Otomasyon kurallarıyla Microsoft Sentinel 'de olay işlemeyi otomatikleştirme
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Bu makalede, Microsoft Sentinel Automation kurallarının ne olduğu ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) işlemlerini uygulamak için nasıl kullanılacağı açıklanır.
Önemli
- Otomasyon kuralları özelliği şu anda önizlemededir. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.
Otomasyon kuralları nelerdir?
Otomasyon kuralları, Microsoft Sentinel 'de yeni bir kavramdır. Bu özellik, kullanıcıların olay işleme otomasyonunu merkezi olarak yönetmesine olanak tanır. Otomasyon kuralları, bir seferde birden fazla analiz kuralına yönelik yanıtları otomatik hale getirmenize, el ile etiketleme, atayabilir veya kapatabilir ve bu da yürütülen eylemlerin sırasını kontrol etmenizi sağlar ve bunları çalıştırabilirsiniz. Otomasyon kuralları, Microsoft Sentinel 'de Otomasyon kullanımını kolaylaştırır ve olay düzenleme işlemleriniz için karmaşık iş akışlarını basitleştirmeye olanak sağlar.
Bileşenler
Otomasyon kuralları çeşitli bileşenlerden oluşur:
Tetikleyici
Otomasyon kuralları bir olay oluşturma tarafından tetiklenir.
Gözden geçirmek için – olaylar, Microsoft Sentinel 'de yerleşik analitik kurallarla tehditleri algılamamızbölümünde açıklandığı gibi çeşitli türlerde olduğu gibi analiz kuralları tarafından uyarılardan oluşturulur.
Koşullar
Karmaşık koşullar kümesi, eylemlerin (aşağıya bakın) ne zaman çalışacağını yönetmek için tanımlanabilir. Bu koşullar genellikle olayların ve varlıklarındaki özniteliklerin durumlarına veya değerlerine dayanır ve AND / OR / NOT / CONTAINS işleçler içerebilir.
Eylemler
Eylemler, koşullar (yukarıya bakın) karşılandığında çalıştırılacak şekilde tanımlanabilir. Bir kuralda birçok eylem tanımlayabilir ve bunların çalıştırılacağı sırayı seçebilirsiniz (aşağıya bakın). Aşağıdaki eylemler, bir PlayBook 'ın gelişmiş işlevselliğinegerek kalmadan Otomasyon kuralları kullanılarak tanımlanabilir:
Bir olayın durumunu değiştirerek iş akışınızı güncel tutun.
- "Kapalı" olarak değiştirilirken, kapatma nedenini belirtme ve açıklama ekleme. Bu, performans ve verimliliğinden haberdar olmanıza ve Hatalı pozitifsonuçları azaltmak için ince ayar yapmanıza yardımcı olur.
Bir olayın önem derecesini değiştirme – olayla ilgili varlık, devamsızlık, değer veya varlıkların özniteliklerine göre yeniden önceliklendirebilir ve yeniden önceliklendirmenizi sağlayabilirsiniz.
Bir sahibe bir olay atama – Bu, olay türlerini bunlarla veya en uygun personele en uygun personele yönlendirmenize yardımcı olur.
Bir olaya etiket ekleme – Bu, olayları konuya, saldırgana veya diğer tüm ortak paydaya göre sınıflandırmak için yararlıdır.
Ayrıca, dış sistemleri içeren herhangi bir de dahil olmak üzere daha karmaşık yanıt eylemleri gerçekleştirmek için bir PlayBook çalıştırmayayönelik bir eylem tanımlayabilirsiniz. Yalnızca olay tetikleyicisi tarafından etkinleştirilen PlayBook 'ları 'lar Otomasyon kurallarında kullanılabilir. Birden çok PlayBook veya PlayBook 'lar ile diğer eylemlerin birleşimlerini ve bunların çalıştırılacağı sırayı dahil etmek için bir eylem tanımlayabilirsiniz.
Son kullanma tarihi
Bir Otomasyon kuralında bir sona erme tarihi tanımlayabilirsiniz. Bu tarihten sonra kural devre dışı bırakılacak. Bu, penme testi gibi planlanmış, zamana sınırlı etkinliklerin (yani kapatan) "gürültü" olaylarını işlemek için yararlıdır.
Sipariş
Otomasyon kurallarının çalışacağı sırayı tanımlayabilirsiniz. Daha sonraki Otomasyon kuralları, önceki Otomasyon kuralları tarafından işlem yapıldıktan sonra olay koşullarını değerlendirerek duruma göre değerlendirir.
Örneğin, "Ilk Otomasyon kuralı" bir olayın önem derecesini orta ile düşük olarak değiştirdiyseniz ve "Ikinci Otomasyon kuralı" yalnızca orta veya daha yüksek önem derecesine sahip olaylar üzerinde çalışmak üzere tanımlanmışsa, bu olay üzerinde çalışmaz.
Yaygın kullanım örnekleri ve senaryolar
Olay tarafından tetiklenen Otomasyon
Bu aşamada, yalnızca uyarılar PlayBook 'lar kullanılarak otomatik bir yanıt tetikleyebdir. Otomasyon kuralları sayesinde, olaylar artık bir olay oluşturulduğunda yeni olay tetiklenen PlayBook'lar (özel izinler gereklidir) içerebilen otomatik yanıt zincirlerini tetikleyebilirler.
Microsoft sağlayıcıları için PlayBook 'ları tetikleyin
Otomasyon kuralları, bu kuralları uyarılardan oluşturulan olaylara uygulayarak Microsoft güvenlik uyarılarını işlemeyi otomatikleştirmek için bir yol sağlar. Otomasyon kuralları, PlayBook 'ları çağırabilir (özel izinler gereklidir) ve uyarılar ve varlıklar dahil olmak üzere tüm ayrıntılarla olayları bunlara geçirebilir. Genel olarak, Microsoft Sentinel en iyi yöntemler, güvenlik işlemleri için odak noktası olarak olaylar kuyruğunu kullanarak dikte ediyor.
Microsoft güvenlik uyarıları şunları içerir:
- Microsoft Defender for Cloud Apps
- Azure AD Kimlik Koruması
- Bulut için Microsoft Defender
- IoT için Defender (eski adıyla IoT için Azure Güvenlik Merkezi)
- Office 365 için Microsoft Defender (eski adıyla Office 365 ATP)
- Uç nokta için Microsoft Defender (eski adıyla MDATP)
- Kimlik için Microsoft Defender (eski adıyla Azure ATP)
Tek bir kuralda birden çok sıralı PlayBook/eylem
Artık tek bir Otomasyon kuralında eylemlerin ve PlayBook yürütmesinin sırası üzerinde neredeyse tam denetime sahip olabilirsiniz. Ayrıca, Otomasyon kurallarının yürütme sırasını da kontrol edersiniz. Bu, PlayBook 'ları büyük ölçüde basitleştirmenize, bunları tek bir görevde veya küçük ve kolay bir görev dizisine düşürmenize ve bu küçük PlayBook 'ları farklı Otomasyon kurallarında farklı bileşimlerde birleştirmenize olanak tanır.
Tek seferde birden çok analiz kuralına bir PlayBook atama
Tüm analiz kurallarınız üzerinde otomatik hale getirmek istediğiniz bir göreviniz varsa (örneğin, bir dış anahtar sisteminde destek bileti oluşturma), tüm analiz kurallarınızın herhangi birine veya tümüne, bir görüntüsündeki tüm kurallar dahil olmak üzere tek bir PlayBook uygulayabilirsiniz. Bu, basit ancak yinelenen bakım ve temizlik görevlerini çok daha az bir şekilde sağlar.
Olayların otomatik olarak atanması
Olayları doğru Sahibe otomatik olarak atayabilirsiniz. SOC ' in belirli bir platformda uzmanlaşmış bir analisti varsa, Bu platformla ilgili tüm olaylar otomatik olarak bu analiste atanabilir.
Olay gizleme
PlayBook 'ları kullanmadan, bilinen yanlış/zararsız pozitif sonuçlar olan olayları otomatik olarak çözümlemek için kurallarını kullanabilirsiniz. Örneğin, sızma testleri çalıştırırken, zamanlanmış bakım veya yükseltmeler yaparken ya da Otomasyon yordamlarını test ederken, SOC 'in yok saymak istediği birçok hatalı pozitif olay oluşturulabilir. Zaman sınırlı bir Otomasyon kuralı, oluşturulduklarında bu olayları otomatik olarak kapatabilir ve bunların neslin nedenine yönelik bir tanımlayıcı ile etiketleniyor.
Zamana sınırlı Otomasyon
Otomasyon kurallarınız için sona erme tarihleri ekleyebilirsiniz. Zamana sınırlı Otomasyonu sağlayan olay göstermeme dışında bir durum olabilir. Belirli bir zaman çerçevesi için belirli bir olay türünü belirli bir kullanıcıya (örneğin, bir Intern veya danışman) atamak isteyebilirsiniz. Zaman çerçevesi önceden biliniyorsa, kuralın bunun sonunda devre dışı kalmasına gerek kalmadan, kuralı yeniden devre dışı bırakabilirsiniz.
Olayları otomatik etiketle
İstediğiniz ölçütlere göre gruplamak veya sınıflandırmak için olaylara serbest metin etiketleri otomatik olarak ekleyebilirsiniz.
Otomasyon kuralları yürütme
Otomasyon kuralları, belirlediğiniz sıraya göre sıralı olarak çalıştırılır. Her Otomasyon kuralı, önceki bir çalıştırma çalışmasını tamamladıktan sonra yürütülür. Otomasyon kuralında, tüm eylemler tanımlandıkları sırada sırayla çalıştırılır.
Otomasyon kuralında bulunan PlayBook eylemleri, aşağıdaki ölçütlere göre bazı koşullarda farklı şekilde değerlendirilemeyebilir:
| PlayBook çalışma zamanı | Otomasyon kuralı sonraki eyleme ilerler... |
|---|---|
| Bir saniyeden az | PlayBook tamamlandıktan hemen sonra |
| İki dakikadan kısa | PlayBook çalışmaya başladıktan en fazla iki dakika önce Ancak PlayBook tamamlandıktan sonra 10 saniyeden fazla süre sonra |
| İki dakikadan uzun | PlayBook çalışmaya başladıktan iki dakika sonra, tamamlanıp tamamlanmadığına bakılmaksızın |
PlayBook 'ları çalıştırmak için Otomasyon kuralları izinleri
Bir Microsoft Sentinel Automation kuralı bir PlayBook çalıştırdığında, bu eylem için özel olarak yetkilendirilmiş özel bir Microsoft Sentinel hizmet hesabı kullanır. Bu hesabın kullanımı (Kullanıcı hesabınıza karşılık olarak), hizmetin güvenlik düzeyini artırır.
Bir Otomasyon kuralının bir PlayBook çalıştırması için, bu hesaba PlayBook 'un bulunduğu kaynak grubuna açık izinler verilmelidir. Bu noktada, herhangi bir Otomasyon kuralı bu kaynak grubunda herhangi bir PlayBook 'u çalıştırabilecektir.
Bir Otomasyon kuralı yapılandırırken ve PlayBook Çalıştır eylemi eklerken, PlayBook 'lar açılır listesi görüntülenir. Microsoft Sentinel 'in izinleri olmayan PlayBook 'lar, kullanılamaz ("gri") olarak gösterilir. PlayBook Izinlerini Yönet bağlantısını seçerek, leke üzerinde playbooks ' kaynak gruplarına Microsoft Sentinel izni verebilirsiniz.
Çok kiracılı bir mimarideki izinler
Otomasyon kuralları çoklu çalışma alanını ve çok kiracılı dağıtımları tam olarak destekler ( Azure athousekullanarak çok kiracılı olması durumunda).
Bu nedenle, Microsoft Sentinel dağıtımınız çok kiracılı bir mimari kullanıyorsa, tek bir Kiracıdaki bir Otomasyon kuralına farklı bir kiracıda bulunan bir PlayBook çalıştıralım, ancak oynatma için Sentinel izinlerinin, Otomasyon kurallarının tanımlandığı kiracıda değil, PlayBook 'ları 'ın bulunduğu kiracıda tanımlanması gerekir.
Bir hizmet sağlayıcı kiracısı bir müşteri kiracısında Microsoft Sentinel çalışma alanını yönettiği bir yönetilen güvenlik hizmeti sağlayıcısı (MSSP) söz konusu olduğunda, dikkat etmeniz gereken iki özel senaryo vardır:
Müşteri kiracısında oluşturulan bir Otomasyon kuralı, hizmet sağlayıcı kiracısında bulunan bir PlayBook çalıştıracak şekilde yapılandırılmıştır.
Bu yaklaşım, genellikle PlayBook 'ta fikri mülkiyet özelliğini korumak için kullanılır. Bu senaryonun çalışması için bir özel şey gerekmez. Otomasyon kuralınızda bir PlayBook eylemi tanımlarken ve PlayBook 'un bulunduğu ilgili kaynak grubunda Microsoft Sentinel izinleri verdiğiniz aşamaya geldiğinizde ( PlayBook izinleri panelini kullanarak), aralarından seçim yapabileceğiniz hizmet sağlayıcısı kiracıya ait kaynak gruplarını görürsünüz. Burada özetlenen işlemin tamamına bakın.
Müşteri çalışma alanında oluşturulan (hizmet sağlayıcı kiracısında oturum açılmış sırada) bir Otomasyon kuralı, müşteri kiracısında bulunan bir PlayBook çalıştıracak şekilde yapılandırılmıştır.
Bu yapılandırma, fikri mülkiyet özelliğini korumaya gerek olmadığında kullanılır. Bu senaryonun çalışması için, PlayBook 'un her iki kiracıda _. Microsoft Sentinel 'e verilmesi için gerekli izinlere sahip olması gerekir. Müşteri kiracısında, yukarıdaki senaryoda olduğu gibi, bu kişilere _,PlayBook izinleri* panelinde izin vermiş olursunuz. hizmet sağlayıcısı kiracısında ilgili izinleri vermek için, playbook 'un bulunduğu kaynak grubundaki Microsoft Sentinel Automation katılımcısı rolüyle azure güvenlik Analizler uygulamasına erişim hakları veren ek bir azure septhouse temsili eklemeniz gerekir.
Senaryo şuna benzer:
Bunu ayarlamaya yönelik yönergelerinizi inceleyin.
Otomasyon kuralları oluşturma ve yönetme
Özel gereksiniminize ve kullanım durumunuza bağlı olarak, Microsoft Sentinel deneyiminde farklı noktalarda Otomasyon kuralları oluşturabilir ve bunları yönetebilirsiniz.
Otomasyon dikey penceresi
Otomasyon kuralları, yeni Otomasyon dikey penceresinde ( PlayBook 'ları dikey penceresinden), Otomasyon kuralları sekmesi altında merkezi olarak yönetilebilir. (artık , PlayBook 'lar sekmesinin altında PlayBook 'ları 'ları bu dikey pencerede da yönetebilirsiniz.) Buradan yeni otomasyon kuralları oluşturabilir ve var olanları düzenleyebilirsiniz. Ayrıca, yürütme sırasını değiştirmek için Otomasyon kurallarını sürükleyebilir ve bunları etkinleştirebilir veya devre dışı bırakabilirsiniz.
Otomasyon dikey penceresinde, çalışma alanında tanımlanan tüm kuralları (etkin/devre dışı) ve hangi analiz kurallarını uygulandığını görürsünüz.
Birçok analiz kuralına uygulanacak bir Otomasyon kuralına ihtiyacınız olduğunda, bunu doğrudan Otomasyon dikey penceresinde oluşturun. Üstteki menüden Oluştur ' a tıklayın ve yeni Otomasyon kuralı oluştur bölmesini açan Yeni kural ekle' ye tıklayın. Buradan, kuralı yapılandırma konusunda kapsamlı bir esneklik elde edersiniz: Bu kuralı herhangi bir analiz kuralına uygulayabilir (ileride bu dahil) ve en geniş koşul ve eylem aralığını tanımlayabilirsiniz.
Analiz Kuralı Sihirbazı
Analiz kuralı sihirbazının Otomatik Yanıt sekmesinde, sihirbazda oluşturulan veya düzenlenen belirli analiz kuralına uygulanan Otomasyon kurallarını görüntüleyebilir, yönetebilir ve oluşturabilirsiniz.
Analiz dikey penceresindeki üst menüden Oluştur ve kural türlerinden biri (Zamanlanmış sorgu kuralı veya Microsoft olay oluşturma kuralı) ' ne tıkladığınızda veya var olan bir analiz kuralını seçip Düzenle' ye tıkladığınızda, Kural Sihirbazı ' nı açarsınız. Otomatik Yanıt sekmesini seçtiğinizde, olay Otomasyonu adlı bir bölüm görürsünüz. Bu, şu anda bu kurala uygulanan Otomasyon kurallarının görüntülenmesini sağlar. Düzenlenecek varolan bir Otomasyon kuralını seçebilir veya yeni bir tane oluşturmak için Yeni Ekle ' ye tıklayabilirsiniz.
Buradan Otomasyon kuralı oluşturduğunuzda, yeni otomasyon kuralı oluştur paneli analiz kuralı koşulunu kullanılamaz olarak gösterir, çünkü bu kural yalnızca sihirbazda düzenlemekte olduğunuz analiz kuralına uygulanabilir olarak ayarlanmıştır. Diğer tüm yapılandırma seçenekleri hala sizin için kullanılabilir.
Olaylar dikey penceresi
Ayrıca, tek bir yinelenen olaya yanıt vermek için Olaylar dikey penceresinden bir Otomasyon kuralı oluşturabilirsiniz. Bu, "gürültülü" olayları otomatik olarak kapatmak için bir gizleme kuralı oluştururken kullanışlıdır. Kuyruktan bir olay seçin ve üst menüden Otomasyon kuralı oluştur ' a tıklayın.
Yeni otomasyon kuralı oluştur panelinin tüm alanları olaydan alınan değerlerle doldurduğuna dikkat edin. Kuralı, olayla aynı ada adlandırır, olayı oluşturan analiz kuralına uygular ve kuralın koşulları olarak olaydaki tüm kullanılabilir varlıkları kullanır. Ayrıca, varsayılan olarak bir gizleme (kapatma) eylemi önerir ve kural için bir sona erme tarihi önerir. Koşullar ve eylemler ekleyebilir veya kaldırabilir ve sona erme tarihini istediğiniz gibi değiştirebilirsiniz.
Otomasyon kuralını denetleme etkinliği
Belirli bir olaya ne olduğunu ve belirli bir Otomasyon kuralını kendisi için ne olduğunu bilmek isteyebilirsiniz. Günlükler dikey penceresinde securityıncident tablosunda kullanabileceğiniz bir olay Chronicles tam kaydınız vardır. Tüm otomasyon kuralı etkinliğinizi görmek için aşağıdaki sorguyu kullanın:
SecurityIncident
| where ModifiedBy contains "Automation"
Sonraki adımlar
Bu belgede, Microsoft Sentinel olayları kuyruğunu yönetmek ve bazı temel olay işleme otomasyonu uygulamak için Otomasyon kurallarını nasıl kullanacağınızı öğrendiniz.
- Gelişmiş otomasyon seçenekleri hakkında daha fazla bilgi edinmek için bkz. Microsoft Sentinel 'de PlayBook 'ları ile tehdit yanıtını otomatikleştirme.
- Otomasyon kuralları ve PlayBook 'ları uygulama konusunda yardım için bkz. öğretici: Microsoft Sentinel 'de tehdit yanıtlarını otomatikleştirmek için PlayBook 'Ları kullanma.