Incidentafhandeling automatiseren in Microsoft Sentinel met automatiseringsregels
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
In dit artikel wordt uitgelegd wat Automatiseringsregels van Microsoft Sentinel zijn en hoe u deze kunt gebruiken om uw SOAR-bewerkingen (Security Orchestration, Automation and Response) te implementeren, waardoor de effectiviteit van uw SOC wordt vergroten en u tijd en resources bespaart.
Belangrijk
- De functie Automation-regels is momenteel beschikbaar in preview. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bètaversies of preview-functies hebben of die nog niet algemeen beschikbaar zijn.
Wat zijn automatiseringsregels?
Automatiseringsregels zijn een nieuw concept in Microsoft Sentinel. Met deze functie kunnen gebruikers de automatisering van incidentafhandeling centraal beheren. Naast het toewijzen van playbooks aan incidenten (niet alleen aan waarschuwingen zoals voorheen), kunt u met automatiseringsregels ook reacties voor meerdere analyseregels tegelijk automatiseren, automatisch incidenten taggen, toewijzen of sluiten zonder dat playbooks nodig zijn, en de volgorde bepalen van acties die worden uitgevoerd. Automatiseringsregels stroomlijnen het automatiseringsgebruik in Microsoft Sentinel en stellen u in staat om complexe werkstromen voor uw incident orchestration-processen te vereenvoudigen.
Onderdelen
Automatiseringsregels bestaat uit verschillende onderdelen:
Trigger
Automatiseringsregels worden geactiveerd door het maken van een incident.
Om te controleren: incidenten worden gemaakt op basis van waarschuwingen door analyseregels, waarvan er verschillende typen zijn, zoals wordt uitgelegd in de zelfstudie Bedreigingen detecteren met ingebouwde analyseregels in Microsoft Sentinel.
Voorwaarden
Complexe sets voorwaarden kunnen worden gedefinieerd om te bepalen wanneer acties (zie hieronder) moeten worden uitgevoerd. Deze voorwaarden zijn doorgaans gebaseerd op de toestanden of waarden van kenmerken van incidenten en hun entiteiten, en ze kunnen operators AND / OR / NOT / CONTAINS bevatten.
Acties
Acties kunnen worden gedefinieerd om te worden uitgevoerd wanneer aan de voorwaarden (zie hierboven) wordt voldaan. U kunt veel acties in een regel definiëren en u kunt de volgorde kiezen waarin ze worden uitgevoerd (zie hieronder). De volgende acties kunnen worden gedefinieerd met behulp van automatiseringsregels, zonder dat de geavanceerde functionaliteit van een playbook nodig is:
De status van een incident wijzigen, zodat uw werkstroom up-to-date blijft.
- Wanneer u de waarde 'gesloten' opgeeft, geeft u de reden voor sluiten op en voegt u een opmerking toe. Zo kunt u uw prestaties en effectiviteit bijhouden en afstemmen om fout-positieven te verminderen.
De ernst van een incident wijzigen: u kunt de prioriteit opnieuw beoordelen en opnieuw bepalen op basis van de aanwezigheid, afwezigheid, waarden of kenmerken van entiteiten die bij het incident betrokken zijn.
Een incident toewijzen aan een eigenaar: dit helpt u om typen incidenten te sturen naar het personeel dat het meest geschikt is om ermee om te gaan of naar het meest beschikbare personeel.
Een tag toevoegen aan een incident: dit is handig voor het classificeren van incidenten op onderwerp, aanvaller of door een andere veelvoorkomende noemer.
U kunt ook een actie definiëren om een playbookuit te voeren om complexere responsacties uit te voeren, inclusief acties die betrekking hebben op externe systemen. Alleen playbooks die door de incidenttrigger worden geactiveerd, kunnen worden gebruikt in automatiseringsregels. U kunt een actie definiëren voor het opnemen van meerdere playbooks, of combinaties van playbooks en andere acties, en de volgorde waarin ze worden uitgevoerd.
Vervaldatum
U kunt een vervaldatum voor een automatiseringsregel definiëren. De regel wordt na die datum uitgeschakeld. Dit is handig voor het afhandelen (dat wil zeggen, afsluiten) van 'ruis'-incidenten die worden veroorzaakt door geplande, tijds beperkte activiteiten, zoals penetratietests.
Volgorde
U kunt de volgorde definiëren waarin automatiseringsregels worden uitgevoerd. Latere automatiseringsregels evalueren de voorwaarden van het incident op basis van de status ervan nadat er actie is onder ondernemen door eerdere automatiseringsregels.
Als bijvoorbeeld de ernst van een incident is gewijzigd van Gemiddeld in Laag en 'Tweede Automatiseringsregel' is gedefinieerd om alleen te worden uitgevoerd op incidenten met een gemiddelde of hogere ernst, wordt deze niet uitgevoerd op dat incident.
Veelvoorkomende gebruiksscenario's
Door incidenten geactiveerde automatisering
Tot nu toe konden alleen waarschuwingen een geautomatiseerd antwoord activeren via het gebruik van playbooks. Met automatiseringsregels kunnen incidenten nu automatischereactieketensactiveren, die nieuwe door incidenten geactiveerde playbooks kunnen bevatten (er zijn speciale machtigingen vereist) wanneer een incident wordt gemaakt.
Playbooks activeren voor Microsoft-providers
Automatiseringsregels bieden een manier om de verwerking van Microsoft-beveiligingswaarschuwingen te automatiseren door deze regels toe te passen op incidenten die zijn gemaakt op de waarschuwingen. De automatiseringsregels kunnen playbooks aanroepen(specialemachtigingen zijn vereist) en de incidenten aan hen doorgeven met alle details, inclusief waarschuwingen en entiteiten. In het algemeen dicteren best practices van Microsoft Sentinel het gebruik van de wachtrij met incidenten als het centrale punt van beveiligingsbewerkingen.
Microsoft-beveiligingswaarschuwingen omvatten het volgende:
- Microsoft Defender for Cloud Apps
- Azure AD-identiteitsbeveiliging
- Microsoft Defender for Cloud
- Defender for IoT (voorheen Azure Security Center voor IoT)
- Microsoft Defender voor Office 365 (voorheen Office 365 ATP)
- Microsoft Defender voor Eindpunten (voorheen MDATP)
- Microsoft Defender voor Identiteit (voorheen Azure ATP)
Meerdere gesequentieeerde playbooks/acties in één regel
U kunt nu bijna volledige controle hebben over de volgorde van de uitvoering van acties en playbooks in één automatiseringsregel. U kunt ook de volgorde van de uitvoering van de automatiseringsregels zelf bepalen. Hierdoor kunt u uw playbooks sterk vereenvoudigen, ze reduceren tot één taak of een kleine, eenvoudige reeks taken, en deze kleine playbooks combineren in verschillende combinaties in verschillende automatiseringsregels.
Eén playbook in één keer toewijzen aan meerdere analyseregels
Als u een taak hebt die u wilt automatiseren voor al uw analyseregels, bijvoorbeeld het maken van een ondersteuningsticket in een extern ticketsysteem, kunt u in één keer één playbook toepassen op een of alle analyseregels, inclusief eventuele toekomstige regels. Dit maakt eenvoudige, maar terugkerende onderhouds- en afhandelingstaken veel minder taken.
Automatische toewijzing van incidenten
U kunt incidenten automatisch toewijzen aan de juiste eigenaar. Als uw SOC een analist heeft die is gespecialiseerd in een bepaald platform, kunnen eventuele incidenten met betrekking tot dat platform automatisch aan die analist worden toegewezen.
Incidentonderdrukking
U kunt regels gebruiken om incidenten automatisch op te lossen die bekende fout/goedaardige positieven zijn zonder het gebruik van playbooks. Bij het uitvoeren van penetratietests, het uitvoeren van gepland onderhoud of upgrades of het testen van automatiseringsprocedures, kunnen er bijvoorbeeld veel fout-positieve incidenten worden gemaakt die de SOC wil negeren. Een automatiseringsregel met een beperkte tijd kan deze incidenten automatisch sluiten wanneer ze worden gemaakt, terwijl ze worden gelabeld met een descriptor van de oorzaak van hun generatie.
Tijds beperkte automatisering
U kunt vervaldatums voor uw automatiseringsregels toevoegen. Er kunnen andere gevallen dan incidentonderdrukking zijn die tijds beperkte automatisering rechtvaardigen. Mogelijk wilt u een bepaald type incident toewijzen aan een bepaalde gebruiker (bijvoorbeeld een interne of consultant) voor een bepaald tijdsbestek. Als het tijdsbestek van tevoren bekend is, kunt u ervoor zorgen dat de regel wordt uitgeschakeld aan het einde van de relevantie, zonder dat u dit hoeft te onthouden.
Incidenten automatisch taggen
U kunt automatisch tags voor vrije tekst toevoegen aan incidenten om ze te groepren of classificeren op basis van criteria van uw keuze.
Uitvoering van automation-regels
Automatiseringsregels worden opeenvolgend uitgevoerd, op basis van de volgorde die u bepaalt. Elke automatiseringsregel wordt uitgevoerd nadat de vorige regel is uitgevoerd. Binnen een automatiseringsregel worden alle acties opeenvolgend uitgevoerd in de volgorde waarin ze zijn gedefinieerd.
Playbookacties binnen een automatiseringsregel kunnen onder bepaalde omstandigheden anders worden behandeld volgens de volgende criteria:
| Run time playbook | Automation-regel gaat verder met de volgende actie... |
|---|---|
| Minder dan een seconde | Onmiddellijk nadat het playbook is voltooid |
| Minder dan twee minuten | Tot twee minuten nadat het playbook is gestart, maar niet meer dan 10 seconden nadat het playbook is voltooid |
| Meer dan twee minuten | Twee minuten nadat het playbook is gestart, ongeacht of deze is voltooid |
Machtigingen voor automatiseringsregels voor het uitvoeren van playbooks
Wanneer met een Automatiseringsregel van Microsoft Sentinel een playbook wordt uitgevoerd, wordt een speciaal Microsoft Sentinel-serviceaccount gebruikt dat specifiek is geautoriseerd voor deze actie. Het gebruik van dit account (in plaats van uw gebruikersaccount) verhoogt het beveiligingsniveau van de service.
Als u wilt dat een automatiseringsregel een playbook kan uitvoeren, moet aan dit account expliciete machtigingen worden verleend voor de resourcegroep waarin de playbook zich bevindt. Op dat moment kan elke automatiseringsregel een playbook in die resourcegroep uitvoeren.
Wanneer u een automatiseringsregel configureert en een run playbook-actie toevoegt, wordt er een vervolgkeuzelijst met playbooks weergegeven. Playbooks waarvoor Microsoft Sentinel geen machtigingen heeft, worden weergegeven als niet-beschikbaar ('grijs weergegeven'). U kunt Microsoft Sentinel ter plekke machtigingen verlenen aan de resourcegroepen van de playbooks door de koppeling Machtigingen voor playbook beheren te selecteren.
Machtigingen in een architectuur met meerdere tenants
Automatiseringsregels bieden volledige ondersteuning voor implementaties tussen werkruimten en meerdere tenants (in het geval van meerdere tenants, met behulp van Azure Lighthouse).
Als uw Microsoft Sentinel-implementatie gebruikmaakt van een architectuur met meerdere tenants, kunt u daarom een automatiseringsregel in één tenant hebben om een playbook uit te voeren dat zich in een andere tenant bevindt. Machtigingen voor Sentinel voor het uitvoeren van de playbooks moeten echter worden gedefinieerd in de tenant waarin de playbooks zich bevinden, niet in de tenant waarin de automatiseringsregels zijn gedefinieerd.
In het specifieke geval van een Managed Security Service Provider (MSSP), waarbij een tenant van een serviceprovider een Microsoft Sentinel-werkruimte in een tenant van een klant beheert, zijn er twee specifieke scenario's die uw aandacht rechtvaardigen:
Een automatiseringsregel die is gemaakt in de tenant van de klant, is geconfigureerd om een playbook uit te voeren dat zich in de tenant van de serviceprovider bevindt.
Deze aanpak wordt normaal gesproken gebruikt om intellectueel eigendom in het playbook te beveiligen. Er is niets speciaals vereist om dit scenario te laten werken. Wanneer u een playbookactie in uw automatiseringsregel definieert en u naar de fase gaat waarin u Microsoft Sentinel machtigingen verleent voor de relevante resourcegroep waar het playbook zich bevindt (met behulp van het deelvenster Machtigingen voor playbook beheren), ziet u de resourcegroepen die behoren tot de tenant van de serviceprovider uit de tenants waaruit u kunt kiezen. Bekijk het hele proces dat hier wordt beschreven.
Een automatiseringsregel die is gemaakt in de werkruimte van de klant (terwijl deze is aangemeld bij de tenant van de serviceprovider) is geconfigureerd om een playbook uit te voeren dat zich in de tenant van de klant bevindt.
Deze configuratie wordt gebruikt wanneer intellectueel eigendom niet hoeft te worden beschermd. Om dit scenario te laten werken, moeten machtigingen voor het uitvoeren van het playbook worden verleend aan Microsoft Sentinel in beide tenants _. In de tenant van de klant verleent u ze in het deelvenster _ Machtigingen voor playbook beheren , net als in het bovenstaande scenario. Als u de relevante machtigingen in de tenant van de serviceprovider wilt verlenen, moet u een extra Azure Lighthouse-delegering toevoegen die toegangsrechten verleent aan de Azure Security Insights-app, met de rol Microsoft Sentinel Automation-inzender, aan de resourcegroep waarin het playbook zich bevindt.
Het scenario ziet er als volgende uit:
Zie onze instructies voor het instellen van dit.
Automatiseringsregels maken en beheren
U kunt automatiseringsregels maken en beheren vanaf verschillende punten in de Microsoft Sentinel-ervaring, afhankelijk van uw specifieke behoefte en gebruikscase.
Blade Automation
Automatiseringsregels kunnen centraal worden beheerd op de nieuwe blade Automation (die de blade Playbooks vervangt), onder het tabblad Automation-regels. (U kunt nu ook playbooks beheren op deze blade, onder het tabblad Playbooks.) Hier kunt u nieuwe automatiseringsregels maken en de bestaande regels bewerken. U kunt ook automatiseringsregels slepen om de volgorde van de uitvoering te wijzigen en deze in of uit te schakelen.
Op de blade Automation ziet u alle regels die in de werkruimte zijn gedefinieerd, samen met de status (Ingeschakeld/uitgeschakeld) en op welke analyseregels ze worden toegepast.
Wanneer u een automatiseringsregel nodig hebt die van toepassing is op veel analyseregels, maakt u deze rechtstreeks in de blade Automation. Klik in het bovenste menu op Nieuwe regel maken en toevoegen, waarmee het deelvenster Nieuwe automatiseringsregel maken wordt geopend. Hier hebt u volledige flexibiliteit bij het configureren van de regel: u kunt deze toepassen op alle analyseregels (inclusief toekomstige regels) en het breedste scala aan voorwaarden en acties definiëren.
Wizard Analyseregel
Op het tabblad Geautomatiseerd antwoord van de wizard Analyseregels kunt u automatiseringsregels bekijken, beheren en maken die van toepassing zijn op de specifieke analyseregel die in de wizard wordt gemaakt of bewerkt.
Wanneer u op Maken klikt en een van de regeltypen ( Geplande queryregel of Regel voor het maken van Microsoft-incidenten) in het bovenste menu op de blade Analyse, of als u een bestaande analyseregel selecteert en op Bewerken klikt, opent u de wizard Regel. Wanneer u het tabblad Geautomatiseerd antwoord selecteert, ziet u een sectie met de naam Incidentautomatisering, waaronder de automatiseringsregels die momenteel van toepassing zijn op deze regel worden weergegeven. U kunt een bestaande automatiseringsregel selecteren om te bewerken of op Nieuwe toevoegen klikken om een nieuwe te maken.
Wanneer u hier de automatiseringsregel maakt, wordt in het deelvenster Nieuwe automatiseringsregel maken de voorwaarde voor de analyseregel weergegeven als niet-beschikbaar, omdat deze regel al is ingesteld op alleen van toepassing op de analyseregel die u in de wizard bewerkt. Alle andere configuratieopties zijn nog steeds voor u beschikbaar.
Blade Incidenten
U kunt ook een automatiseringsregel maken op de blade Incidenten om te reageren op één terugkerend incident. Dit is handig bij het maken van een onderdrukkingsregel voor het automatisch sluiten van 'ruis'-incidenten. Selecteer een incident in de wachtrij en klik in het bovenste menu op Automatiseringsregel maken.
U ziet dat in het deelvenster Nieuwe automatiseringsregel maken alle velden zijn ingevuld met waarden van het incident. Het noemt de regel dezelfde naam als het incident, past deze toe op de analyseregel die het incident heeft gegenereerd en gebruikt alle beschikbare entiteiten in het incident als voorwaarden van de regel. Er wordt ook standaard een onderdrukkingsactie (sluiten) en een vervaldatum voor de regel suggestiet. U kunt voorwaarden en acties toevoegen of verwijderen en de vervaldatum naar wens wijzigen.
Activiteit automatiseringsregel controleren
Misschien wilt u weten wat er met een bepaald incident is gebeurd en wat een bepaalde automatiseringsregel er al dan niet aan heeft gedaan. U hebt een volledige record van incidentincidenten die voor u beschikbaar zijn in de tabel SecurityIncident op de blade Logboeken. Gebruik de volgende query om al uw automatiseringsregelactiviteit weer te geven:
SecurityIncident
| where ModifiedBy contains "Automation"
Volgende stappen
In dit document hebt u geleerd hoe u automatiseringsregels kunt gebruiken om uw wachtrij met Microsoft Sentinel-incidenten te beheren en een aantal eenvoudige automatiseringen voor incidentafhandeling te implementeren.
- Zie Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinel voor meer informatie over geavanceerde automatiseringsopties.
- Zie Zelfstudie: Playbooks gebruiken om bedreigingsreacties te automatiseren in Microsoft Sentinel voor hulp bij het implementeren van automatiseringsregels en playbooks.