Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
In dit artikel wordt uitgelegd wat Microsoft Sentinel-playbooks zijn en hoe u deze kunt gebruiken om uw SOAR-bewerkingen (Security Orchestration, Automation and Response) te implementeren, waardoor betere resultaten worden bereikt en tegelijkertijd tijd en resources worden bespaart.
Wat is een playbook?
SIEM-/SOC-teams worden meestal regelmatig overspoeld met beveiligingswaarschuwingen en incidenten, op volumes die zo groot zijn dat beschikbaar personeel overbelast raakt. Dit resulteert maar al te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar is voor aanvallen die niet worden onderzocht.
Veel, zo niet de meeste, van deze waarschuwingen en incidenten voldoen aan terugkerende patronen die kunnen worden aangepakt door specifieke en gedefinieerde sets herstelacties.
Een playbook is een verzameling van deze herstelacties die als routine kunnen worden uitgevoerd vanuit Microsoft Sentinel. Een playbook kan helpen bij het automatiseren en ins orchestraeren van uw bedreigingsreactie; Deze kan handmatig worden uitgevoerd of zo worden ingesteld dat deze automatisch wordt uitgevoerd als reactie op specifieke waarschuwingen of incidenten, wanneer deze worden geactiveerd door respectievelijk een analyseregel of een automatiseringsregel.
Als bijvoorbeeld een account en computer zijn aangetast, kan een playbook de computer isoleren van het netwerk en het account blokkeren op het moment dat het SOC-team op de hoogte wordt gesteld van het incident.
Playbooks kunnen worden gebruikt binnen het abonnement waarvan ze deel uitmaken, maar op het tabblad Playbooks (op de blade Automation) worden alle playbooks weergegeven die beschikbaar zijn voor alle geselecteerde abonnementen.
Playbook-sjablonen
Belangrijk
Playbook-sjablonen zijn momenteel beschikbaar in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Een playbook-sjabloon is een vooraf gebouwde, geteste en gebruiksklaar werkstroom die kan worden aangepast aan uw behoeften. Sjablonen kunnen ook dienen als referentie voor best practices bij het ontwikkelen van nieuwe playbooks of als inspiratie voor nieuwe automatiseringsscenario's.
Playbooksjablonen zijn zelf geen actieve playbooks, totdat u er een playbook (een bewerkbare kopie van de sjabloon) van maakt.
U kunt playbooksjablonen downloaden uit de volgende bronnen:
Het tabblad Playbook-sjablonen (onder Automation) bevat de belangrijkste scenario's die zijn bijgedragen door de Microsoft Sentinel-community. Er kunnen meerdere actieve playbooks worden gemaakt op basis van dezelfde sjabloon.
Wanneer een nieuwe versie van de sjabloon wordt gepubliceerd, worden de actieve playbooks die zijn gemaakt op basis van die sjabloon (op het tabblad Playbooks) gelabeld met een melding dat er een update beschikbaar is.
Playbooksjablonen kunnen ook worden verkregen als onderdeel van een Microsoft Sentinel-oplossing in de context van een specifiek product. De implementatie van de oplossing produceert actieve playbooks.
De Microsoft Sentinel GitHub-opslagplaats bevat veel playbooksjablonen. Ze kunnen worden geïmplementeerd in een Azure-abonnement door de knop Implementeren in Azure te selecteren.
Technisch gezien is een playbooksjabloon een ARM-sjabloon die uit verschillende resources bestaat: een Azure Logic Apps werkstroom en API-verbindingen voor elke betrokken verbinding.
Azure Logic Apps basisconcepten
Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn ingebouwd in Azure Logic Apps,een cloudservice waarmee u taken en werkstromen in systemen in de hele onderneming kunt plannen, automatiseren en ins delen. Dit betekent dat playbooks kunnen profiteren van alle kracht en aanpassingsmogelijkheden van Logic Apps ingebouwde sjablonen van de playbooks.
Notitie
Omdat Azure Logic Apps een afzonderlijke resource zijn, kunnen er extra kosten van toepassing zijn. Ga naar Azure Logic Apps pagina met prijzen voor meer informatie.
Azure Logic Apps communiceert met andere systemen en services met behulp van connectors. Hier volgt een korte uitleg van connectors en enkele van hun belangrijke kenmerken:
Beheerde connector: Een reeks acties en triggers die API-aanroepen naar een bepaald product of bepaalde service verpakken. Azure Logic Apps biedt honderden connectors om te communiceren met Zowel Microsoft als niet-Microsoft-services.
Aangepaste connector: Mogelijk wilt u communiceren met services die niet beschikbaar zijn als vooraf gebouwde connectors. Aangepaste connectors voorzien in deze behoefte doordat u een connector kunt maken (en zelfs delen) en de eigen triggers en acties kunt definiëren.
Microsoft Sentinel-connector: Als u playbooks wilt maken die communiceren met Microsoft Sentinel, gebruikt u de Microsoft Sentinel-connector.
Trigger: Een connectoronderdeel dat een playbook start. Het definieert het schema dat de playbook verwacht te ontvangen wanneer deze wordt geactiveerd. De Microsoft Sentinel-connector heeft momenteel twee triggers:
Waarschuwingstrigger:het playbook ontvangt de waarschuwing als invoer.
Incidenttrigger:het playbook ontvangt het incident als invoer, samen met alle opgenomen waarschuwingen en entiteiten.
Belangrijk
De functie voor het activeren van incidenten voor playbooks is momenteel beschikbaar in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Acties: Acties zijn alle stappen die na de trigger plaatsvinden. Ze kunnen opeenvolgend, parallel of in een matrix van complexe voorwaarden worden gerangschikt.
Dynamische velden: Tijdelijke velden, bepaald door het uitvoerschema van triggers en acties en ingevuld door de werkelijke uitvoer, die kunnen worden gebruikt in de acties die volgen.
Machtigingen vereist
Als u uw SecOps-team de mogelijkheid wilt geven om Logic Apps te gebruiken voor SOAR-bewerkingen (Security Orchestration, Automation, and Response), dat wil zeggen om playbooks te maken en uit te voeren in Microsoft Sentinel, kunt u Azure-rollen toewijzen aan specifieke leden van uw beveiligingsteam of aan het hele team. Hieronder worden de verschillende beschikbare rollen beschreven en de taken waarvoor ze moeten worden toegewezen:
Azure-rollen voor Logic Apps
- Met Inzender voor logische apps kunt u logische apps beheren en playbooks uitvoeren, maar u kunt de toegang tot deze apps niet wijzigen (u hebt de rol Eigenaar nodig).
- Met Logic App Operator kunt u logische apps lezen, inschakelen en uitschakelen, maar u kunt ze niet bewerken of bijwerken.
Azure-rollen voor Sentinel
- Met de rol Inzender van Microsoft Sentinel kunt u een playbook koppelen aan een analyseregel.
- Met de rol Microsoft Sentinel Responder kunt u een playbook handmatig uitvoeren.
- Met Microsoft Sentinel Automation-inzender kunt u automatiseringsregels voor het uitvoeren van playbooks. De puntkomma wordt niet gebruikt voor andere doeleinden.
Lees meer
- Meer informatie over Azure-rollen in Azure Logic Apps.
- Meer informatie over Azure-rollen in Microsoft Sentinel.
Stappen voor het maken van een playbook
Koppel het playbook aan een automatiseringsregel of een analyseregel,of voer het handmatig uit wanneer dat nodig is.
Gebruiksgevallen voor playbooks
Het Azure Logic Apps platform biedt honderden acties en triggers, zodat bijna elk automatiseringsscenario kan worden gemaakt. Microsoft Sentinel raadt aan om te beginnen met de volgende SOC-scenario's:
Verrijking
Verzamel gegevens en koppel deze aan het incident om slimmere beslissingen te nemen.
Bijvoorbeeld:
Er is een Microsoft Sentinel-incident gemaakt op basis van een waarschuwing door een analyseregel die IP-adresentiteiten genereert.
Het incident activeert een automatiseringsregel waarmee een playbook wordt uitgevoerd met de volgende stappen:
Begin wanneer een nieuw Microsoft Sentinel-incident wordt gemaakt. De entiteiten die in het incident worden weergegeven, worden opgeslagen in de dynamische velden van de incidenttrigger.
Voor elk IP-adres moet u een query uitvoeren op een externe threat intelligence-provider, zoals Virus Total,om meer gegevens op te halen.
Voeg de geretourneerde gegevens en inzichten toe als opmerkingen over het incident.
Bi-directionele synchronisatie
Playbooks kunnen worden gebruikt om uw Microsoft Sentinel-incidenten te synchroniseren met andere ticketsystemen.
Bijvoorbeeld:
Maak een automatiseringsregel voor het maken van incidenten en voeg een playbook toe om een ticket te openen in ServiceNow:
Begin wanneer een nieuw Microsoft Sentinel-incident wordt gemaakt.
Maak een nieuw ticket in ServiceNow.
Neem in het ticket de incidentnaam, belangrijke velden en een URL naar het Microsoft Sentinel-incident op om eenvoudig te draaien.
Orchestration
Gebruik het SOC-chatplatform om de wachtrij met incidenten beter te controleren.
Bijvoorbeeld:
Er is een Microsoft Sentinel-incident gemaakt op basis van een waarschuwing door een analyseregel die entiteiten voor gebruikersnaam en IP-adres genereert.
Het incident activeert een automatiseringsregel waarmee een playbook wordt uitgevoerd met de volgende stappen:
Begin wanneer een nieuw Microsoft Sentinel-incident wordt gemaakt.
Verzend een bericht naar uw beveiligingskanaal in Microsoft Teams of Slack om ervoor te zorgen dat uw beveiligingsanalisten op de hoogte zijn van het incident.
Verzend alle informatie in de waarschuwing per e-mail naar uw senior netwerkbeheerder en beveiligingsbeheerder. Het e-mailbericht bevat de knoppen Blokkeren en Gebruikersoptie negeren.
Wacht totdat er een antwoord van de beheerders is ontvangen en ga vervolgens verder met uitvoeren.
Als de beheerders Blokkeren hebben gekozen, stuurt u een opdracht naar de firewall om het IP-adres in de waarschuwing te blokkeren en een andere opdracht naar Azure AD om de gebruiker uit te schakelen.
Antwoord
Onmiddellijk reageren op bedreigingen, met minimale menselijke afhankelijkheden.
Twee voorbeelden:
Voorbeeld 1: Reageren op een analyseregel die wijst op een gecompromitteerde gebruiker, zoals is ontdekt door Azure AD Identity Protection:
Begin wanneer een nieuw Microsoft Sentinel-incident wordt gemaakt.
Voor elke gebruikersentiteit in het incident wordt vermoed dat deze is aangetast:
Verzend een Teams naar de gebruiker en vraag om bevestiging dat de gebruiker de verdachte actie heeft ondernomen.
Neem contact Azure AD Identity Protection om de status van de gebruiker als gecompromitteerd te bevestigen. Azure AD Identity Protection labelt de gebruiker als riskant en pas al geconfigureerd afdwingingsbeleid toe, bijvoorbeeld om te vereisen dat de gebruiker MFA gebruikt bij de volgende aanmelding.
Notitie
Het playbook start geen afdwingingsactie voor de gebruiker en start ook geen configuratie van het afdwingingsbeleid. Er wordt alleen aangegeven Azure AD Identity Protection al gedefinieerde beleidsregels toe te passen als dat nodig is. Afdwinging is volledig afhankelijk van het juiste beleid dat wordt gedefinieerd in Azure AD Identity Protection.
Voorbeeld 2: Reageren op een analyseregel die wijst op een aangetaste computer, zoals ontdekt door Microsoft Defender voor eindpunt:
Begin wanneer een nieuw Microsoft Sentinel-incident wordt gemaakt.
Gebruik de actie Entities - Get Hosts in Microsoft Sentinel om de verdachte machines te parseren die zijn opgenomen in de incidententiteiten.
Voer een opdracht uit aan Microsoft Defender for Endpoint om de machines in de waarschuwing te isoleren.
Een playbook uitvoeren
Playbooks kunnen handmatig of automatisch worden uitgevoerd.
Als u ze handmatig uitvoert, kunt u ervoor kiezen om een playbook op aanvraag uit te voeren als reactie op de geselecteerde waarschuwing. Deze functie wordt momenteel alleen ondersteund voor waarschuwingen, niet voor incidenten.
Als u ze automatisch wilt uitvoeren, moet u ze instellen als een geautomatiseerd antwoord in een analyseregel (voor waarschuwingen) of als een actie in een automatiseringsregel (voor incidenten). Meer informatie over automatiseringsregels.
Een geautomatiseerd antwoord instellen
Beveiligingsteams kunnen hun werkbelasting aanzienlijk verminderen door de routinematige reacties op terugkerende typen incidenten en waarschuwingen volledig te automatiseren, zodat u zich meer kunt concentreren op unieke incidenten en waarschuwingen, patronen kunt analyseren, bedreigingen kunt opzoeken en meer.
Het instellen van een geautomatiseerd antwoord betekent dat bij elke keer dat een analyseregel wordt geactiveerd, de regel niet alleen een waarschuwing maakt, maar ook een playbook wordt uitgevoerd, dat als invoer de waarschuwing ontvangt die door de regel is gemaakt.
Als de waarschuwing een incident maakt, activeert het incident een automatiseringsregel die op zijn beurt een playbook kan uitvoeren, dat als invoer het incident ontvangt dat door de waarschuwing is gemaakt.
Automatisch antwoord voor het maken van waarschuwingen
Voor playbooks die worden geactiveerd door het maken van waarschuwingen en waarschuwingen ontvangen als invoer (hun eerste stap is 'Wanneer een Microsoft Sentinel-waarschuwing wordt geactiveerd'), koppelt u het playbook aan een analyseregel:
Bewerk de analyseregel die de waarschuwing genereert voor wie u een geautomatiseerd antwoord wilt definiëren.
Selecteer onder Waarschuwingsautomatisering op het tabblad Automatisch antwoord de playbook of playbooks die deze analyseregel activeert wanneer er een waarschuwing wordt gemaakt.
Automatische reactie bij het maken van incidenten
Voor playbooks die worden geactiveerd door het maken van incidenten en die incidenten ontvangen als invoer (hun eerste stap is 'Wanneer een Microsoft Sentinel-incident wordt geactiveerd'), maakt u een automatiseringsregel en definieert u een Playbook-actie uitvoeren. Dit kan op twee manieren worden gedaan:
Bewerk de analyseregel die het incident genereert voor wie u een geautomatiseerd antwoord wilt definiëren. Maak onder Incidentautomatisering op het tabblad Geautomatiseerd antwoord een automatiseringsregel. Hiermee maakt u alleen een geautomatiseerd antwoord voor deze analyseregel.
Maak op het tabblad Automation-regels op de blade Automation een nieuwe automatiseringsregel en geef de juiste voorwaarden en gewenste acties op. Deze automatiseringsregel wordt toegepast op elke analyseregel die voldoet aan de opgegeven voorwaarden.
Notitie
Voor automatiseringsregels van Microsoft Sentinel zijn machtigingen vereist voor het uitvoeren van playbooks.
Als u een playbook wilt uitvoeren vanuit een automatiseringsregel, gebruikt Microsoft Sentinel een serviceaccount dat hiervoor specifiek is gemachtigd. Het gebruik van dit account (in plaats van uw gebruikersaccount) verhoogt het beveiligingsniveau van de service en stelt de API voor automatiseringsregels in staat om CI/CD-gebruiksgevallen te ondersteunen.
Aan dit account moeten expliciete machtigingen worden verleend (in de vorm van de rol Microsoft Sentinel Automation-inzender) voor de resourcegroep waarin de playbook zich bevindt. Op dat moment kan elke automatiseringsregel een playbook in die resourcegroep uitvoeren.
Wanneer u de run playbook-actie toevoegt aan een automatiseringsregel, wordt er een vervolgkeuzelijst met playbooks weergegeven voor uw selectie. Playbooks waarvoor Microsoft Sentinel geen machtigingen heeft, worden weergegeven als niet-beschikbaar ('grijs weergegeven'). U kunt Microsoft Sentinel ter plekke toestemming geven door de koppeling Machtigingen voor playbook beheren te selecteren.
In een scenario met meerdere tenants(Lighthouse)moet u de machtigingen definiëren voor de tenant waarin het playbook zich beschrijft, zelfs als de automatiseringsregel die het playbook aanroept, zich in een andere tenant heeft. Als u dit wilt doen, moet u eigenaarsmachtigingen hebben voor de resourcegroep van de playbook.
Er is een uniek scenario met een Managed Security Service Provider (MSSP), waarbij een serviceprovider, terwijl deze is aangemeld bij zijn eigen tenant, een automatiseringsregel maakt voor de werkruimte van een klant met behulp van Azure Lighthouse. Met deze automatiseringsregel wordt vervolgens een playbook aanroepen dat behoort tot de tenant van de klant. In dit geval moet aan Microsoft Sentinel machtigingen worden verleend voor beide tenants_. In de tenant van de klant verleent u deze in het deelvenster Machtigingen voor _Playbook beheren, net als in het normale scenario met meerdere tenants. Als u de relevante machtigingen in de tenant van de serviceprovider wilt verlenen, moet u een extra Azure Lighthouse-delegatie toevoegen die toegangsrechten verleent aan de Azure Security Insights-app, met de rol Microsoft Sentinel Automation-inzender, aan de resourcegroep waarin de playbook zich bevindt. Meer informatie over het toevoegen van deze delegering.
Zie de volledige instructies voor het maken van automatiseringsregels.
Een playbook handmatig uitvoeren voor een waarschuwing
Handmatig activeren is beschikbaar via de Microsoft Sentinel-portal op de volgende blades:
Kies in de weergave Incidenten een specifiek incident, open het tabblad Waarschuwingen en kies een waarschuwing.
Kies in Onderzoek een specifieke waarschuwing.
Klik op Playbooks weergeven voor de gekozen waarschuwing. U krijgt een lijst met alle playbooks die beginnen met een Wanneer een Microsoft Sentinel-waarschuwing wordt geactiveerd en waar u toegang toe hebt.
Klik op Uitvoeren op de regel van een specifiek playbook om dit te activeren.
Selecteer het tabblad Runs om een lijst te bekijken van alle keren dat een playbook is uitgevoerd voor deze waarschuwing. Het kan enkele seconden duren voordat een zojuist voltooide run in deze lijst wordt weergegeven.
Als u op een specifieke run klikt, wordt het volledige logboek in de Logic Apps.
Een playbook handmatig uitvoeren op een incident
Wordt nog niet ondersteund.
Uw playbooks beheren
Op het tabblad Playbooks wordt een lijst weergegeven met alle playbooks waarvoor u toegang hebt, gefilterd op de abonnementen die momenteel worden weergegeven in Azure. Het filter abonnementen is beschikbaar in het menu Map en abonnement in de koptekst van de globale pagina.
Als u op de naam van een playbook klikt, wordt u naar de hoofdpagina van het playbook in Logic Apps. De kolom Status geeft aan of deze is ingeschakeld of uitgeschakeld.
Soort trigger vertegenwoordigt de Logic Apps trigger die dit playbook start.
| Soort trigger | Geeft aan dat onderdeeltypen in playbook |
|---|---|
| Microsoft Sentinel-incident/-waarschuwing | Het playbook wordt gestart met een van de Sentinel-triggers (waarschuwing, incident) |
| Microsoft Sentinel-actie gebruiken | Het playbook wordt gestart met een niet-Sentinel-trigger, maar maakt gebruik van een Microsoft Sentinel-actie |
| Overige | Het playbook bevat geen Sentinel-onderdelen |
| Niet-initialiseerd | Het playbook is gemaakt, maar bevat geen onderdelen (triggers of acties). |
Op de pagina Logische app van het playbook ziet u meer informatie over het playbook, waaronder een logboek van alle keren dat het playbook is uitgevoerd en het resultaat (geslaagd of mislukt, en andere details). U kunt ook de Logic Apps Designer invoeren en de playbook rechtstreeks bewerken, als u de juiste machtigingen hebt.
API-verbindingen
API-verbindingen worden gebruikt om verbinding te Logic Apps met andere services. Telkens wanneer er een nieuwe verificatie voor een Logic Apps-connector wordt gemaakt, wordt er een nieuwe resource van het type API-verbinding gemaakt en bevat deze de informatie die wordt verstrekt bij het configureren van de toegang tot de service.
Als u alle API-verbindingen wilt zien, voert u API-verbindingen in het zoekvak voor headers van de Azure Portal. Let op de kolommen die van belang zijn:
- Weergavenaam: de 'vriendelijke' naam die u aan de verbinding geeft telkens wanneer u er een maakt.
- Status: geeft de verbindingsstatus aan: fout, verbonden.
- Resourcegroep: API-verbindingen worden gemaakt in de resourcegroep van de playbook-resource (Logic Apps).
Een andere manier om API-verbindingen te bekijken, is door naar de blade Alle resources te gaan en deze te filteren op type API-verbinding. Op deze manier kunt u meerdere verbindingen tegelijk selecteren, taggen en verwijderen.
Als u de autorisatie van een bestaande verbinding wilt wijzigen, voert u de verbindingsresource in en selecteert u API-verbinding bewerken.
Aanbevolen playbooks
De volgende aanbevolen playbooks en andere vergelijkbare playbooks zijn voor u beschikbaar in de Microsoft Sentinel-GitHub opslagplaats:
Meldings-playbooks worden geactiveerd wanneer een waarschuwing of incident wordt gemaakt en verzenden een melding naar een geconfigureerd doel:
Het blokkeren van playbooks wordt geactiveerd wanneer een waarschuwing of incident wordt gemaakt, entiteitsgegevens zoals het account, IP-adres en host worden verzameld en geblokkeerd voor verdere acties:
U kunt playbooks maken, bijwerken of sluiten om incidenten te maken, bij te werken of te sluiten in Microsoft Sentinel, Microsoft 365 beveiligingsservices of andere ticketsystemen: