Używanie podręcznika usługi Microsoft Sentinel w celu zatrzymania potencjalnie naruszonych użytkowników
W tym artykule opisano przykładowy scenariusz użycia podręcznika i reguły automatyzacji w celu zautomatyzowania reagowania na zdarzenia i korygowania zagrożeń bezpieczeństwa. Reguły automatyzacji ułatwiają klasyfikację zdarzeń w usłudze Microsoft Sentinel i są również używane do uruchamiania podręczników w odpowiedzi na zdarzenia lub alerty. Aby uzyskać więcej informacji, zobacz Automatyzacja w usłudze Microsoft Sentinel: aranżacja zabezpieczeń, automatyzacja i odpowiedź (SOAR).
W przykładowym scenariuszu opisanym w tym artykule opisano sposób użycia reguły automatyzacji i podręcznika w celu zatrzymania potencjalnie naruszonego użytkownika podczas tworzenia zdarzenia.
Uwaga
Ponieważ podręczniki korzystają z usługi Azure Logic Apps, mogą być naliczane dodatkowe opłaty. Aby uzyskać więcej informacji, odwiedź stronę cennika usługi Azure Logic Apps .
Ważne
Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
Do tworzenia i uruchamiania podręczników w usłudze Microsoft Sentinel wymagane są następujące role.
| Rola | Opis |
|---|---|
| Właściciel | Umożliwia udzielanie dostępu do podręczników w grupie zasobów. |
| Współautor aplikacji logiki | Umożliwia zarządzanie aplikacjami logiki i uruchamianie podręczników. Nie zezwala na udzielanie dostępu do podręczników. |
| Operator aplikacji logiki | Umożliwia odczytywanie, włączanie i wyłączanie aplikacji logiki. Nie umożliwia edytowania ani aktualizowania aplikacji logiki. |
| Współautor usługi Microsoft Sentinel | Umożliwia dołączenie podręcznika do reguły analizy lub automatyzacji. |
| Osoba odpowiadająca w usłudze Microsoft Sentinel | Umożliwia dostęp do zdarzenia w celu ręcznego uruchamiania podręcznika, ale nie umożliwia uruchamiania podręcznika. |
| Operator podręcznika usługi Microsoft Sentinel | Umożliwia ręczne uruchamianie podręcznika. |
| Współautor automatyzacji usługi Microsoft Sentinel | Umożliwia uruchamianie podręczników przez reguły automatyzacji. Ta rola nie jest używana w żadnym innym celu. |
Karta Aktywne elementy playbook na stronie Automatyzacja zawiera wszystkie aktywne podręczniki dostępne we wszystkich wybranych subskrypcjach. Domyślnie podręcznik może być używany tylko w ramach subskrypcji, do której należy, chyba że w szczególności udzielasz uprawnień usługi Microsoft Sentinel grupie zasobów podręcznika.
Dodatkowe uprawnienia wymagane do uruchamiania podręczników dotyczących zdarzeń
Usługa Microsoft Sentinel używa konta usługi do uruchamiania podręczników dotyczących zdarzeń, dodawania zabezpieczeń i włączania interfejsu API reguł automatyzacji w celu obsługi przypadków użycia ciągłej integracji/ciągłego wdrażania. To konto usługi jest używane na potrzeby podręczników wyzwalanych przez zdarzenia lub ręcznego uruchamiania podręcznika w określonym zdarzeniu.
Oprócz własnych ról i uprawnień to konto usługi Microsoft Sentinel musi mieć własny zestaw uprawnień do grupy zasobów, w której znajduje się podręcznik, w postaci roli Współautor automatyzacji usługi Microsoft Sentinel. Gdy usługa Microsoft Sentinel ma tę rolę, może uruchomić dowolny podręcznik w odpowiedniej grupie zasobów, ręcznie lub z reguły automatyzacji.
Aby przyznać usłudze Microsoft Sentinel wymagane uprawnienia, musisz mieć rolę administratora dostępu właściciela lub użytkownika. Aby uruchomić podręczniki, musisz również mieć rolę Współautor aplikacji logiki w grupie zasobów zawierającej podręczniki, które chcesz uruchomić.
Zatrzymywanie potencjalnie naruszonych użytkowników
Zespoły SOC chcą upewnić się, że potencjalnie naruszone zabezpieczenia użytkowników nie mogą poruszać się po sieci i kraść informacje. Zalecamy utworzenie automatycznej, wielowymiarowej odpowiedzi na zdarzenia generowane przez reguły, które wykrywają naruszone zabezpieczenia użytkowników w celu obsługi takich scenariuszy.
Skonfiguruj regułę automatyzacji i podręcznik, aby używać następującego przepływu:
Zdarzenie jest tworzone dla potencjalnie naruszonego użytkownika, a reguła automatyzacji jest wyzwalana w celu wywołania podręcznika.
Podręcznik otwiera bilet w systemie obsługi biletów IT, na przykład ServiceNow.
Podręcznik wysyła również komunikat do kanału operacji zabezpieczeń w usłudze Microsoft Teams lub Slack, aby upewnić się, że analitycy zabezpieczeń wiedzą o zdarzeniu.
Podręcznik wysyła również wszystkie informacje w zdarzeniu w wiadomości e-mail do starszego administratora sieci i administratora zabezpieczeń. Wiadomość e-mail zawiera przyciski opcji Blokuj i Ignoruj użytkownika.
Podręcznik czeka na odebranie odpowiedzi od administratorów, a następnie kontynuuje kolejne kroki.
Jeśli administratorzy wybiorą pozycję Blokuj, podręcznik wysyła polecenie do identyfikatora Entra firmy Microsoft, aby wyłączyć użytkownika, a jeden do zapory w celu zablokowania adresu IP.
Jeśli administratorzy wybiorą pozycję Ignoruj, podręcznik zamknie zdarzenie w usłudze Microsoft Sentinel i bilet w usłudze ServiceNow.
Poniższy zrzut ekranu przedstawia akcje i warunki, które należy dodać podczas tworzenia tego przykładowego podręcznika:
