Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Den här artikeln förklarar vad Microsoft Sentinel-automatiseringsregler är och hur du använder dem för att implementera SOAR-åtgärder (Security Orchestration, Automation and Response), vilket ökar SOC:s effektivitet och sparar tid och resurser.
Viktigt
- Funktionen för automatiseringsregler finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som inte har släppts allmänt ännu.
Vad är automatiseringsregler?
Automatiseringsregler är ett nytt begrepp i Microsoft Sentinel. Med den här funktionen kan användarna centralt hantera automatiseringen av incidenthanteringen. Förutom att du kan tilldela spelböcker till incidenter (inte bara aviseringar som tidigare), kan du med automatiseringsregler även automatisera svar för flera analysregler samtidigt, automatiskt tagga, tilldela eller stänga incidenter utan att behöva spelböcker och styra ordningen på de åtgärder som körs. Automatiseringsregler effektiviserar användningen av automatisering i Microsoft Sentinel och gör att du kan förenkla komplexa arbetsflöden för dina incidentorkestreringsprocesser.
Komponenter
Automatiseringsregler består av flera komponenter:
Utlösare
Automatiseringsregler utlöses när en incident skapas.
Att granska – incidenter skapas från aviseringar av analysregler, varav det finns flera typer, enligt förklaringen i självstudien Identifiera hot med inbyggda analysregler i Microsoft Sentinel.
Villkor
Komplexa uppsättningar med villkor kan definieras för att styra när åtgärder (se nedan) ska köras. Dessa villkor baseras vanligtvis på tillstånd eller värden för attribut för incidenter och deras entiteter, och de kan innehålla AND / OR / NOT / CONTAINS operatorer.
Åtgärder
Åtgärder kan definieras för att köras när villkoren (se ovan) uppfylls. Du kan definiera många åtgärder i en regel och du kan välja i vilken ordning de ska köras (se nedan). Följande åtgärder kan definieras med hjälp av automatiseringsregler, utan att du behöver de avancerade funktionerna i en spelbok:
Ändra statusen för en incident så att arbetsflödet är uppdaterat.
- När du ändrar till "stängd" anger du den avslutande orsaken och lägger till en kommentar. På så sätt kan du hålla koll på dina prestanda och effektivitet och finjustera för att minska falska positiva resultat.
Ändra allvarlighetsgraden för en incident – du kan omvärdera och prioritera om baserat på förekomst, frånvaro, värden eller attribut för entiteter som är inblandade i incidenten.
Tilldela en incident till en ägare – detta hjälper dig att dirigera typer av incidenter till den personal som passar bäst för att hantera dem eller till den mest tillgängliga personalen.
Lägga till en tagg i en incident – detta är användbart för att klassificera incidenter efter ämne, angripare eller någon annan gemensam nämnare.
Du kan också definiera en åtgärd för att köra en spelbokför att vidta mer komplexa svarsåtgärder, inklusive alla som omfattar externa system. Endast spelböcker som aktiveras av incidentutlösaren är tillgängliga för användning i automatiseringsregler. Du kan definiera en åtgärd för att inkludera flera spelböcker, eller kombinationer av spelböcker och andra åtgärder, och i vilken ordning de ska köras.
Förfallodatum
Du kan definiera ett förfallodatum för en automationsregel. Regeln inaktiveras efter det datumet. Detta är användbart för hantering av (det vill säga stänga) "brus"-incidenter som orsakas av planerade, tidsbegränsade aktiviteter, till exempel intrångstestning.
Beställning
Du kan definiera i vilken ordning automatiseringsregler ska köras. Senare automatiseringsregler utvärderar villkoren för incidenten enligt tillståndet efter att ha åtgärdats av tidigare automatiseringsregler.
Om till exempel "Första automationsregeln" ändrade allvarlighetsgraden för en incident från Medel till Låg och "Andra automatiseringsregeln" har definierats för att endast köras på incidenter med medelhög eller högre allvarlighetsgrad, körs den inte på den incidenten.
Vanliga användningsfall och scenarier
Incidentutlöst automatisering
Fram till nu kan endast aviseringar utlösa ett automatiserat svar med hjälp av spelböcker. Med automatiseringsregler kan incidenter nu utlösa automatiska svarskedjor, som kan innehålla nya incidentutlösta spelböcker(särskilda behörigheter krävs ) när en incident skapas.
Utlösa spelböcker för Microsoft-leverantörer
Automatiseringsregler är ett sätt att automatisera hanteringen av Microsoft-säkerhetsaviseringar genom att tillämpa dessa regler på incidenter som skapats från aviseringarna. Automatiseringsreglerna kan anropa spelböcker(särskildabehörigheter krävs) och skicka incidenterna till dem med all information, inklusive aviseringar och entiteter. I allmänhet kräver Microsoft Sentinel bästa praxis att incidentkön används som fokus för säkerhetsåtgärder.
Microsofts säkerhetsaviseringar omfattar följande:
- Microsoft Defender för Cloud Apps
- Azure AD Identity Protection
- Microsoft Defender for Cloud
- Defender for IoT (tidigare Azure Security Center for IoT)
- Microsoft Defender för Office 365 (tidigare Office 365 ATP)
- Microsoft Defender för slutpunkter (tidigare MDATP)
- Microsoft Defender för identiteter (tidigare Azure ATP)
Flera sekvenserade spelböcker/åtgärder i en enda regel
Nu kan du ha nästan fullständig kontroll över ordningen för körning av åtgärder och spelböcker i en enda automatiseringsregel. Du styr även körningsordningen för själva automatiseringsreglerna. På så sätt kan du förenkla dina spelböcker mycket, minska dem till en enda uppgift eller en liten, enkel sekvens med uppgifter och kombinera dessa små spelböcker i olika kombinationer i olika automatiseringsregler.
Tilldela en spelbok till flera analysregler samtidigt
Om du har en uppgift som du vill automatisera för alla dina analysregler, till exempel att skapa en supportbiljett i ett externt biljettsystem, kan du tillämpa en enda spelbok på någon av eller alla dina analysregler – inklusive eventuella framtida regler – i ett enda försök. Detta gör enkla men repetitiva underhålls- och underhållsuppgifter mycket mindre återkommande.
Automatisk tilldelning av incidenter
Du kan tilldela incidenter till rätt ägare automatiskt. Om din SOC har en analytiker som specialiserar sig på en viss plattform kan eventuella incidenter som rör plattformen automatiskt tilldelas till den analytikern.
Incidentundertryckning
Du kan använda regler för att automatiskt lösa incidenter som är kända falska/oskadliga positiva resultat utan att använda spelböcker. När du till exempel kör intrångstester, utför schemalagt underhåll eller uppgraderingar eller testar automatiseringsprocedurer kan många falska positiva incidenter skapas som SOC vill ignorera. En tidsbegränsad automatiseringsregel kan automatiskt stänga incidenterna när de skapas, samtidigt som de taggas med en beskrivning av orsaken till genereringen.
Tidsbegränsad automatisering
Du kan lägga till förfallodatum för dina automatiseringsregler. Det kan finnas andra fall än incidentundertryckning som kräver tidsbegränsad automatisering. Du kanske vill tilldela en viss typ av incident till en viss användare (till exempel en intern eller konsult) under en viss tidsperiod. Om tidsramen är känd i förväg kan du effektivt göra så att regeln inaktiveras i slutet av dess relevans, utan att du behöver komma ihåg att göra det.
Tagga incidenter automatiskt
Du kan automatiskt lägga till fritexttaggar till incidenter för att gruppera eller klassificera dem enligt valfritt kriterium.
Körning av automatiseringsregler
Automatiseringsregler körs sekventiellt enligt den ordning du bestämmer. Varje automatiseringsregel körs när den föregående har slutfört körningen. I en automatiseringsregel körs alla åtgärder sekventiellt i den ordning som de definieras.
Spelboksåtgärder i en automatiseringsregel kan behandlas på olika sätt under vissa omständigheter, enligt följande kriterier:
| Spelbokskörning | Automatiseringsregeln går vidare till nästa åtgärd... |
|---|---|
| Mindre än en sekund | Omedelbart efter att spelboken har slutförts |
| Mindre än två minuter | Upp till två minuter efter att spelboken började köras, men högst 10 sekunder efter att spelboken har slutförts |
| Mer än två minuter | Två minuter efter att spelboken började köras, oavsett om det har slutförts eller inte |
Behörigheter för automatiseringsregler för att köra spelböcker
När en Microsoft Sentinel-automatiseringsregel kör en spelbok använder den ett särskilt Microsoft Sentinel-tjänstkonto som är specifikt auktoriserat för den här åtgärden. Användningen av det här kontot (till skillnad från ditt användarkonto) ökar säkerhetsnivån för tjänsten.
För att en Automation-regel ska kunna köra en spelbok måste det här kontot beviljas explicit behörighet till den resursgrupp där spelboken finns. Då kan alla automatiseringsregeln köra valfri spelbok i den resursgruppen.
När du konfigurerar en automatiseringsregel och lägger till en run playbook-åtgärd visas en listrutan med spelböcker. Spelböcker som Microsoft Sentinel inte har behörighet till visas som otillgängliga ("nedtonade"). Du kan ge Microsoft Sentinel behörighet till spelböckerna resursgrupper på plats genom att välja länken Hantera spelboksbehörigheter.
Behörigheter i en arkitektur för flera innehavare
Automatiseringsregler har fullständigt stöd för distributioner mellan arbetsytor och flera innehavare (när det gäller flera klienter, med hjälp av Azure Lighthouse).
Om din Microsoft Sentinel-distribution använder en arkitektur för flera innehavare kan du därför ha en automatiseringsregel i en klientorganisation som kör en spelbok som finns i en annan klientorganisation, men behörigheter för Sentinel för att köra spelböckerna måste definieras i den klientorganisation där spelböckerna finns, inte i den klientorganisation där automatiseringsreglerna har definierats.
I det specifika fallet med en hanterad säkerhetstjänstleverantör (MSSP), där en tjänstleverantörsklientorganisation hanterar en Microsoft Sentinel-arbetsyta i en kundklientorganisation, finns det två särskilda scenarier som kräver din uppmärksamhet:
En automatiseringsregel som skapats i kundens klientorganisation har konfigurerats för att köra en spelbok som finns i tjänstleverantörens klientorganisation.
Den här metoden används vanligtvis för att skydda immateriell egendom i spelboken. Inget speciellt krävs för att det här scenariot ska fungera. När du definierar en spelboksåtgärd i din automatiseringsregel, och du kommer till den fas där du beviljar Microsoft Sentinel-behörigheter för den relevanta resursgruppen där spelboken finns (med hjälp av panelen Hantera spelboksbehörigheter), ser du de resursgrupper som tillhör tjänstleverantörens klientorganisation bland dem som du kan välja mellan. Se hela processen som beskrivs här.
En automatiseringsregel som skapats på kundarbetsytan (när du är inloggad på tjänstleverantörens klientorganisation) konfigureras för att köra en spelbok som finns i kundens klientorganisation.
Den här konfigurationen används när det inte finns något behov av att skydda immateriell egendom. För att det här scenariot ska fungera måste behörigheter för att köra spelboken beviljas till Microsoft Sentinel i båda klienterna _. I kundklientorganisationen beviljar du dem i panelen _ Hantera spelboksbehörigheter precis som i scenariot ovan. Om du vill bevilja relevanta behörigheter i klientorganisationen för tjänstprovidern måste du lägga till ytterligare en Azure Lighthouse-delegering som ger åtkomstbehörighet till Azure Security Insights-appen, med microsoft Sentinel Automation-deltagarrollen, i resursgruppen där spelboken finns.
Scenariot ser ut så här:
Se våra anvisningar för att konfigurera detta.
Skapa och hantera automatiseringsregler
Du kan skapa och hantera automatiseringsregler från olika punkter i Microsoft Sentinel-upplevelsen, beroende på dina specifika behov och användningsfall.
Automation-bladet
Automatiseringsregler kan hanteras centralt på det nya Automation-bladet (som ersätter bladet Spelböcker) under fliken Automatiseringsregler. (Nu kan du också hantera spelböcker på det här bladet, under fliken Spelböcker.) Därifrån kan du skapa nya automatiseringsregler och redigera de befintliga. Du kan också dra automatiseringsregler för att ändra körningsordningen och aktivera eller inaktivera dem.
På bladet Automation ser du alla regler som har definierats på arbetsytan, tillsammans med deras status (Aktiverad/Inaktiverad) och vilka analysregler de tillämpas på.
När du behöver en automatiseringsregel som gäller för många analysregler skapar du den direkt på Automation-bladet. På den översta menyn klickar du på Skapa och lägg till ny regel , vilket öppnar panelen Skapa ny automatiseringsregel. Härifrån har du fullständig flexibilitet när du konfigurerar regeln: du kan tillämpa den på alla analysregler (inklusive framtida) och definiera det bredaste utbudet av villkor och åtgärder.
Guide för analysregel
På fliken Automatiserat svar i guiden för analysregler kan du se, hantera och skapa automatiseringsregler som gäller för den specifika analysregel som skapas eller redigeras i guiden.
När du klickar på Skapa och en av regeltyperna ( Schemalagd frågeregel eller Skapanderegel för Microsoft-incidenter) på den översta menyn på bladet Analytics, eller om du väljer en befintlig analysregel och klickar på Redigera, öppnar du regelguiden. När du väljer fliken Automatiserat svar visas ett avsnitt med namnet Incidentautomatisering där de automatiseringsregler som för närvarande gäller för den här regeln visas. Du kan välja en befintlig automatiseringsregel att redigera eller klicka på Lägg till ny för att skapa en ny.
När du skapar automationsregeln här ser du att panelen Skapa ny automatiseringsregel visar att analysregelns villkor är otillgängligt, eftersom den här regeln redan är inställd på att endast gälla för den analysregel som du redigerar i guiden. Alla andra konfigurationsalternativ är fortfarande tillgängliga för dig.
Bladet Incidenter
Du kan också skapa en automatiseringsregel från bladet Incidenter för att kunna svara på en enda, återkommande incident. Detta är användbart när du skapar en undertryckningsregel för att automatiskt stänga "brus" incidenter. Välj en incident i kön och klicka på Skapa automatiseringsregel på den översta menyn.
Du ser att panelen Skapa ny automatiseringsregel har fyllt i alla fält med värden från incidenten. Den ger regeln samma namn som incidenten, tillämpar den på den analysregel som genererade incidenten och använder alla tillgängliga entiteter i incidenten som villkor för regeln. Den föreslår också en undertryckningsåtgärd (stängande) som standard och föreslår ett utgångsdatum för regeln. Du kan lägga till eller ta bort villkor och åtgärder och ändra förfallodatumet som du vill.
Granska automationsregelaktivitet
Du kanske vill veta vad som hände med en viss incident och vad en viss automatiseringsregel kan ha gjort. Du har tillgång till en fullständig post över incidenter i tabellen SecurityIncident på bladet Loggar. Använd följande fråga för att se all automationsregelaktivitet:
SecurityIncident
| where ModifiedBy contains "Automation"
Nästa steg
I det här dokumentet har du lärt dig hur du använder automatiseringsregler för att hantera din Microsoft Sentinel-incidentkö och implementera viss grundläggande automatisering av incidenthantering.
- Mer information om avancerade automatiseringsalternativ finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel.
- Hjälp med att implementera automatiseringsregler och spelböcker finns i Självstudie: Använda spelböcker för att automatisera hotsvar i Microsoft Sentinel.