Otomasyon kurallarıyla Azure Sentinel olay işlemeyi otomatikleştirme

Bu makalede, Azure Sentinel otomasyon kurallarının ne olduğu ve güvenlik düzenleme, Otomasyon ve Yanıt (SOAR) işlemlerinizi uygulamak, SOC'nizin etkinliğini artırmak ve size zaman ve kaynak tasarrufu yapmak için nasıl kullanacağız açıklanmıştır.

Önemli

  • Otomasyon kuralları özelliği şu anda ÖNIZLE'dedir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Otomasyon kuralları nedir?

Otomasyon kuralları, yeni bir kavramdır Azure Sentinel. Bu özellik, kullanıcıların olay işleme otomasyonunu merkezi olarak yönetmelerini sağlar. Otomasyon kuralları, olaylara playbook'ları atamanın (yalnızca önceki uyarılara değil) yanı sıra, birden çok analiz kuralına yönelik yanıtları aynı anda otomatikleştirmenize, playbook'lara gerek kalmadan olayları otomatik olarak etiketlemenize, atamanızı veya kapatmanızı ve yürütülen eylemlerin sıralamalarını denetlemenize de olanak sağlar. Otomasyon kuralları, güvenlik olaylarında otomasyon Azure Sentinel kolaylaştırır ve olay düzenleme süreçleriniz için karmaşık iş akışlarını basitleştirmenize olanak sağlar.

Bileşenler

Otomasyon kuralları çeşitli bileşenlerden oluşur:

Tetikleyici

Otomasyon kuralları, bir olay oluşturularak tetiklenir.

Gözden geçirmek için – olaylar, Azure Sentinel'daki yerleşik analiz kurallarıyla tehditleri algılama öğreticisinde anlatılmıştır.

Koşullar

Eylemlerin ne zaman (aşağıya bakın) çalışması gerektiğini idare etmek için karmaşık koşullar kümesi tanımlanabilir. Bu koşullar genellikle olay özniteliklerinin ve varlıklarının durumlarını veya değerlerini temel almaktadır ve işleçleri AND / OR / NOT / CONTAINS içerebilir.

Eylemler

Koşullar karşılandığı zaman (yukarıya bakın) çalıştıracak eylemler tanımlanabilir. Bir kuralda birçok eylem tanımlayabilir ve çalıştıracakları sırayı seçebilirsiniz (aşağıya bakın). Aşağıdaki eylemler, playbook'un gelişmiş işlevselliğine gerek kalmadan otomasyon kuralları kullanılarak tanımlanabilir:

  • Bir olayın durumunu değiştirerek iş akışınızı güncel tutma.

    • "Kapalı" olarak değiştirerek kapatma nedenini belirtin ve bir açıklama eklersiniz. Bu, performansınızı ve etkinliğinizi takip edin ve hatalı pozitifleri azaltmak için ince ayarda yardımcı olur.
  • Bir olayın önem derecesini değiştirme: Olaya dahil olan varlıkların varlığına, yokluğuna, değerlerine veya özniteliklerine göre yeniden değerlendirebilirsiniz ve yeniden değerlendirebilirsiniz.

  • Bir olayı sahipe atama: Bu, olay türlerini, bu olaylarla başa baş etmek için en uygun personele veya en kullanılabilir personele yöneltmenize yardımcı olur.

  • Bir olay için etiket ekleme: Bu, olayları konuya, saldırgana veya diğer ortak paydalara göre sınıflandırmak için kullanışlıdır.

Ayrıca, dış sistemleri içerenler de dahil olmak üzeredaha karmaşık yanıt eylemleri yapmak için playbook'ları çalıştırmak üzere bir eylem tanımlayabilirsiniz. Otomasyon kurallarında yalnızca olay tetikleyicisi tarafından etkinleştirilen playbook'lar kullanılabilir. Birden çok playbook'ları ya da playbook'ların ve diğer eylemlerin birleşimlerini ve çalıştıracakları sırayı içerecek bir eylem tanımlayabilirsiniz.

Son kullanma tarihi

Otomasyon kuralında sona erme tarihi tanımlayabilirsiniz. Kural bu tarihten sonra devre dışı bırakılır. Bu, sızma testi gibi planlı, zaman sınırlı etkinliklerden kaynaklanan "gürültü" olaylarını işleme (kapatma) için kullanışlıdır.

Sipariş

Otomasyon kurallarının çalışma sırası tanımlayabilirsiniz. Daha sonra otomasyon kuralları, önceki otomasyon kuralları tarafından eyleme geçilen olay koşullarını durumuna göre değerlendirir.

Örneğin, "İlk Otomasyon Kuralı", bir olayın önem derecelerini Orta'dan Düşük'e değiştirdi ve "İkinci Otomasyon Kuralı", yalnızca Orta veya daha yüksek önem derecesine sahip olaylarda çalıştıracak şekilde tanımlanmışsa bu olay üzerinde çalışmaz.

Yaygın kullanım örnekleri ve senaryolar

Olayla tetiklenen otomasyon

Şimdiye kadar, playbook'lar aracılığıyla yalnızca uyarılar otomatik yanıt tetikleyene kadar. Otomasyon kurallarıyla, olaylar artık bir olay oluşturulduğunda yeni olay tarafından tetiklenen playbook'ları(özelizinler gereklidir) içeren otomatik yanıt zincirlerini tetikler.

Microsoft sağlayıcıları için playbook'ları tetikleme

Otomasyon kuralları, uyarılardan oluşturulan olaylara bu kuralları uygulayarak Microsoft güvenlik uyarılarının işlenmesini otomatikleştirmek için bir yol sağlar. Otomasyon kuralları playbook'larıçağırabilir(özel izinler gereklidir) ve uyarıları ve varlıkları da içeren tüm ayrıntılarıyla olayları onlara iletir. Genel olarak, Azure Sentinel güvenlik operasyonlarının odak noktası olarak olay kuyruğu kullanmayı en iyi yöntemler belirtir.

Microsoft güvenlik uyarıları aşağıdakileri içerir:

  • Microsoft Cloud App Security (MCAS)
  • Azure AD Kimlik Koruması
  • Azure Defender (ASC)
  • IoT için Defender (eski adı IoT için ASC)
  • Office 365 için Microsoft Defender (eski adıyla Office 365 ATP)
  • Uç nokta için Microsoft Defender (eski adıyla MDATP)
  • Kimlik için Microsoft Defender (eski adıyla Azure ATP)

Tek bir kuralda birden çok sıralı playbook/eylem

Artık tek bir otomasyon kuralında eylemlerin ve playbook'ların yürütülmesinin sırası üzerinde neredeyse eksiksiz bir denetime sahipsiniz. Otomasyon kurallarının yürütme sırası da sizin denetiminizdir. Bu, playbook'larınızı büyük ölçüde basitleştirmenize, bunları tek bir göreve veya küçük, basit bir görev dizisine azaltmanıza ve bu küçük playbook'ları farklı otomasyon kurallarında farklı bileşimlerde birleştirmenize olanak sağlar.

Aynı anda birden çok analiz kuralına bir playbook atama

Dış bilet sisteminde destek bileti oluşturma gibi tüm analiz kurallarınızı otomatikleştirmek istediğiniz bir göreviniz varsa, tek bir atışta gelecekteki kurallar da dahil olmak üzere analiz kurallarınıza tek bir playbook uygulayabilirsiniz. Bu, basit ama yinelenen bakım ve bakım görevlerini çok daha az kolaylaştırır.

Olayları otomatik atama

Olayları otomatik olarak doğru sahipe atabilirsiniz. SOC'nizin belirli bir platformda uzmanlaşmış bir analisti varsa, bu platformla ilgili tüm olaylar otomatik olarak bu analiste atanabilir.

Olay gizleme

Playbook'ları kullanmadan yanlış/zararsız pozitif olarak bilinen olayları otomatik olarak çözümlemek için kuralları kullanabilirsiniz. Örneğin sızma testleri, zamanlanmış bakım veya yükseltmeler yaparken veya otomasyon yordamlarını test etme sırasında SOC'nin yoksaymak istediği birçok hatalı pozitif olay oluşturulabilir. Zaman sınırlı bir otomasyon kuralı, oluşturulduklarında bu olayları otomatik olarak kapatırken, bunları oluşturma nedenlerinin bir tanımlayıcısıyla etiketler.

Sınırlı zaman otomasyonu

Otomasyon kurallarınız için sona erme tarihleri ekleme. Zaman sınırlı otomasyonu garanti altına alan olay gizleme dışında durumlar olabilir. Belirli bir zaman çerçevesi için belirli bir kullanıcıya (örneğin, bir doktor veya danışman) belirli bir olay türü atamak istiyor olabilir. Zaman çerçevesi önceden biliniyorsa, kuralın ilgi düzeyinin sonunda, bunu hatırlamak zorunda kalmadan devre dışı bırakılabilir.

Olayları otomatik olarak etiketleme

Olaylara otomatik olarak serbest metin etiketleri ekleyebilir veya bunları seçtiğiniz ölçütlere göre sınıflandırabilirsiniz.

Otomasyon kurallarını yürütme

Otomasyon kuralları, sizin belirleyip belirlemenize göre sıralı olarak çalıştırılmıştır. Her otomasyon kuralı, önceki çalıştırmayı bitirdikten sonra yürütülür. Bir otomasyon kuralında, tüm eylemler tanımlandığı sırayla sırayla işlenir.

Playbook eylemleri için playbook eyleminin başlangıcı ile listede bir sonraki eylem arasında iki dakikalık bir gecikme olur.

Playbook'ları çalıştırmak için otomasyon kuralları izinleri

Bir Azure Sentinel kuralı bir playbook çalıştırsa, bu eylem için özel Azure Sentinel özel bir Azure Sentinel hesabı kullanır. Bu hesabın kullanımı (kullanıcı hesabınız yerine) hizmetin güvenlik düzeyini artırır.

Bir otomasyon kuralının playbook çalıştırması için bu hesaba playbook'un bulunduğu kaynak grubuna açık izinler verilmesi gerekir. Bu noktada, herhangi bir otomasyon kuralı o kaynak grubunda herhangi bir playbook'ları çalıştırabilecektir.

Bir otomasyon kuralı yapılandırıyor ve bir playbook çalıştırma eylemi eklerken playbook'ların açılan listesi görüntülenir. Kullanıcı izinlerine Azure Sentinel playbook'lar kullanılamaz ("gri renkte") olarak gösterilir. Playbook Azure Sentinel yönet bağlantısını seçerek playbook'ların kaynak gruplarına erişim izni veebilirsiniz.

Çok kiracılı mimaride izinler

Otomasyon kuralları, çalışma alanları arası ve çok kiracılı dağıtımları tam olarak destekler (çok kiracılı dağıtımlar içinAzure Lighthouse).

Bu nedenle, Azure Sentinel dağıtımınız çok kiracılı bir mimari kullanıyorsa, bir kiracıda farklı bir kiracıda bulunan bir playbook'ta bir otomasyon kuralı çalıştırabilirsiniz, ancak Sentinel'in playbook'ları çalıştırma izinleri, otomasyon kurallarının tanımlandığı kiracıda değil playbook'ların bulunduğu kiracıda tanımlanmalıdır.

Bir hizmet sağlayıcısı kiracısı müşteri kiracısı içinde bir Azure Sentinel çalışma alanını yöneten Yönetilen Güvenlik Hizmeti Sağlayıcısı'nın (MSSP) belirli bir durumda, dikkat çekmenizi sağlamak için iki belirli senaryo vardır:

  • Müşteri kiracısı içinde oluşturulan bir otomasyon kuralı, hizmet sağlayıcısı kiracısı içinde bulunan playbook'ları çalıştıracak şekilde yapılandırılır.

    Bu yaklaşım normalde playbook'ta fikri mülkiyeti korumak için kullanılır. Bu senaryonun çalışması için özel bir şey gerekmez. Otomasyon kuralınıza bir playbook eylemi tanımlarken ve playbook'un bulunduğu ilgili kaynak grubunda Azure Sentinel izinleri vermek için (Playbook izinlerini yönet panelini kullanarak) aşamaya varacaksanız, hizmet sağlayıcısı kiracısına ait kaynak gruplarını aralarından seçim gerçekleştirebilirsiniz. Burada özetlenen tüm işleme bakın.

  • Müşteri çalışma alanında oluşturulan bir otomasyon kuralı (hizmet sağlayıcısı kiracısı oturum aoluşturulduğunda) müşteri kiracısı içinde bulunan bir playbook'un çalıştıracak şekilde yapılandırılır.

    Bu yapılandırma, fikri mülkiyet özelliğini korumaya gerek olmadığında kullanılır. Bu senaryonun çalışması için, PlayBook 'u yürütme izinlerinin her iki kiracılar Için de Azure Sentinel 'e verilmesi gerekir. Müşteri kiracısında, yukarıdaki senaryoda olduğu gibi, bu kişilere _,PlayBook izinleri* panelinde izin vermiş olursunuz. hizmet sağlayıcısı kiracısında ilgili izinleri vermek için, playbook 'un bulunduğu kaynak grubundaki azure güvenlik Analizler uygulamasına, azure Sentinel Automation katılımcısı rolüyle erişim hakları veren ek bir azure septhouse temsili eklemeniz gerekir.

    Senaryo şuna benzer:

    Çok kiracılı Otomasyon kuralı mimarisi

    Bunu ayarlamaya yönelik yönergelerinizi inceleyin.

Otomasyon kuralları oluşturma ve yönetme

Özel gereksiniminize ve kullanım durumunuza bağlı olarak Azure Sentinel deneyiminde farklı noktalarda Otomasyon kuralları oluşturabilir ve bunları yönetebilirsiniz.

  • Otomasyon dikey penceresi

    Otomasyon kuralları, yeni Otomasyon dikey penceresinde ( PlayBook 'ları dikey penceresinden), Otomasyon kuralları sekmesi altında merkezi olarak yönetilebilir. (artık , PlayBook 'lar sekmesinin altında PlayBook 'ları 'ları bu dikey pencerede da yönetebilirsiniz.) Buradan yeni otomasyon kuralları oluşturabilir ve var olanları düzenleyebilirsiniz. Ayrıca, yürütme sırasını değiştirmek için Otomasyon kurallarını sürükleyebilir ve bunları etkinleştirebilir veya devre dışı bırakabilirsiniz.

    Otomasyon dikey penceresinde, çalışma alanında tanımlanan tüm kuralları (etkin/devre dışı) ve hangi analiz kurallarını uygulandığını görürsünüz.

    Birçok analiz kuralına uygulanacak bir Otomasyon kuralına ihtiyacınız olduğunda, bunu doğrudan Otomasyon dikey penceresinde oluşturun. Üstteki menüden Oluştur ' a tıklayın ve yeni Otomasyon kuralı oluştur bölmesini açan Yeni kural ekle' ye tıklayın. Buradan, kuralı yapılandırma konusunda kapsamlı bir esneklik elde edersiniz: Bu kuralı herhangi bir analiz kuralına uygulayabilir (ileride bu dahil) ve en geniş koşul ve eylem aralığını tanımlayabilirsiniz.

  • Analiz Kuralı Sihirbazı

    Analiz kuralı sihirbazının Otomatik Yanıt sekmesinde, sihirbazda oluşturulan veya düzenlenen belirli analiz kuralına uygulanan Otomasyon kurallarını görüntüleyebilir, yönetebilir ve oluşturabilirsiniz.

    Analiz dikey penceresindeki üst menüden Oluştur ve kural türlerinden biri (Zamanlanmış sorgu kuralı veya Microsoft olay oluşturma kuralı) ' ne tıkladığınızda veya var olan bir analiz kuralını seçip Düzenle' ye tıkladığınızda, Kural Sihirbazı ' nı açarsınız. Otomatik Yanıt sekmesini seçtiğinizde, olay Otomasyonu adlı bir bölüm görürsünüz. Bu, şu anda bu kurala uygulanan Otomasyon kurallarının görüntülenmesini sağlar. Düzenlenecek varolan bir Otomasyon kuralını seçebilir veya yeni bir tane oluşturmak için Yeni Ekle ' ye tıklayabilirsiniz.

    Buradan Otomasyon kuralı oluşturduğunuzda, yeni otomasyon kuralı oluştur paneli analiz kuralı koşulunu kullanılamaz olarak gösterir, çünkü bu kural yalnızca sihirbazda düzenlemekte olduğunuz analiz kuralına uygulanabilir olarak ayarlanmıştır. Diğer tüm yapılandırma seçenekleri hala sizin için kullanılabilir.

  • Olaylar dikey penceresi

    Ayrıca, tek bir yinelenen olaya yanıt vermek için Olaylar dikey penceresinden bir Otomasyon kuralı oluşturabilirsiniz. Bu, "gürültülü" olayları otomatik olarak kapatmak için bir gizleme kuralı oluştururken kullanışlıdır. Kuyruktan bir olay seçin ve üst menüden Otomasyon kuralı oluştur ' a tıklayın.

    Yeni otomasyon kuralı oluştur panelinin tüm alanları olaydan alınan değerlerle doldurduğuna dikkat edin. Kuralı, olayla aynı ada adlandırır, olayı oluşturan analiz kuralına uygular ve kuralın koşulları olarak olaydaki tüm kullanılabilir varlıkları kullanır. Ayrıca, varsayılan olarak bir gizleme (kapatma) eylemi önerir ve kural için bir sona erme tarihi önerir. Koşullar ve eylemler ekleyebilir veya kaldırabilir ve sona erme tarihini istediğiniz gibi değiştirebilirsiniz.

Otomasyon kuralını denetleme etkinliği

Belirli bir olaya ne olduğunu ve belirli bir Otomasyon kuralını kendisi için ne olduğunu bilmek isteyebilirsiniz. Günlükler dikey penceresinde securityıncident tablosunda kullanabileceğiniz bir olay Chronicles tam kaydınız vardır. Tüm otomasyon kuralı etkinliğinizi görmek için aşağıdaki sorguyu kullanın:

SecurityIncident
| where ModifiedBy contains "Automation"

Sonraki adımlar

Bu belgede, Azure Sentinel olayları kuyruğunu yönetmek ve bazı temel olay işleme otomasyonu uygulamak için Otomasyon kurallarını nasıl kullanacağınızı öğrendiniz.