Kurz: nastavení automatických odpovědí na hrozby v Azure SentinelTutorial: Set up automated threat responses in Azure Sentinel

Tento kurz vám pomůže využít playbooky zabezpečení ve službě Azure Sentinel k nastavení automatizovaných odpovědí na hrozby pro problémy související se zabezpečením zjištěné službou Azure Sentinel.This tutorial helps you to use security playbooks in Azure Sentinel to set automated threat responses to security-related issues detected by Azure Sentinel.

  • Principy playbookyUnderstand playbooks
  • Vytvoření PlayBookCreate a playbook
  • Spustit PlayBookRun a playbook
  • Automatizace odpovědí na hrozbyAutomate threat responses

Co je PlayBook zabezpečení v Azure Sentinel?What is a security playbook in Azure Sentinel?

PlayBook zabezpečení je kolekce procedur, které je možné spustit z Azure Sentinel v reakci na výstrahu.A security playbook is a collection of procedures that can be run from Azure Sentinel in response to an alert. PlayBook zabezpečení může přispět k automatizaci a orchestraci vaší odpovědi a dá se spustit ručně nebo nastavit tak, aby se spouštěla automaticky, když se aktivují konkrétní výstrahy.A security playbook can help automate and orchestrate your response, and can be run manually or set to run automatically when specific alerts are triggered. Playbooky zabezpečení ve službě Azure Sentinel vychází z Azure Logic Apps, což znamená, že získáte všechny možnosti napájení, možností úprav a předdefinovaných šablon Logic Apps.Security playbooks in Azure Sentinel are based on Azure Logic Apps, which means that you get all the power, customizability, and built-in templates of Logic Apps. Každý PlayBook se vytvoří pro konkrétní předplatné, které jste si zvolili, ale při zobrazení na stránce Playbooky se zobrazí všechna playbooky v rámci všech vybraných předplatných.Each playbook is created for the specific subscription you choose, but when you look at the Playbooks page, you will see all the playbooks across any selected subscriptions.

Poznámka

Playbooky využívá Azure Logic Apps, proto se účtují poplatky.Playbooks leverage Azure Logic Apps, therefore charges apply. Další podrobnosti najdete na stránce s cenami Azure Logic Apps.Visit Azure Logic Apps pricing page for more details.

Pokud máte například obavy týkající se škodlivých útočníků, kteří přistupují k síťovým prostředkům, můžete nastavit výstrahu, která vyhledává škodlivé IP adresy, které přistupují k vaší síti.For example, if you're worried about malicious attackers accessing your network resources, you can set an alert that looks for malicious IP addresses accessing your network. Pak můžete vytvořit PlayBook, který provede následující akce:Then, you can create a playbook that does the following:

  1. Když se aktivuje výstraha, otevřete lístek v ServiceNow nebo jakémkoli jiném systému pro lístkování IT.When the alert is triggered, open a ticket in ServiceNow or any other IT ticketing system.
  2. Odešlete zprávu na kanál operací zabezpečení v Microsoft Teams nebo časové rezervy, abyste se ujistili, že analytikům zabezpečení ví o incidentu.Send a message to your security operations channel in Microsoft Teams or Slack to make sure your security analysts are aware of the incident.
  3. Odešlete všechny informace v výstraze správci a správci zabezpečení vaší hlavní sítě. E-mailová zpráva obsahuje také dva přepínače uživatele, které blokují nebo ignorují.Send all the information in the alert to your senior network admin and security admin. The email message also includes two user option buttons Block or Ignore.
  4. PlayBook bude nadále běžet po přijetí odpovědi od správců.The playbook continues to run after a response is received from the admins.
  5. Pokud správci zvolí blok, IP adresa je zablokovaná v bráně firewall a uživatel je ve službě Azure AD zakázaný.If the admins choose Block, the IP address is blocked in the firewall and the user is disabled in Azure AD.
  6. Pokud správci zvolí možnost Ignorovat, výstraha se uzavře v rámci Azure Sentinel a incident je uzavřený v ServiceNow.If the admins choose Ignore, the alert is closed in Azure Sentinel and the incident is closed in ServiceNow.

Playbooky zabezpečení je možné spustit ručně nebo automaticky.Security playbooks can be run either manually or automatically. Ruční spouštění znamená, že když obdržíte výstrahu, můžete spustit PlayBook na vyžádání jako reakci na vybranou výstrahu.Running them manually means that when you get an alert, you can choose to run a playbook on-demand as a response to the selected alert. Když je spouštíte automaticky, znamená to, že při vytváření pravidla korelace nastavíte, aby se při aktivaci výstrahy automaticky spouštěla jedna nebo více playbooky.Running them automatically means that while authoring the correlation rule, you set it to automatically run one or more playbooks when the alert is triggered.

Vytvoření PlayBook zabezpečeníCreate a security playbook

Pomocí těchto kroků vytvořte nové PlayBook zabezpečení v Azure Sentinel:Follow these steps to create a new security playbook in Azure Sentinel:

  1. Otevřete řídicí panel Azure Sentinel .Open the Azure Sentinel dashboard.

  2. V části Konfigurace vyberte playbooky.Under Configuration, select Playbooks.

    Aplikace logiky

  3. Na stránce Azure Sentinel-playbooky klikněte na tlačítko Přidat .In the Azure Sentinel - Playbooks page, click Add button.

    Vytvoření aplikace logiky

  4. Na stránce vytvořit aplikaci logiky zadejte požadované informace pro vytvoření nové aplikace logiky a klikněte na vytvořit.In the Create Logic app page, type the requested information to create your new logic app, and click Create.

  5. V Návrháři aplikace logikyvyberte šablonu, kterou chcete použít.In the Logic App Designer, select the template you want to use. Pokud vyberete šablonu, která vyžaduje přihlašovací údaje, budete je muset zadat.If you select a template that necessitates credentials, you will have to provide them. Alternativně můžete vytvořit nové prázdné PlayBook od začátku.Alternatively, you can create a new blank playbook from scratch. Vyberte prázdnou aplikaci logiky.Select Blank Logic App.

    Snímek obrazovky, který zobrazuje panel prázdné aplikace logiky

  6. Přejdete do návrháře aplikace logiky, kde můžete vytvořit novou nebo upravit šablonu.You are taken to the Logic App Designer where you can either build new or edit the template. Další informace o vytvoření PlayBook s Logic Apps.For more information on creating a playbook with Logic Apps.

  7. Pokud vytváříte prázdné PlayBook, zadejte do pole Prohledat všechny konektory a triggery Azure Sentinel a vyberte, když se aktivuje odpověď na výstrahu Sentinel Azure.If you are creating a blank playbook, in the Search all connectors and triggers field, type Azure Sentinel, and select When a response to an Azure Sentinel alert is triggered.
    Po vytvoření se nový PlayBook zobrazí v seznamu playbooky .After it is created, the new playbook appears in the Playbooks list. Pokud se nezobrazí, klikněte na tlačítko aktualizovat.If it doesn’t appear, click Refresh.

  8. Použijte funkce získat entity , které vám umožní získat relevantní entity ze seznamu entit , jako jsou účty, IP adresy a hostitelé.Use the Get entities functions, which enable you to get the relevant entities from inside the Entities list, such as accounts, IP addresses and hosts. To vám umožní spouštět akce u konkrétních entit.This will enable you to run actions on specific entities.

  9. Teď můžete definovat, co se stane po aktivaci playbooku.Now you can define what happens when you trigger the playbook. Můžete přidat akci, logickou podmínku, podmínky případu přepínače nebo smyčky.You can add an action, logical condition, switch case conditions, or loops.

    Návrhář aplikace logiky

Jak spustit PlayBook zabezpečeníHow to run a security playbook

Můžete spustit PlayBook na vyžádání.You can run a playbook on demand.

Spuštění PlayBook na vyžádání:To run a playbook on-demand:

  1. Na stránce incidenty vyberte incident a klikněte na Zobrazit úplné podrobnosti.In the incidents page, select an incident and click on View full details.

  2. Na kartě výstrahy klikněte na výstrahu, na které chcete spustit PlayBook, a posuňte se doprava a klikněte na Zobrazit playbooky a vyberte PlayBook, které chcete Spustit , ze seznamu dostupných playbooky v předplatném.In the Alerts tab, click on the alert you want to run the playbook on, and scroll all the way to the right and click View playbooks and select a playbook to run from the list of available playbooks on the subscription.

Automatizace odpovědí na hrozbyAutomate threat responses

SIEM/SOC týmy můžou být pravidelně inundated s výstrahami zabezpečení.SIEM/SOC teams can be inundated with security alerts on a regular basis. Objem vygenerovaných výstrah je tak velký, takže správci zabezpečení jsou k dispozici zahlcení.The volume of alerts generated is so huge, that available security admins are overwhelmed. To je velmi často v situacích, kdy se nedá prozkoumat mnoho výstrah, což je ponecháno v organizaci zranitelné vůči útokům, které jsou nepatrné.This results all too often in situations where many alerts can't be investigated, leaving the organization vulnerable to attacks that go unnoticed.

Mnoho z těchto výstrah, pokud není většina, je v souladu s opakovanými vzorci, které lze řešit pomocí konkrétních a definovaných opravných akcí.Many, if not most, of these alerts conform to recurring patterns that can be addressed by specific and defined remediation actions. Sentinel Azure už umožňuje definovat svou nápravu v playbooky.Azure Sentinel already enables you to define your remediation in playbooks. V rámci definice PlayBook je také možné nastavit automatizaci v reálném čase, která vám umožní plně automatizovat definovanou odpověď na konkrétní výstrahy zabezpečení.It is also possible to set real-time automation as part of your playbook definition to enable you to fully automate a defined response to particular security alerts. Díky automatizaci v reálném čase můžou odpovědní týmy významně snižovat své úlohy tím, že plně automatizují rutinní reakce na opakované typy výstrah, což vám umožní soustředit se na jedinečné výstrahy, analyzovat vzory, lovecké hrozby a další informace.Using real-time automation, response teams can significantly reduce their workload by fully automating the routine responses to recurring types of alerts, allowing you to concentrate more on unique alerts, analyzing patterns, threat hunting, and more.

Automatizace odpovědí:To automate responses:

  1. Vyberte výstrahu, pro kterou chcete odpověď automatizovat.Select the alert for which you want to automate the response.

  2. Na stránce Upravit pravidlo výstrahy v části automatizace v reálném čase vyberte aktivovaný PlayBook , který chcete spustit, když se toto pravidlo výstrahy shoduje.In the Edit alert rule page, under Real-time automation, choose the Triggered playbook you want to run when this alert rule is matched.

  3. Vyberte Uložit.Select Save.

    automatizace v reálném čase

Další krokyNext steps

V tomto kurzu jste zjistili, jak spustit PlayBook ve službě Azure Sentinel.In this tutorial, you learned how to run a playbook in Azure Sentinel. Pokračujte na to, jak proaktivně procházet s hrozbami pomocí Azure Sentinel.Continue to the how to proactively hunt for threats using Azure Sentinel.