Учебник. Использование сборников схем с правилами автоматизации в Azure Sentinel

В том учебнике показано, как использовать сборники схем вместе с правилами автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности, обнаруженных Azure Sentinel. После изучения этого учебника вы сможете выполнять следующие задачи.

  • Создание правила автоматизации
  • Создание сборника схем
  • Добавление действий в сборник схем
  • Подключение сборника схем к правилу автоматизации или правилу аналитики для автоматизации реагирования на угрозы

Общие сведения о правилах автоматизации и сборниках схем

Правила автоматизации помогают рассматривать инциденты в Azure Sentinel. Их можно использовать для автоматического назначения инцидентов нужному персоналу, закрытия мнимых инцидентов или известных ложноположительных результатов, изменения их серьезности и добавления тегов. Они также обеспечивают механизм запуска сборников схем в ответ на инциденты.

Сборник схем — это набор процедур, которые могут запускаться из Azure Sentinel в ответ на оповещение или инцидент. Сборник схем может помочь автоматизировать и оркестрировать отклик. При подключении к правилу аналитики или правилу автоматизации он может автоматически запускаться в случае создания конкретных предупреждений или инцидентов соответственно. Его также можно запустить вручную по запросу.

Сборники схем в Azure Sentinel основаны на рабочих процессах, встроенных в Azure Logic Apps. Это означает, что вы получаете все функции, возможности настройки и встроенные шаблоны Logic Apps. Каждый сборник схем создается для конкретной подписки, к которой он принадлежит, но на экране Сборники схем отображаются все сборники схем, доступные в выбранных подписках.

Примечание

Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Подробные сведения о ценах см. на странице цен на Azure Logic Apps.

Например, если вы хотите предотвратить доступ потенциально скомпрометированных пользователей к ресурсам сети и кражу информации, можно создать автоматизированный многоаспектный ответ на инциденты, созданные на основе правил обнаружения скомпрометированных пользователей. Начнем с создания сборника схем, выполняющего описанные ниже действия.

  1. При вызове сборника схем правилом автоматизации, которое передает ему инцидент, сборник схем открывает запрос в ServiceNow или любой другой системе обработки запросов.

  2. Он отправляет сообщение в ваш канал операций по обеспечению безопасности в Microsoft Teams или Slack, чтобы уведомить аналитиков системы безопасности об инциденте.

  3. Он также отправляет сообщение электронной почты со всей информацией об инциденте старшему сетевому администратору и администратору системы безопасности. Сообщение электронной почты будет содержать кнопки Блокировать и Игнорировать для пользователя.

  4. Сборник схем ожидает получения ответа от администраторов, а затем переходит к следующим шагам.

  5. Если администратор выбирает Блокировать, в Azure AD отправляется команда отключения пользователя, а в брандмауэр — команда блокирования IP-адреса.

  6. Если администратор выбирает Игнорировать, сборник схем закрывает инцидент в Azure Sentinel и запрос в ServiceNow.

Чтобы активировать сборник схем, вы создадите правило автоматизации, которое будет выполняться при создании таких инцидентов. В соответствии с этим правилом будут выполняться следующие действия:

  1. Состояние инцидента будет изменено на Активно.

  2. Инцидент будет назначен аналитику, отвечающему за управление инцидентами такого типа.

  3. Будет добавлен тег "скомпрометированный пользователь".

  4. Наконец, будет вызван только что созданный сборник схем. (Для этого шага требуются специальные разрешения.)

Сборники схем можно запускать автоматически в ответ на инциденты, создав правила автоматизации, вызывающие такие сборники в качестве действий, как в приведенном выше примере. Они также могут запускаться автоматически в ответ на предупреждения, если в правиле аналитики предусмотрено автоматическое выполнение одного или нескольких сборников схем при создании предупреждения.

При этом можно также выбрать запуск сборника схем вручную по запросу в ответ на выбранное предупреждение.

Ознакомьтесь с более полным и подробным введением в автоматизацию реагирования на угрозы с помощью правил автоматизации и сборников схем в Azure Sentinel.

Важно!

  • Правила автоматизации и возможность использования триггера инцидентов для сборника схем сейчас доступны в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Создание сборника схем

Чтобы создать сборник схем в Azure Sentinel, сделайте следующее.

Подготовка сборника схем и приложения логики

  1. В меню навигации Azure Sentinel выберите Автоматизация.

  2. В верхнем меню выберите Создать и Add new playbook (Добавить новый сборник схем).

    Добавление нового сборника схем

    Откроется новая вкладка браузера с мастером Создание приложения логики.

    Создайте приложение логики

  3. Введите подписку и группу ресурсов и присвойте сборнику схем имя в поле Имя приложения логики.

  4. В поле Регион выберите регион Azure, в котором будут храниться сведения о приложении логики.

  5. Если вы хотите отслеживать действие этого сборника схем в целях диагностики, установите флажок Enable log analytics (Включить Log Analytics) и введите имя рабочей области Log Analytics.

  6. Если вы хотите применить теги к сборнику схем, нажмите кнопку Далее: Теги > (без подключения к тегам, примененным правилами автоматизации, — см. дополнительные сведения о тегах). В противном случае щелкните Просмотр и создание. Проверьте указанные сведения и выберите Создать.

  7. Во время создания и развертывания сборника схем (это займет несколько минут) на экране появится экран под названием Microsoft.EmptyWorkflow. Когда появится сообщение "Развертывание выполнено", щелкните Перейти к ресурсу.

  8. Вы перейдете в конструктору Logic Apps для нового сборника схем, где сможете приступить к проектированию рабочего процесса. Здесь отобразится экран с коротким вводным видео, а также часто используемыми триггерами и шаблонами для приложений логики. См. дополнительные сведения о создании сборника схем с помощью Logic Apps.

  9. Выберите шаблон Пустое приложение логики.

    Коллекция шаблонов конструктора Logic Apps

Выбор триггера

Каждый сборник схем должен начинаться с триггера. Триггер определяет действие, по которому запускается сборник схем, и схему, которую он должен получить.

  1. Воспользуйтесь строкой поиска, чтобы найти Azure Sentinel. Выберите результат Azure Sentinel, когда он появится в списке.

  2. На полученной в результате вкладке Триггеры расположено два триггера, предлагаемых в Azure Sentinel:

    • при срабатывании ответа на оповещение Azure Sentinel;
    • после запуска правила создания инцидентов Azure Sentinel.

    Выберите триггер, соответствующий типу создаваемого сборника схем.

    Выбор триггера для сборника схем

Добавление действий

Теперь можно определить, что произойдет при активации сборника схем. Чтобы добавить действия, логические условия, циклы или условия для оператора switch, выберите Новый шаг. При выборе этого варианта в конструкторе открывается новый фрейм, где можно выбрать систему или приложение для взаимодействия или условие, которое необходимо задать. Введите имя системы или приложения в строке поиска в верхней части фрейма, а затем выберите один из доступных результатов.

На каждом из этих шагов при щелчке в любом поле отображается панель с двумя меню: Динамическое содержимое и Выражение. В меню Динамическое содержимое можно добавить ссылки на атрибуты предупреждения или инцидента, которые были переданы в сборник схем, в том числе значения и атрибуты всех задействованных сущностей. С помощью меню Выражение можно добавить дополнительную логику к шагам, выбрав необходимые элементы из большой библиотеки функций.

Конструктор приложений логики

На этом снимке экрана показаны действия и условия, которые можно добавить при создании сборника схем, описанного в примере в начале этого документа. Единственное отличие заключается в том, что в показанном здесь сборнике схем вместо триггера инцидента используется триггер предупреждения. Это означает, что этот сборник схем будет вызываться непосредственно из правила аналитики, а не из правила автоматизации. Оба способа вызова сборника схем будут описаны ниже.

Автоматизация реагирования на угрозы

Вы создали сборник схем и определили триггер, установили условия, а также задали действия, которые он будет выполнять, и выходные данные, которые он будет создавать. Теперь необходимо определить условия, при которых он будет выполняться, и настроить механизм автоматизации, который будет запускать его при выполнении этих условий.

Реагирование на инциденты

Чтобы использовать сборник схем для реагирования на инцидент, необходимо создать правило автоматизации, которое будет выполняться при создании инцидента и, в свою очередь, вызывать сборник схем.

Чтобы создать правило автоматизации, выполните следующие действия.

  1. В колонке Автоматизация в меню навигации Azure Sentinel в верхнем меню выберите Создать, а затем — Добавить новое правило.

    Добавление нового правила

  2. Откроется панель Create new automation rule (Создание правила автоматизации). Введите имя правила.

    Создание правила автоматизации

  3. Если вы хотите, чтобы правило автоматизации действовало только для определенных правил аналитики, укажите их, изменив условие Если имя правила аналитики.

  4. Добавьте любые другие условия, от которых должна зависеть активация этого правила автоматизации. Щелкните Добавить условие и выберите условия в раскрывающемся списке. Список условий заполняется сведениями о предупреждении и полями идентификаторов сущностей.

  5. Выберите действия, которые должно выполнять это правило автоматизации. Доступные действия: назначение владельца, изменение состояния, изменение серьезности, добавление тегов и запуск сборника схем. Вы можете добавить любое количество действий по своему усмотрению.

  6. Если вы добавите действие Запустить сборник схем, вам будет предложено выбрать сборник из раскрывающегося списка доступных сборников схем. Из правил автоматизации могут запускаться только сборники схем, которые начинаются с триггера инцидента, поэтому в списке будут отображаться только они.

    Важно!

    Для запуска сборников схем из правил автоматизации необходимо предоставить Sentinel Azure явные разрешения. Если сборник схем в раскрывающемся списке неактивен, это означает, что у Sentinel нет разрешения на доступ к группе ресурсов этого сборника. Щелкните ссылку Manage playbook permissions (Управление разрешениями для сборника схем), чтобы назначить разрешения. На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и нажмите кнопку Применить. Управление разрешениями

    • Вы сами должны иметь разрешения владельца в любой группе ресурсов, для которой вы хотите предоставить разрешения Azure Sentinel. У вас также должна быть роль участника приложения логики в любой группе ресурсов, содержащей сборники схем, которые нужно запустить.

    • Если при развертывании с несколькими клиентами сборник схем, который нужно запустить, находится в другом клиенте, необходимо предоставить Azure Sentinel разрешение на запуск сборника схем в том клиенте, где расположен этот сборник.

      1. В меню навигации Azure Sentinel в клиенте сборника схем выберите Параметры.
      2. В колонке Параметры выберите вкладку Параметры, а затем — расширитель разрешений сборника схем.
      3. Нажмите кнопку Настройка разрешений, чтобы открыть панель Управление разрешениями, упомянутую выше, а затем выполните описанные здесь действия.
    • Если в рамках сценария MSSP требуется выполнить сборник схем на арендаторе заказчика из правила автоматизации, созданного при входе на арендатор поставщика услуг, необходимо предоставить Azure Sentinel разрешение для выполнения сборника схем на обоих арендаторах _. На арендаторе _ заказчика следуйте инструкциям для мультитенантных развертываний, приведенных в предыдущем пункте. На арендаторе поставщика услуг необходимо добавить приложение Azure Security Insights в шаблон адаптации Azure Lighthouse.

      1. На портале Azure перейдите в Azure Active Directory.
      2. Выберите Корпоративные приложения.
      3. Выберите Тип приложения и фильтр в разделе приложений Майкрософт.
      4. В поле поиска введите Azure Security Insights.
      5. Скопируйте поле Идентификатор объекта. Необходимо добавить эту дополнительную авторизацию в существующее делегирование Azure Lighthouse.

      Роль участника службы автоматизации Azure Sentinel имеет фиксированный идентификатор GUID, для которого установлено значение f4c81013-99ee-4d62-a7ee-b3f1f648599a. Пример авторизации Azure Lighthouse в шаблоне параметров будет иметь следующий вид.

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Azure Sentinel Automation Contributors" 
      }
      
  7. Задайте дату истечения срока действия правила автоматизации, если это необходимо.

  8. Введите число в разделе Порядок, чтобы определить, где в последовательности правил автоматизации будет выполняться это правило.

  9. Щелкните Применить. Готово!

Узнайте о других способах создания правил автоматизации.

Реагирование на оповещения

Сборник схем можно использовать для реагирования на предупреждения. Для этого необходимо создать новое или изменить существующее правило аналитики, которое будет применяться при создании предупреждений, и выбрать сборник схем в качестве автоматического ответа в мастере правил аналитики.

  1. В колонке Аналитика в меню навигации по Azure Sentinel выберите правило аналитики, для которого необходимо автоматизировать реагирование, и нажмите кнопку Изменить в области сведений.

  2. На странице Мастер правил аналитики – Изменение существующего правила выберите вкладку Автоматический ответ.

    Вкладка &quot;Автоматический ответ&quot;

  3. В раскрывающемся списке выберите свой сборник схем. Можно выбрать несколько сборников схем, однако доступны будут только сборники схем, в которых используется триггер предупреждений.

  4. На вкладке Просмотр и создание нажмите кнопку Сохранить.

Выполнение сборника схем по запросу

Вы также можете запускать сборник схем по запросу.

Примечание

По запросу может запускаться только сборник схем, в котором используется триггер предупреждения.

Чтобы запустить сборник схем по запросу:

  1. На странице Инциденты выберите инцидент и щелкните Просмотр полных сведений.

  2. На вкладке Оповещения щелкните оповещение, для которого должен запускаться сборник схем, прокрутите до упора вправо, щелкните Просмотреть сборники схем и выберите сборник для запуска из списка доступных сборников в подписке.

Дальнейшие действия

Из этого учебника вы узнали, как использовать сборники схем и правила автоматизации в Azure Sentinel для реагирования на угрозы.