Использование задач для управления инцидентами в Microsoft Sentinel

Одним из наиболее важных факторов эффективного и эффективного выполнения операций безопасности (SecOps) является стандартизация процессов. Ожидается, что аналитики SecOps будут выполнять список шагов или задач в процессе трехразового расследования или устранения инцидента. Стандартизация и формализация списка задач может помочь обеспечить плавность работы SOC, обеспечивая одинаковые требования, применимые ко всем аналитикам. Таким образом, независимо от того, кто находится на смене, инцидент всегда получит то же лечение и соглашения об уровне обслуживания. Аналитики не должны тратить время думать о том, что делать, или беспокоиться об отсутствии критического шага. Эти действия определяются менеджером SOC или старшими аналитиками (уровень 2/3) на основе общих знаний безопасности (таких как NIST), их опыт работы с прошлыми инцидентами или рекомендациями, предоставленными поставщиком безопасности, который обнаружил инцидент.

Случаи использования

• Аналитики SOC могут использовать один центральный список проверка для обработки процессов обработки инцидентов, расследования и реагирования, все без беспокойства о отсутствии критического шага.

• Инженеры SOC или старшие аналитики могут документирование, обновление и выравнивание стандартов реагирования на инциденты между командами аналитиков и сменами. Они также могут создавать проверка списки задач для обучения новых аналитиков или аналитиков, сталкивающихся с новыми типами инцидентов.

• Как менеджер SOC или как MSSP, вы можете убедиться, что инциденты обрабатываются в соответствии с соответствующими соглашениями об уровне обслуживания или soPs.

Необходимые компоненты

Роль "Ответитель Microsoft Sentinel" необходима для создания правил автоматизации и просмотра и редактирования инцидентов, которые необходимы для добавления, просмотра и редактирования задач.

Роль участника Logic Apps необходима для создания и редактирования сборников схем.

Сценарии

Аналитик

Выполнение задач при обработке инцидента

При выборе инцидента и просмотре полных сведений на странице сведений об инциденте вы увидите на правой панели все задачи, добавленные в этот инцидент, будь то вручную или правилами автоматизации.

Разверните задачу, чтобы просмотреть полное описание, включая пользователя, правило автоматизации или сборник схем, создавший его.

Пометьте задачу, выбрав свой круг "проверка box".

Добавление задач в инцидент на месте

Вы можете добавить задачи в открытый инцидент, над которым вы работаете, либо дать себе напоминания о действиях, которые вы обнаружили, что нужно предпринять, или записать действия, которые вы выполнили собственную инициативу, которая не отображается в списке задач. Задачи, добавленные таким образом, будут применяться только к открытому инциденту.

Создатель рабочего процесса

Добавление задач в инциденты с правилами автоматизации

Используйте действие "Добавить задачу" в правилах автоматизации, чтобы автоматически предоставить все инциденты с проверка списком задач для аналитиков. Задайте условие имени правила Аналитики в правиле автоматизации, чтобы определить область:

• Примените правило автоматизации ко всем правилам аналитики, чтобы определить стандартный набор задач, применяемых ко всем инцидентам.

• Применяя правило автоматизации к ограниченному набору правил аналитики, вы можете назначать определенные задачи определенным инцидентам в соответствии с угрозами, обнаруженными правилом аналитики или правилами, создающими эти инциденты.

Учитывайте, что порядок отображения задач в инциденте определяется временем создания задач. Вы можете задать порядок правил автоматизации, чтобы правила, добавляющие задачи, необходимые для всех инцидентов, выполнялись сначала, и только после этого все правила, добавляющие задачи, необходимые для инцидентов, созданных определенными правилами аналитики. В одном правиле порядок определения действий определяет порядок, в котором они отображаются в инциденте.

Узнайте, какие инциденты рассматриваются существующими правилами и задачами автоматизации перед созданием нового правила автоматизации.
Используйте фильтр действий в списке правил автоматизации, чтобы просмотреть только те правила, которые добавляют задачи в инциденты, и узнать, какие правила аналитики применяются к этим правилам автоматизации, чтобы понять, к каким инцидентам будут добавлены эти задачи.

Добавление задач в инциденты с сборниками схем

Используйте действие "Добавить задачу" в сборник схем (в соединителе Microsoft Sentinel) для автоматического добавления задачи в инцидент, активировавшего сборник схем.

Затем используйте другие действия сборника схем (в соответствующих соединителях Logic Apps), чтобы завершить содержимое задачи.

Наконец, используйте задачу Mark в качестве завершенного действия (снова в соединителе Microsoft Sentinel), чтобы автоматически пометить задачу завершения.

Рассмотрим следующие сценарии в качестве примеров:

• Пусть сборники схем добавляют и завершают задачи: при создании инцидента он активирует сборник схем, который выполняет следующие действия:

  1. Добавляет задачу в инцидент для сброса пароля пользователя.
  2. Выполняет задачу путем выдачи вызова API системе подготовки пользователей для сброса пароля пользователя.
  3. Ожидает ответа от системы в связи с успехом или сбоем сброса.
     • Если сброс пароля выполнен успешно, сборник схем помечает задачу, которую он только что создал в инциденте, как завершено.
     • Если сбой сброса пароля, сборник схем не помечает задачу как завершенную, оставив ее аналитику для выполнения.

• Позвольте сборнику схем оценить, следует ли добавлять условные задачи: при создании инцидента он активирует сборник схем, запрашивающий отчет IP-адреса из внешнего источника аналитики угроз.

  • Если IP-адрес является вредоносным, сборник схем добавляет определенную задачу (например, "Блокировать этот IP-адрес").
  • В противном случае сборник схем не принимает дальнейших действий.

Используйте правила автоматизации или сборники схем для добавления задач?

Какие рекомендации следует диктовать, какие из этих методов следует использовать для создания задач инцидентов?

• Правила автоматизации. Используйте каждый раз, когда это возможно. Используйте для простых статических задач, которые не требуют интерактивности.
• Сборники схем: использование для расширенных вариантов использования — создание задач на основе условий или задач с интегрированными автоматизированными действиями.

Следующие шаги

• Узнайте, как аналитики могут использовать задачи для обработки рабочего процесса инцидента в Microsoft Sentinel.
• Дополнительные сведения о расследовании инцидентов в Microsoft Sentinel.
• Узнайте, как добавлять задачи в группы инцидентов автоматически с помощью правил автоматизации или сборников схем.
• Узнайте больше о правилах автоматизации и их создании.
• Узнайте больше о сборниках схем и их создании.