte připojení pokaždé, když ho vytvoříte.
- Stav – udává stav připojení: chyba, připojeno.
- Skupina prostředků – Připojení ROZHRANÍ API se vytvářejí ve skupině prostředků prostředku playbooku (Logic Apps).
Dalším způsobem, jak zobrazit připojení rozhraní API, je přejít do okna Všechny prostředky a filtrovat je podle typu Připojení rozhraní API. Tímto způsobem umožníte výběr, označování a odstranění více připojení najednou.
Pokud chcete změnit autorizaci existujícího připojení, zadejte prostředek připojení a vyberte Upravit připojení rozhraní API.
Doporučené playbooky
Následující doporučené playbooky a další podobné playbooky jsou k dispozici v úložišti GitHub Microsoft Sentinel:
Playbooky oznámení se spustí při vytvoření výstrahy nebo incidentu a odeslání oznámení do nakonfigurovaného cíle:
Blokování playbooky se aktivuje při vytvoření výstrahy nebo incidentu, shromáždění informací o entitách, jako je účet, IP adresa a hostitel, a zablokuje se z dalších akcí:
vytváření, aktualizace nebo uzavírání playbooky může vytvářet, aktualizovat nebo uzavírat incidenty v nástroji Microsoft Sentinel, Microsoft 365 security services nebo v jiných systémech pro vytváření lístků: