Microsoft Sentinel 'de PlayBook 'ları ile tehdit yanıtını otomatikleştirin

Bu makalede, Microsoft Sentinel PlayBook 'ları 'ın ne olduğu ve güvenlik düzenleme, otomasyon ve yanıt (Soar) işlemlerini uygulamak için nasıl kullanılacağı açıklanmakta ve zaman ve kaynakları kaydederken daha iyi sonuçlar elde edilir.

PlayBook nedir?

SıEM/SOC ekipleri genellikle, kullanılabilir personelin çok büyük olması için birimlerde düzenli olarak güvenlik uyarıları ve olayları açığa kaldırmalardır. Bu, çok sayıda uyarının yoksayıldığı ve çok sayıda olayın incelenemediği durumlarda, kuruluşun fark edilmemiş saldırılara karşı savunmasız kalmasına neden olur.

Çoğu, bu uyarıların ve olayların çoğu, belirli ve tanımlı düzeltme eylemleri kümeleri tarafından giderilebildiğiniz yineleme desenlerine uygundur.

PlayBook, Microsoft Sentinel 'den bir yordam olarak çalıştırılabilen Bu düzeltme eylemlerinin bir koleksiyonudur. Bir PlayBook, tehdit yanıtınızı otomatikleştirmenize vedüzenlemenize yardımcı olabilir; Bu, el ile çalıştırılabilir veya bir analiz kuralı veya bir Otomasyon kuralı tarafından tetiklendiğinde belirli uyarılara veya olaylara yanıt olarak otomatik olarak çalışacak şekilde ayarlanabilir.

Örneğin, bir hesap ve makinenin güvenliği tehlikeye girerse, bir PlayBook makineyi ağdan yalıtabilir ve SOC ekibine olay hakkında bilgi vererek hesabı engelleyebilir.

PlayBook 'lar, ait oldukları abonelik içinde kullanılabilir, ancak PlayBook 'ları sekmesi ( Otomasyon dikey penceresinde) seçili aboneliklerde bulunan tüm PlayBook 'ları görüntüler.

PlayBook şablonları

PlayBook şablonu, gereksinimlerinizi karşılayacak şekilde özelleştirilebilen, önceden oluşturulmuş, test edilmiş ve kullanıma hazır bir iş akışıdır. Şablonlar, sıfırdan PlayBook 'lar geliştirirken veya yeni otomasyon senaryoları için ilham olarak en iyi uygulamalar için başvuru olarak da kullanılabilir.

PlayBook şablonları, bundan sonra bir PlayBook (şablonun düzenlenebilir bir kopyası) oluşturulana kadar etkin PlayBook 'ları 'ları değildir.

Aşağıdaki kaynaklardan PlayBook şablonları edinebilirsiniz:

• PlayBook şablonları sekmesi ( Otomasyon altında), Microsoft Sentinel Community tarafından katkıda bulunulan önde gelen senaryoları gösterir. Aynı şablondan birden çok etkin PlayBook oluşturulabilir.

  Şablonun yeni bir sürümü yayımlandığında, bu şablondan oluşturulan etkin PlayBook 'lar ( PlayBook 'ları sekmesinde) bir güncelleştirmenin kullanılabilir olduğu bildirimle etiketlenecek.

• PlayBook şablonları, belirli bir ürün bağlamında Microsoft Sentinel çözümünün bir parçası olarak da elde edilebilir. Çözümün dağıtımı, etkin PlayBook 'lar oluşturur.

• Microsoft Sentinel GitHub deposu birçok playbook şablonu içerir. Azure 'A dağıt düğmesine seçerek Azure aboneliğine dağıtılabilir.

teknik olarak, bir playbook şablonu çeşitli kaynaklardan oluşan bir ARM şablonudur : ilgili her bağlantı için bir Azure Logic Apps iş akışı ve apı bağlantısı.

Azure Logic Apps temel kavramlar

Microsoft Sentinel 'de playbook 'lar, kurumsal bir sistem genelinde sistemler arasında görevleri ve iş akışlarını zamanlamanıza, otomatikleştirmenize ve ayarlamanıza yardımcı olan Azure Logic Appsyerleşik iş akışlarını temel alır. Bu, PlayBook 'ları 'ın Logic Apps ' yerleşik şablonlarının tüm gücünden ve özelleştirme avantajlarından yararlanabilme anlamına gelir.

Azure Logic Apps bağlayıcıları kullanarak diğer sistemlerle ve hizmetlerle iletişim kurar. Aşağıda bağlayıcılar ve bazı önemli öznitelikleri hakkında kısa bir açıklama verilmiştir:

• Yönetilen bağlayıcı: Belirli bir ürün veya hizmete yönelik API çağrıları etrafında sarmalama yapılan eylemler ve Tetikleyiciler kümesi. Azure Logic Apps, Microsoft ve Microsoft hizmetleri olmayan iletişim kurmak için yüzlerce bağlayıcı sunar.

  • Tüm Logic Apps bağlayıcıların ve belgelerinin listesi

• Özel bağlayıcı: Önceden oluşturulmuş bağlayıcılar olarak kullanılamayan hizmetlerle iletişim kurmak isteyebilirsiniz. Özel Bağlayıcılar, bir bağlayıcıyı oluşturma (ve hatta paylaşma) ve kendi tetiklerini ve eylemlerini tanımlamanızı sağlayarak bu ihtiyacı ele geçirir.

  • Kendi özel Logic Apps bağlayıcılarınızı oluşturun

• Microsoft Sentinel Bağlayıcısı: Microsoft Sentinel ile etkileşime geçen PlayBook 'lar oluşturmak için Microsoft Sentinel bağlayıcısını kullanın.

  • Microsoft Sentinel bağlayıcı belgeleri

• Tetikleyici: PlayBook 'u Başlatan bağlayıcı bileşeni. Bu, PlayBook 'un tetiklendiğinde almasını beklediği şemayı tanımlar. Microsoft Sentinel Bağlayıcısı Şu anda iki tetikleyiciye sahiptir:

  • Uyarı tetikleyicisi: PlayBook, giriş olarak uyarıyı alır.

  • Olay tetikleyicisi: PlayBook, dahil edilen tüm uyarıları ve varlıklarıyla birlikte olayı giriş olarak alır.

    Önemli

    PlayBook 'ları için olay tetikleyicisi özelliği şu anda önizlemededir. beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek koşullar için Microsoft Azure önizlemeleri için ek kullanım koşulları 'na bakın.

• Eylemler: Eylemler, tetikleyiciden sonra gerçekleşen tüm adımlardır. Bunlar ardışık olarak, paralel veya karmaşık koşullar matrisine göre düzenlenebilirler.

• Dinamik alanlar: Tetikleyici ve eylemlerin çıkış şemasına göre belirlenen ve gerçek çıktılarına göre belirlenen, izleyen eylemlerde kullanılabilen geçici alanlar.

Gerekli izinler

SecOps ekibinize güvenlik düzenlemesi, otomasyon ve yanıt (SOAR) işlemleri için Logic Apps kullanabilme (yani, PlayBook 'lar oluşturmak ve çalıştırmak için), Azure rollerini güvenlik işlemleri ekibinizin belirli üyelerine veya tüm ekibe atayabilirsiniz. Aşağıda farklı kullanılabilir roller ve atanması gereken görevler açıklanmaktadır:

Logic Apps için Azure rolleri

• Mantıksal uygulama katılımcısı , mantıksal uygulamaları yönetmenizi ve PlayBook 'ları çalıştırmanızı sağlar, ancak bunlara erişimi değiştiremezsiniz ( sahip rolü gereklidir).
• Logic App operatörü Logic Apps 'i okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar, ancak bunları düzenleyemez veya güncelleştiremezsiniz.

Sentinel için Azure rolleri

• Microsoft Sentinel katkıda bulunan rolü, bir analiz kuralına PlayBook eklemenize olanak tanır.
• Microsoft Sentinel Yanıtlayıcı rolü, bir PlayBook 'u el ile çalıştırmanızı sağlar.
• Microsoft Sentinel Automation katılımcısı , Otomasyon kurallarının PlayBook 'ları çalıştırmasına izin verir. Başka bir amaçla kullanılmaz.

Daha fazla bilgi edinin

• Azure Logic Apps 'de Azure rolleri hakkında daha fazla bilgi edinin.
• Microsoft Sentinel 'de Azure rolleri hakkında daha fazla bilgi edinin.

PlayBook oluşturma adımları

• Otomasyon senaryosunu tanımlayın.

• Azure mantıksal uygulamasını oluşturun.

• Mantıksal uygulamanızı test edin.

• PlayBook 'u bir Otomasyon kuralına veya analiz kuralınaekleyin veya gerektiğinde el ile çalıştırın.

PlayBook 'lar için kullanım örnekleri

Azure Logic Apps platformu yüzlerce eylem ve tetikleyici sunarak neredeyse tüm otomasyon senaryosu oluşturulabilir. Microsoft Sentinel, aşağıdaki SOC senaryolarıyla başlamasını önerir:

Zenginleştirme

Daha akıllı kararlar almak için veri toplayın ve olaya bağlayın.

Örnek:

Bir uyarıdan, IP adresi varlıkları üreten bir analiz kuralıyla Microsoft Sentinel olayı oluşturuldu.

Olay, aşağıdaki adımlarla bir PlayBook çalıştıran bir Otomasyon kuralını tetikler:

• Yeni bir Microsoft Sentinel olayı oluşturulduğundabaşlayın. Olayda temsil edilen varlıklar, Olay tetikleyicisinin dinamik alanlarında depolanır.

• Her IP adresi için, daha fazla veri almak üzere virüs toplamıgibi bir dış tehdit bilgileri sağlayıcısını sorgulayın.

• Döndürülen verileri ve öngörüleri olay açıklaması olarak ekleyin.

İki yönlü eşitleme

Playbooks, Microsoft Sentinel olaylarınızı diğer anahtar oluşturma sistemleriyle eşitlemek için kullanılabilir.

Örnek:

Tüm olay oluşturma için bir Otomasyon kuralı oluşturun ve ServiceNow içinde bir bilet açan bir PlayBook ekleyin:

• Yeni bir Microsoft Sentinel olayı oluşturulduğundabaşlayın.

• ServiceNowiçinde yeni bir bilet oluşturun.

• Kolay Özet için olay adını, önemli alanları ve Microsoft Sentinel olayına bir URL 'YI ekleyin.

Düzenleme

Olaylar kuyruğunu daha iyi denetlemek için SOC sohbet platformunu kullanın.

Örnek:

Bir uyarıdan Kullanıcı adı ve IP adresi varlıkları üreten bir analiz kuralıyla Microsoft Sentinel olayı oluşturuldu.

Olay, aşağıdaki adımlarla bir PlayBook çalıştıran bir Otomasyon kuralını tetikler:

• Yeni bir Microsoft Sentinel olayı oluşturulduğundabaşlayın.

• güvenlik analistlerinizin olayla haberdar olduğundan emin olmak için Microsoft Teams veya bolluk içindeki güvenlik işlemleri kanalınıza bir ileti gönderin.

• Uyarı içindeki tüm bilgileri, üst düzey ağ yöneticinize ve güvenlik yöneticinize e-posta ile gönderin. E-posta iletisi, Engelle ve Yoksay Kullanıcı seçeneği düğmelerini içerecektir.

• Yöneticilerden bir yanıt alınana kadar bekleyip çalışmaya devam edin.

• Yöneticiler blok' ı seçtiyseniz, UYARıDAKI IP adresini engellemek için güvenlik duvarına bir komut gönderin ve kullanıcıyı devre dışı bırakmak IÇIN Azure AD ' a bir tane yapın.

Yanıt

En az insan bağımlılıklarıyla tehditleri hemen yanıtlayın.

İki örnek:

Örnek 1: Azure AD kimlik korumasıtarafından keşfedilen, güvenliği aşılmış bir kullanıcıyı gösteren bir analiz kuralına yanıt verir:

• Yeni bir Microsoft Sentinel olayı oluşturulduğundabaşlayın.

• Olaydaki her bir Kullanıcı varlığının tehlikede olduğu şüpheli:

  • kullanıcının şüpheli eylemi gerçekleştirdiğine ilişkin onay isteyen kullanıcıya Teams bir ileti gönderin.

  • Kullanıcının durumunu tehlikeye atıldığından eminolmak için Azure AD kimlik koruması başvurun. Azure AD Kimlik Koruması, kullanıcıyı riskli olarak etiketleyip daha önce yapılandırılmış herhangi bir zorlama ilkesi (örneğin, kullanıcının bir sonraki oturum açma sırasında MFA kullanmasını gerektirmek için) uygular.

    Not

    PlayBook, Kullanıcı üzerinde herhangi bir zorlama eylemi başlatmaz veya herhangi bir zorlama ilkesi yapılandırması başlatmaz. Yalnızca Azure AD Kimlik Koruması, zaten tanımlanmış olan ilkeleri uygun şekilde uygulamasını söyler. Herhangi bir zorlama, tamamen Azure AD Kimlik Koruması tanımlanmakta olan uygun ilkelere bağlıdır.

Örnek 2: Uç nokta Için Microsoft Defendertarafından keşfedilen, güvenliği aşılmış bir makineyi gösteren bir analiz kuralına yanıt verme:

• Yeni bir Microsoft Sentinel olayı oluşturulduğundabaşlayın.

• Olay varlıklarına dahil edilen şüpheli makineleri ayrıştırmak için Microsoft Sentinel 'de varlıklar-Konakları al eylemini kullanın.

• Uyarıdaki makineleri yalıtmak Için uç nokta Için Microsoft Defender 'a bir komut verin.

PlayBook çalıştırma

Playbooks el ile ya da otomatik olarak çalıştırılabilir.

Bunları el ile çalıştırmak, bir uyarı aldığınızda, seçili uyarıya yanıt olarak isteğe bağlı bir PlayBook çalıştırmayı tercih edebilirsiniz. Şu anda bu özellik yalnızca uyarılar için desteklenir, olaylar için desteklenmez.

Onları otomatik olarak çalıştırmak bir analiz kuralında (Uyarılar için) otomatik bir yanıt olarak ya da bir Otomasyon kuralında (olaylar için) bir eylem olarak ayarlanmasıdır. Otomasyon kuralları hakkında daha fazla bilgi edinin.

Otomatik Yanıt ayarlama

Güvenlik işlemleri ekipleri yinelenen olay ve uyarı türlerine yönelik rutin yanıtları tamamen otomatikleştirerek iş yükünü önemli ölçüde azaltarak, benzersiz olaylar ve uyarılar üzerinde daha fazla odaklanmanızı, desenleri, tehdit arayanları ve daha fazlasını analiz etmenize olanak tanır.

Otomatik Yanıt ayarlama, bir analiz kuralının her tetiklenişinde, bir uyarı oluşturmanın yanı sıra kural tarafından oluşturulan uyarının giriş olarak alacağı bir PlayBook çalıştıracaktır.

Uyarı bir olay oluşturursa olay, uyarı tarafından oluşturulan olayın bir girişi olarak alacak bir PlayBook çalıştıran bir Otomasyon kuralı tetikleyecektir.

Uyarı oluşturma otomatik yanıtı

Uyarı oluşturma tarafından tetiklenen ve girdileri (ilk adım "bir Microsoft Sentinel uyarısı tetiklendiğinde") olarak bildiren PlayBook 'ları 'lar için, PlayBook 'u bir analiz kuralına ekleyin:

1. İçin otomatik yanıt tanımlamak istediğiniz uyarıyı üreten analitik kuralını düzenleyin.

2. Otomatik Yanıt sekmesinde Uyarı Otomasyonu altında, bu analiz kuralının bir uyarı oluşturulduğunda tetikleyeceği PlayBook veya PlayBook 'ları seçin.

Olay oluşturma otomatik yanıtı

Olay oluşturma tarafından tetiklenen ve girdileri (ilk adımı "bir Microsoft Sentinel olayı tetiklendiğinde") olarak alan PlayBook 'lar için bir Otomasyon kuralı oluşturun ve içinde bir PlayBook Çalıştır eylemi tanımlayın. Bu, 2 şekilde yapılabilir:

• İçin otomatik yanıt tanımlamak istediğiniz olayı üreten analitik kuralını düzenleyin. Otomatik Yanıt sekmesindeki olay Otomasyonu altında bir Otomasyon kuralı oluşturun. Bu, yalnızca bu analiz kuralı için otomatik bir yanıt oluşturacak.

• Otomasyon dikey penceresindeki Otomasyon kuralları sekmesinde yeni bir Otomasyon kuralı oluşturun ve uygun koşulları ve istenen eylemleri belirtin. Bu Otomasyon kuralı, belirtilen koşulları yerine getiren tüm analiz kuralları için geçerli olacaktır.

  Not

  Microsoft Sentinel Automation kuralları, PlayBook 'lar çalıştırmak için izinler gerektirir.

  Bir PlayBook 'u bir Otomasyon kuralından çalıştırmak için, Microsoft Sentinel, özel olarak yetkili bir hizmet hesabı kullanır. Bu hesabın kullanımı (Kullanıcı hesabınıza karşılık olarak), hizmetin güvenlik düzeyini artırır ve otomasyon kuralları API 'sinin CI/CD kullanım durumlarını desteklemesini sağlar.

  Bu hesaba, PlayBook 'un bulunduğu kaynak grubunda açık izinler verilmelidir ( Microsoft Sentinel Automation katılımcısı rolünün formu alınıyor). Bu noktada, herhangi bir Otomasyon kuralı bu kaynak grubunda herhangi bir PlayBook 'u çalıştırabilecektir.

  PlayBook 'u Çalıştır eylemini bir Otomasyon kuralına eklediğinizde, seçiminiz için PlayBook 'lar açılır listesi görüntülenir. Microsoft Sentinel 'in izinleri olmayan PlayBook 'lar, kullanılamaz ("gri") olarak gösterilir. PlayBook Izinlerini Yönet bağlantısını seçerek, bu noktaya Microsoft Sentinel 'e izin verebilirsiniz.

  Çokkiracılı (açık) bir senaryoda, PlayBook 'u çağıran Otomasyon kuralı farklı bir kiracıda olsa bile, PlayBook 'un yaşadığı kiracı üzerindeki izinleri tanımlamanız gerekir. Bunu yapmak için, PlayBook 'un kaynak grubunda sahip izninizin olması gerekir.

  Bir hizmet sağlayıcısının kendi kiracısında oturum açmasından sonra, Azure Mathousekullanılarak müşterinin çalışma alanında bir Otomasyon kuralı oluşturduğu, yönetilen güvenlik hizmeti sağlayıcısına (MSSP) bakan benzersiz bir senaryo vardır. Bu Otomasyon kuralı daha sonra müşterinin kiracısına ait olan bir PlayBook 'u çağırır. Bu durumda, Microsoft Sentinel 'e her iki kiracılar için de izin verilmelidir . Müşteri kiracısında , normal çok kiracılı senaryoda olduğu gibi, bu kişilere _ Manage PlayBook izinleri panelinde izin vermiş olursunuz. hizmet sağlayıcısı kiracısında ilgili izinleri vermek için, playbook 'un bulunduğu kaynak grubundaki Microsoft Sentinel Automation katılımcısı rolüyle azure güvenlik Analizler uygulamasına erişim hakları veren ek bir azure septhouse temsili eklemeniz gerekir. Bu temsilciyi eklemeyi öğrenin.

Otomasyon kuralları oluşturmaya yönelik tüm yönergelerebakın.

Bir uyarı üzerinde el ile bir PlayBook çalıştırma

El ile tetikleme, Microsoft Sentinel portalından aşağıdaki dikey pencerelerde bulunur:

• Olaylar görünümü ' nde, belirli bir olayı seçin, uyarıları sekmesini açın ve bir uyarı seçin.

• Araştırma bölümünde belirli bir uyarı seçin.

1. Seçilen uyarı için PlayBook 'Ları görüntüle ' ye tıklayın. Bir Microsoft Sentinel uyarısı tetiklendiğinde ve erişiminiz olduğunda, ile başlayan tüm PlayBook 'ları içeren bir liste alacaksınız.

2. Belirli bir PlayBook 'un tetiklenmesi için bu satırdaki Çalıştır ' a tıklayın.

3. Bu uyarı üzerinde herhangi bir PlayBook 'un çalıştırıldığı sürelerin bir listesini görüntülemek için çalıştırmalar sekmesini seçin. Yalnızca tamamlanmış çalıştırmanın bu listede görünmesi birkaç saniye sürebilir.

4. Belirli bir çalıştırmaya tıkladığınızda, Logic Apps tüm çalıştırma günlüğü açılır.

Bir olay üzerinde el ile bir PlayBook çalıştırma

Henüz desteklenmiyor.

PlayBook 'ları 'ları yönetme

PlayBook 'ları sekmesinde, erişiminiz olan tüm PlayBook 'ları, Azure 'da Şu anda görüntülenen abonelikler tarafından filtrelenmiş bir liste görüntülenir. Abonelikler filtresi, genel sayfa üstbilgisindeki Dizin + abonelik menüsünden kullanılabilir.

Bir PlayBook adına tıkladığınızda, sizi Logic Apps PlayBook ana sayfasına yönlendirir. Durum sütunu, etkin mi yoksa devre dışı mı olduğunu gösterir.

Tetikleyici türü , bu PlayBook 'u Başlatan Logic Apps tetikleyiciyi temsil eder.

PlayBook 'un Logic App sayfasında, çalıştırdığı tüm sürelerin günlüğü, sonuç (başarı veya başarısızlık ve diğer ayrıntılar) dahil olmak üzere PlayBook hakkında daha fazla bilgi görebilirsiniz. Ayrıca, uygun izinleriniz varsa Logic Apps tasarımcısını girebilir ve PlayBook 'u doğrudan düzenleyebilirsiniz.

API bağlantıları

API bağlantıları, Logic Apps diğer hizmetlere bağlanmak için kullanılır. Logic Apps bağlayıcısında yeni bir kimlik doğrulaması yapıldığında, API bağlantısı türünde yeni bir kaynak oluşturulur ve hizmete erişim yapılandırılırken belirtilen bilgileri içerir.

Tüm API bağlantılarını görmek için Azure portal üst bilgi arama kutusuna API bağlantıları girin. İlgilendiğiniz sütunları aklınızda edin:

• Görünen ad-bağlantı oluşturduğunuz her seferinde "kolay" adı verin.
• Durum-bağlantı durumunu gösterir: hata, bağlı.
• Kaynak grubu-API bağlantıları, PlayBook (Logic Apps) kaynağının kaynak grubunda oluşturulur.

API bağlantılarını görüntülemenin bir başka yolu da tüm kaynaklar dikey penceresine gidip API bağlantısı türüne göre filtrelenebilir. Bu şekilde birden çok bağlantının tek seferde seçilmesi, etiketlenmesi ve silinmesinin yapılmasına izin verir.

Var olan bir bağlantının yetkilendirmesini değiştirmek için bağlantı kaynağını girin ve API bağlantısını Düzenle' yi seçin.

Önerilen PlayBook 'ları 'lar

aşağıdaki önerilen playbook 'lar ve diğer benzer playbook 'lar, Microsoft Sentinel GitHub deposundasizin için kullanılabilir:

• Bildirim PlayBook 'ları 'lar bir uyarı veya olay oluşturulduğunda tetiklenir ve yapılandırılan hedefe bildirim gönderir:

  • Microsoft Teams kanalında bir ileti gönderin
  • Outlook e-posta bildirimi gönderin
  • Bir bolluk kanalında bir ileti gönderin

• PlayBook 'Ları engelleme bir uyarı veya olay oluşturulduğunda tetiklenir, hesap, IP adresi ve ana bilgisayar gibi varlık bilgilerini toplar ve bunları daha fazla eylemden engeller:

  • BIR IP adresinin engellenmesini iste.
  • AAD kullanıcıyı engelle
  • AAD kullanıcı parolasını sıfırlama
  • Bir makineyi yalıtmak için sor

• playbook 'lar oluşturma, güncelleştirme veya kapatma Microsoft Sentinel 'de olay oluşturabilir, güncelleştirebilir veya kapatabilir, Microsoft 365 güvenlik hizmetleri veya diğer anahtar sistemleri sistemleri:

  • Bir olayın önem derecesini değiştirme
  • ServiceNow olayı oluşturma

Sonraki adımlar

• Öğretici: Microsoft Sentinel 'de tehdit yanıtlarını otomatikleştirmek için PlayBook 'ları kullanma