Orchestrace zabezpečení, automatizace a reakce (SOAR) v Microsoft Sentinelu
Tento článek popisuje funkce Orchestrace zabezpečení, automatizace a reakce (SOAR) služby Microsoft Sentinel a ukazuje, jak použití pravidel automatizace a playbooků v reakci na bezpečnostní hrozby zvyšuje efektivitu SOC a šetří vám čas a prostředky.
Důležité
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Microsoft Sentinel jako řešení SOAR
Problém
Týmy SIEM/SOC jsou obvykle v pravidelných intervalech zahlcené výstrahami zabezpečení a incidenty, a to v objemech tak velké, že jsou k dispozici pracovníci zahlceni. Výsledkem je to příliš často v situacích, kdy se ignoruje mnoho výstrah a mnoho incidentů se nevyšetří, takže organizace bude zranitelná vůči útokům, které nejsou nepozorované.
Řešení
Microsoft Sentinel je kromě systému správy událostí (Security Information and Event Management) také platformou pro orchestraci zabezpečení, automatizaci a reakci (SOAR). Jedním z jeho primárních účelů je automatizovat opakované a předvídatelné rozšiřování, reakce a nápravné úlohy, které jsou zodpovědností vašeho centra Security Operations Center a pracovníků (SOC/SecOps), uvolnění času a prostředků pro podrobnější zkoumání a proaktivní vyhledávání pokročilých hrozeb. Automatizace má v Microsoft Sentinelu několik různých forem– od pravidel automatizace, která centrálně spravují automatizaci zpracování incidentů a reakce, až po playbooky, které spouštějí předem určené sekvence akcí, které poskytují výkonné a flexibilní pokročilé automatizace úloh reakcí na hrozby.
Pravidla automatizace
Pravidla automatizace umožňují uživatelům centrálně spravovat automatizaci zpracování incidentů. Kromě toho, že vám umožní přiřadit playbooky k incidentům a výstrahám, pravidla automatizace také umožňují automatizovat odpovědi na několik analytických pravidel najednou, automaticky označit, přiřadit nebo zavřít incidenty bez nutnosti playbooků, vytvářet seznamy úkolů, které analytici provádějí při třídění, vyšetřování a nápravě incidentů, a řídit pořadí spuštěných akcí. Pravidla automatizace také umožňují použít automatizace při aktualizaci incidentu i při jeho vytvoření. Tato nová funkce dále zjednoduší použití automatizace v Microsoft Sentinelu a umožní vám zjednodušit složité pracovní postupy pro procesy orchestrace incidentů.
Další informace najdete v tomto úplném vysvětlení pravidel automatizace.
Playbooky
Playbook je kolekce akcí odpovědí a nápravných akcí a logiky, které je možné spouštět z Microsoft Sentinelu jako rutinu. Playbook může pomoct automatizovat a orchestrovat reakci na hrozby, může se integrovat s jinými systémy interními i externími a dá se nastavit tak, aby se spouštěla automaticky v reakci na konkrétní výstrahy nebo incidenty, když je aktivuje analytické pravidlo nebo pravidlo automatizace. Dá se také spustit ručně na vyžádání v reakci na výstrahy na stránce incidentů.
Playbooky v Microsoft Sentinelu jsou založené na pracovních postupech vytvořených v Azure Logic Apps, cloudové službě, která pomáhá plánovat, automatizovat a orchestrovat úlohy a pracovní postupy napříč systémy v celém podniku. To znamená, že playbooky můžou využívat všechny možnosti a možnosti přizpůsobení integrace a orchestrace Logic Apps a snadno použitelné nástroje pro návrh a škálovatelnost, spolehlivost a úroveň služeb služby Azure vrstvy 1.
Další informace najdete v tomto úplném vysvětlení playbooků.
Automatizace s využitím sjednocené provozní platformy zabezpečení
Po onboardingu pracovního prostoru Microsoft Sentinelu na sjednocenou platformu operací zabezpečení si všimněte následujících rozdílů ve způsobu, jakým funkce automatizace v pracovním prostoru fungují:
| Funkce | Popis |
|---|---|
| Pravidla automatizace s triggery upozornění | V rámci sjednocené provozní platformy zabezpečení fungují pravidla automatizace s triggery upozornění pouze na výstrahy Služby Microsoft Sentinel. Další informace najdete v tématu Aktivační událost vytvoření výstrahy. |
| Pravidla automatizace s triggery incidentů | Na webu Azure Portal i na sjednocené platformě operací zabezpečení se odebere vlastnost podmínky zprostředkovatele incidentu, protože všechny incidenty mají jako zprostředkovatele incidentu XDR v programu Microsoft Defender (hodnota v poli ProviderName ). V tomto okamžiku se všechna existující pravidla automatizace spouští u incidentů Microsoft Sentinelu i XDR v programu Microsoft Defender, včetně těch, ve kterých je podmínka poskytovatele incidentu nastavená jenom na Microsoft Sentinel nebo Microsoft 365 Defender. Pravidla automatizace, která určují konkrétní název analytického pravidla, se ale spustí jenom u incidentů vytvořených zadaným analytickým pravidlem. To znamená, že vlastnost podmínky názvu analytického pravidla můžete definovat na analytické pravidlo, které existuje pouze v Microsoft Sentinelu, aby se vaše pravidlo omezilo na incidenty pouze v Microsoft Sentinelu. Další informace najdete v tématu Podmínky triggeru incidentu. |
| Změny existujících názvů incidentů | Na sjednocené provozní platformě SOC používá portál Defender jedinečný modul ke korelaci incidentů a výstrah. Při onboardingu pracovního prostoru do sjednocené provozní platformy SOC se můžou při použití korelace změnit existující názvy incidentů. Pokud chcete zajistit, aby pravidla automatizace vždy fungovala správně, doporučujeme proto, abyste se vyhnuli používání názvů incidentů v pravidlech automatizace a doporučujeme místo toho použít značky. |
| Aktualizováno podle pole | Další informace najdete v tématu Aktivační událost aktualizace incidentu. |
| Pravidla automatizace, která přidávají úlohy incidentů | Pokud pravidlo automatizace přidá úlohu incidentu, úloha se zobrazí jenom na webu Azure Portal. |
| Pravidla vytváření incidentů Microsoftu | Pravidla vytváření incidentů Microsoftu nejsou podporována na sjednocené platformě operací zabezpečení. Další informace najdete v tématu Incidenty XDR v programu Microsoft Defender a pravidla vytváření incidentů Microsoftu. |
| Spouštění pravidel automatizace z portálu Defender | Spuštění pravidla automatizace může trvat až 10 minut od aktivace výstrahy a vytvoření nebo aktualizace incidentu na portálu Defender. Tato prodleva je způsobená tím, že se incident vytvoří na portálu Defender a pak se předá službě Microsoft Sentinel pro pravidlo automatizace. |
| Karta Aktivní playbooky | Po onboardingu na sjednocenou platformu operací zabezpečení se ve výchozím nastavení na kartě Aktivní playbooky zobrazí předdefinovaný filtr s předdefinovaným předplatným pracovního prostoru. Přidejte data pro jiná předplatná pomocí filtru předplatného. Další informace najdete v tématu Vytváření a přizpůsobení playbooků Microsoft Sentinel ze šablon obsahu. |
| Ruční spouštění playbooků na vyžádání | V současné době nejsou v jednotné platformě operací zabezpečení podporovány následující postupy: |
| Spouštění playbooků v incidentech vyžaduje synchronizaci Microsoft Sentinelu. | Pokud se pokusíte spustit playbook na incidentu z sjednocené provozní platformy zabezpečení a zobrazí se zpráva "Nejde získat přístup k datům souvisejícím s touto akcí. Aktualizujte obrazovku za několik minut.". to znamená, že incident ještě není synchronizovaný s Microsoft Sentinelem. Aktualizujte stránku incidentu po synchronizaci incidentu, aby se playbook úspěšně spustil. |
Další kroky
V tomto dokumentu jste se dozvěděli, jak Microsoft Sentinel používá automatizaci k efektivnějšímu a efektivnějšímu fungování SOC.
- Další informace o automatizaci zpracování incidentů najdete v tématu Automatizace zpracování incidentů v Microsoft Sentinelu.
- Další informace o pokročilých možnostech automatizace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
- Pokud chcete začít vytvářet pravidla automatizace, přečtěte si téma Vytvoření a použití pravidel automatizace služby Microsoft Sentinel ke správě incidentů.
- Nápovědu k implementaci pokročilé automatizace pomocí playbooků najdete v kurzu : Použití playbooků k automatizaci reakcí na hrozby v Microsoft Sentinelu.