Automatisera hotsvar med spelböcker i Microsoft Sentinel
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Den här artikeln förklarar vad Microsoft Sentinel-spelböcker är och hur du använder dem för att implementera SOAR-åtgärder (Security Orchestration, Automation and Response), vilket ger bättre resultat samtidigt som du sparar tid och resurser.
Vad är en spelbok?
SIEM-/SOC-team översvämmas vanligtvis regelbundet med säkerhetsaviseringar och incidenter, på volymer som är så stora att tillgänglig personal överbelastas. Detta resulterar alltför ofta i situationer där många aviseringar ignoreras och många incidenter inte undersöks, vilket gör organisationen sårbar för attacker som går obemärkt förbi.
Många, om inte de flesta, av dessa aviseringar och incidenter följer återkommande mönster som kan hanteras av specifika och definierade uppsättningar av reparationsåtgärder.
En spelbok är en samling av dessa reparationsåtgärder som kan köras från Microsoft Sentinel som en rutin. En spelbok kan hjälpa dig att automatisera och orkestrera ditt hotsvar; Den kan köras manuellt eller ställas in så att den körs automatiskt som svar på specifika aviseringar eller incidenter, när den utlöses av en analysregel eller en automatiseringsregel.
Om till exempel ett konto och en dator komprometteras kan en spelbok isolera datorn från nätverket och blockera kontot när SOC-teamet meddelas om incidenten.
Spelböcker kan användas i den prenumeration som de tillhör, men på fliken Spelböcker (på Automation-bladet) visas alla spelböcker som är tillgängliga för alla valda prenumerationer.
Spelboksmallar
Viktigt
Spelboksmallar finns för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.
En spelboksmall är ett förbyggt, testat och färdigt arbetsflöde som kan anpassas efter dina behov. Mallar kan också fungera som referens för bästa praxis när du utvecklar spelböcker från grunden eller som inspiration för nya automatiseringsscenarier.
Spelboksmallar är inte aktiva spelböcker själva förrän du skapar en spelbok (en redigerbar kopia av mallen) från dem.
Du kan hämta spelboksmallar från följande källor:
På fliken Med mallar för spelböcker (under Automation) visas de ledande scenarier som har bidragit från Microsoft Sentinel-communityn. Flera aktiva spelböcker kan skapas från samma mall.
När en ny version av mallen publiceras märks aktiva spelböcker som skapats från mallen (på fliken Spelböcker) med ett meddelande om att en uppdatering är tillgänglig.
Spelboksmallar kan också hämtas som en del av en Microsoft Sentinel-lösning i kontexten för en specifik produkt. Distributionen av lösningen skapar aktiva spelböcker.
Microsoft Sentinel-GitHub innehåller många spelboksmallar. De kan distribueras till en Azure-prenumeration genom att välja knappen Distribuera till Azure.
Tekniskt sett är en spelboksmall en ARM-mall som består av flera resurser: ett Azure Logic Apps arbetsflöde och API-anslutningar för varje anslutning som ingår.
Azure Logic Apps grundläggande begrepp
Spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och dirigera uppgifter och arbetsflöden i olika system i hela företaget. Det innebär att spelböcker kan dra nytta av kraften och anpassningsbarheten hos Logic Apps inbyggda mallar.
Anteckning
Eftersom Azure Logic Apps är en separat resurs kan ytterligare avgifter tillkomma. Besök sidan Azure Logic Apps för mer information.
Azure Logic Apps kommunicerar med andra system och tjänster med hjälp av anslutningsappar. Följande är en kort förklaring av anslutningsappar och några av deras viktiga attribut:
Hanterad anslutningsapp: En uppsättning åtgärder och utlösare som omsluter API-anrop till en viss produkt eller tjänst. Azure Logic Apps erbjuder hundratals anslutningsappar för att kommunicera med både Microsoft och andra Microsoft-tjänster.
Anpassad anslutningsapp: Du kanske vill kommunicera med tjänster som inte är tillgängliga som färdiga anslutningsappar. Anpassade anslutningsappar åtgärdar detta behov genom att låta dig skapa (och till och med dela) en anslutningsapp och definiera egna utlösare och åtgärder.
Microsoft Sentinel Connector: Använd Microsoft Sentinel-anslutningsappen för att skapa spelböcker som interagerar med Microsoft Sentinel.
Utlösa: En anslutningskomponent som startar en spelbok. Den definierar det schema som spelboken förväntar sig att ta emot när den utlöses. Microsoft Sentinel-anslutningsappen har för närvarande två utlösare:
Aviseringsutlösare:spelboken tar emot aviseringen som indata.
Incidentutlösare:spelboken tar emot incidenten som indata, tillsammans med alla dess inkluderade aviseringar och entiteter.
Viktigt
Incidentutlösarfunktionen för spelböcker är för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.
Åtgärder: Åtgärder är alla steg som sker efter utlösaren. De kan ordnas sekventiellt, parallellt eller i en matris med komplexa villkor.
Dynamiska fält: Tillfälliga fält, som bestäms av utdataschemat för utlösare och åtgärder och som fylls i av deras faktiska utdata, som kan användas i de åtgärder som följer.
Behörigheter som krävs
För att ge secOps-teamet möjlighet att använda Logic Apps för SOAR-åtgärder (Security Orchestration, Automation och Response), d.v.s. för att skapa och köra spelböcker, kan du i Microsoft Sentinel tilldela Azure-roller, antingen till specifika medlemmar i ditt säkerhetsdriftsteam eller till hela teamet. Följande beskriver de olika tillgängliga rollerna och de uppgifter som de ska tilldelas:
Azure-roller för Logic Apps
- Med Logic App-deltagare kan du hantera logikappar och köra spelböcker, men du kan inte ändra åtkomsten till dem (för det behöver du rollen Ägare).
- Med Logic App Operator kan du läsa, aktivera och inaktivera logikappar, men du kan inte redigera eller uppdatera dem.
Azure-roller för Sentinel
- Med rollen Microsoft Sentinel-deltagare kan du koppla en spelbok till en analysregel.
- Med Microsoft Sentinel Responder-rollen kan du köra en spelbok manuellt.
- Microsoft Sentinel Automation-deltagare tillåter automatiseringsregler för att köra spelböcker. Det används inte i något annat syfte.
Läs mer
Steg för att skapa en spelbok
Koppla spelboken till en automationsregel eller en analysregel, eller kör manuellt när det behövs.
Användningsfall för spelböcker
Plattformen Azure Logic Apps erbjuder hundratals åtgärder och utlösare, så nästan alla automatiseringsscenarion kan skapas. Microsoft Sentinel rekommenderar att du börjar med följande SOC-scenarier:
Berikande
Samla in data och koppla dem till incidenten för att kunna fatta smartare beslut.
Exempel:
En Microsoft Sentinel-incident skapades från en avisering av en analysregel som genererar IP-adressentiteter.
Incidenten utlöser en automatiseringsregel som kör en spelbok med följande steg:
Börja när en ny Microsoft Sentinel-incident skapas. De entiteter som representeras i incidenten lagras i incidentutlösarens dynamiska fält.
För varje IP-adress frågar du en extern hotinformationsprovider, till exempel Virus Total, för att hämta mer data.
Lägg till returnerade data och insikter som kommentarer om incidenten.
Dubbelriktad synkronisering
Spelböcker kan användas för att synkronisera dina Microsoft Sentinel-incidenter med andra biljettsystem.
Exempel:
Skapa en automatiseringsregel för att skapa alla incidenter och bifoga en spelbok som öppnar ett ärende i ServiceNow:
Börja när en ny Microsoft Sentinel-incident skapas.
Skapa en ny biljett i ServiceNow.
Inkludera incidentnamnet, viktiga fält och en URL till Microsoft Sentinel-incidenten för enkel pivotering i biljetten.
Orkestrering
Använd SOC-chattplattformen för att bättre kontrollera incidentkön.
Exempel:
En Microsoft Sentinel-incident skapades från en avisering av en analysregel som genererar entiteter för användarnamn och IP-adresser.
Incidenten utlöser en automatiseringsregel som kör en spelbok med följande steg:
Börja när en ny Microsoft Sentinel-incident skapas.
Skicka ett meddelande till din säkerhetsdriftskanal i Microsoft Teams eller Slack för att se till att dina säkerhetsanalytiker är medvetna om incidenten.
Skicka all information i aviseringen via e-post till din nätverksadministratör och säkerhetsadministratör. E-postmeddelandet innehåller alternativknapparna Blockera och Ignorera användare.
Vänta tills ett svar tas emot från administratörerna och fortsätt sedan att köra.
Om administratörerna har valt Blockera skickar du ett kommando till brandväggen för att blockera IP-adressen i aviseringen och en annan till Azure AD för att inaktivera användaren.
Svarsåtgärder
Svara omedelbart på hot med minimala mänskliga beroenden.
Två exempel:
Exempel 1: Svara på en analysregel som anger att en komprometterad användare har identifierats av Azure AD Identity Protection:
Starta när en ny Microsoft Sentinel-incident skapas.
För varje användarentitet i incidenten som misstänkts vara komprometterad:
Skicka ett Teams till användaren och begär bekräftelse på att användaren vidtog den misstänkta åtgärden.
Kontrollera med Azure AD Identity Protection att bekräfta användarens status som komprometterad. Azure AD Identity Protection användaren som riskabel och tillämpar alla tvingande policyer som redan har konfigurerats – till exempel för att kräva att användaren använder MFA vid nästa inloggning.
Anteckning
Spelboken initierar inte någon tvingande åtgärd för användaren och initierar inte heller någon konfiguration av tvingande princip. Den säger bara Azure AD Identity Protection att tillämpa eventuella redan definierade principer efter behov. Tvingande är helt beroende av lämpliga principer som definieras i Azure AD Identity Protection.
Exempel 2: Svara på en analysregel som anger att en komprometterad dator har identifierats av Microsoft Defender för slutpunkt:
Starta när en ny Microsoft Sentinel-incident skapas.
Använd åtgärden Entiteter – Hämta värdar i Microsoft Sentinel för att parsa de misstänkta datorer som ingår i incidententiteterna.
Utfärda ett kommando till Microsoft Defender för slutpunkt för att isolera datorerna i aviseringen.
Så här kör du en spelbok
Spelböcker kan köras manuellt eller automatiskt.
Att köra dem manuellt innebär att när du får en avisering kan du välja att köra en spelbok på begäran som svar på den valda aviseringen. För närvarande stöds den här funktionen endast för aviseringar, inte för incidenter.
Att köra dem automatiskt innebär att ange dem som ett automatiserat svar i en analysregel (för aviseringar) eller som en åtgärd i en automatiseringsregel (för incidenter). Läs mer om automatiseringsregler.
Ange ett automatiserat svar
Säkerhetsteamen kan avsevärt minska sin arbetsbelastning genom att helt automatisera rutinsvaren på återkommande typer av incidenter och aviseringar, så att du kan koncentrera dig mer på unika incidenter och aviseringar, analysera mönster, hotjakt med mera.
Att ställa in automatiserat svar innebär att varje gång en analysregel utlöses, kommer regeln, förutom att skapa en avisering, att köra en spelbok som tar emot som indata för aviseringen som skapats av regeln.
Om aviseringen skapar en incident utlöser incidenten en automatiseringsregel som i sin tur kan köra en spelbok som tar emot som indata för incidenten som skapats av aviseringen.
Automatiserat svar vid skapande av aviseringar
För spelböcker som utlöses när aviseringar skapas och får aviseringar som indata (deras första steg är "När en Microsoft Sentinel-avisering utlöses") kopplar du spelboken till en analysregel:
Redigera analysregeln som genererar den avisering som du vill definiera ett automatiserat svar för.
Under Aviseringsautomatisering på fliken Automatiserat svar väljer du den spelbok eller de spelböcker som den här analysregeln utlöses när en avisering skapas.
Automatiserat svar vid skapande av incidenter
För spelböcker som utlöses när incidenter skapas och tar emot incidenter som indata (deras första steg är "När en Microsoft Sentinel-incident utlöses"), skapar du en automatiseringsregel och definierar en Run playbook-åtgärd i den. Detta kan göras på två sätt:
Redigera analysregeln som genererar incidenten som du vill definiera ett automatiserat svar för. Under Incidentautomatisering på fliken Automatiserat svar skapar du en automatiseringsregel. Detta skapar endast ett automatiserat svar för den här analysregeln.
På fliken Automatiseringsregler på Automation-bladet skapar du en ny automatiseringsregel och anger lämpliga villkor och önskade åtgärder. Den här automatiseringsregeln tillämpas på alla analysregelar som uppfyller de angivna villkoren.
Anteckning
Microsoft Sentinel-automatiseringsregler kräver behörighet att köra spelböcker.
För att köra en spelbok från en automationsregel använder Microsoft Sentinel ett tjänstkonto som har behörighet att göra det. Användningen av det här kontot (till skillnad från ditt användarkonto) ökar säkerhetsnivån för tjänsten och gör det möjligt för AUTOMATION-regel-API:et att stödja CI/CD-användningsfall.
Det här kontot måste beviljas explicita behörigheter (i form av rollen Microsoft Sentinel Automation-deltagare) för den resursgrupp där spelboken finns. Då kan alla automatiseringsregeln köra valfri spelbok i den resursgruppen.
När du lägger till åtgärden run playbook i en automatiseringsregel visas en listrutan med spelböcker för ditt val. Spelböcker som Microsoft Sentinel inte har behörighet till visas som otillgängliga ("nedtonade"). Du kan bevilja behörighet till Microsoft Sentinel på plats genom att välja länken Hantera spelboksbehörigheter.
I ett scenario med flera innehavare(Lighthouse)måste du definiera behörigheterna för den klientorganisation där spelboken finns, även om automationsregeln som anropar spelboken finns i en annan klientorganisation. För att göra det måste du ha ägarbehörighet för spelbokens resursgrupp.
Det finns ett unikt scenario för en hanterad säkerhetstjänstleverantör (MSSP), där en tjänstleverantör, när den är inloggad på sin egen klient, skapar en automatiseringsregel på en kunds arbetsyta med hjälp av Azure Lighthouse. Den här automatiseringsregeln anropar sedan en spelbok som tillhör kundens klientorganisation. I det här fallet måste Microsoft Sentinel beviljas behörigheter för båda klienterna_. I kundklientorganisationen beviljar du dem i panelen _ Hantera spelboksbehörigheter, precis som i det vanliga scenariot med flera innehavare. Om du vill bevilja relevanta behörigheter i klientorganisationen för tjänstprovidern måste du lägga till ytterligare en Azure Lighthouse-delegering som ger åtkomstbehörighet till Azure Security Insights-appen, med rollen Microsoft Sentinel Automation-deltagare, i resursgruppen där spelboken finns. Lär dig hur du lägger till den här delegeringen.
Se de fullständiga instruktionerna för att skapa automatiseringsregler.
Köra en spelbok manuellt med en avisering
Manuell utlösning är tillgänglig från Microsoft Sentinel-portalen på följande blad:
I vyn Incidenter väljer du en specifik incident, öppnar fliken Aviseringar och väljer en avisering.
I Undersökning väljer du en specifik avisering.
Klicka på Visa spelböcker för den valda aviseringen. Du får en lista över alla spelböcker som börjar med en När en Microsoft Sentinel-avisering utlöses och som du har åtkomst till.
Klicka på Kör på raden i en specifik spelbok för att utlösa den.
Välj fliken Körningar för att visa en lista över alla gånger någon spelbok har körts på den här aviseringen. Det kan ta några sekunder innan en just-completed-körning visas i den här listan.
Om du klickar på en specifik körning öppnas den fullständiga körningsloggen Logic Apps.
Köra en spelbok manuellt på en incident
Stöds inte ännu.
Hantera dina spelböcker
På fliken Spelböcker visas en lista över alla spelböcker som du har åtkomst till, filtrerade efter de prenumerationer som för närvarande visas i Azure. Prenumerationsfiltret är tillgängligt från menyn Katalog + prenumeration i det globala sidhuvudet.
Om du klickar på ett spelboksnamn kommer du till spelbokens huvudsida i Logic Apps. Kolumnen Status anger om den är aktiverad eller inaktiverad.
Typ av utlösare representerar Logic Apps som startar spelboken.
| Typ av utlösare | Anger komponenttyper i spelboken |
|---|---|
| Microsoft Sentinel-incident/avisering | Spelboken har startats med en av Sentinel-utlösarna (avisering, incident) |
| Använda Microsoft Sentinel-åtgärd | Spelboken startas med en icke-Sentinel-utlösare men använder en Microsoft Sentinel-åtgärd |
| Övrigt | Spelboken innehåller inte några Sentinel-komponenter |
| Har inte initierats | Spelboken har skapats men innehåller inga komponenter (utlösare eller åtgärder). |
På spelbokens logikappsida kan du se mer information om spelboken, inklusive en logg över alla gånger den har körts och resultatet (lyckades eller misslyckades och annan information). Du kan också ange Logic Apps Designer och redigera spelboken direkt om du har rätt behörigheter.
API-anslutningar
API-anslutningar används för att ansluta Logic Apps till andra tjänster. Varje gång en ny autentisering Logic Apps en anslutningsapp skapas en ny resurs av typen API-anslutning och innehåller den information som tillhandahålls när åtkomsten till tjänsten konfigureras.
Om du vill se alla API-anslutningar anger du API-anslutningar i rubriksökrutan i Azure Portal. Observera de intressanta kolumnerna:
- Visningsnamn – det "egna" namn som du ger anslutningen varje gång du skapar ett.
- Status – anger anslutningsstatus: fel, ansluten.
- Resursgrupp – API-anslutningar skapas i resursgruppen för spelboksresursen (Logic Apps).
Ett annat sätt att visa API-anslutningar är att gå till bladet Alla resurser och filtrera det efter typ av API-anslutning. På så sätt kan du välja, tagga och ta bort flera anslutningar samtidigt.
Om du vill ändra auktoriseringen för en befintlig anslutning anger du anslutningsresursen och väljer Redigera API-anslutning.
Rekommenderade spelböcker
Följande rekommenderade spelböcker och andra liknande spelböcker är tillgängliga för dig i Microsoft Sentinel-GitHub databasen:
Meddelandespelböcker utlöses när en avisering eller incident skapas och skickar ett meddelande till ett konfigurerat mål:
Blockerande spelböcker utlöses när en avisering eller incident skapas, samlar in entitetsinformation som kontot, IP-adressen och värden och blockerar dem från ytterligare åtgärder:
Skapa, uppdatera eller stänga spelböcker kan skapa, uppdatera eller stänga incidenter i Microsoft Sentinel, Microsoft 365 säkerhetstjänster eller andra biljettsystem: