Playbook'larla tehdit yanıtını otomatikleştirme Azure Sentinel

Bu makalede, Azure Sentinel playbook'ların ne olduğu ve güvenlik düzenleme, Otomasyon ve Yanıt (SOAR) işlemlerinizi uygulamak, zaman ve kaynak tasarrufu yaparken daha iyi sonuçlar elde etmek için bunları nasıl kullanabileceğiniz açıklanmıştır.

Playbook nedir?

SIEM/SOC ekipleri genellikle düzenli aralıklarla güvenlik uyarılarına ve olaylara sürekli olarak devam ediyor ve bu kadar büyük hacimlerde kullanılabilir personel bunalıyor. Bu, çok sayıda uyarının yoksayıldığı ve birçok olayın araştırılmayan durumlarda çok sık sonuç verir ve bu da kuruluşu dikkatsiz yapılan saldırılara karşı savunmasız bırakır.

Bu uyarıların ve güvenlik olaylarının çoğu, belirli ve tanımlı düzeltme eylemleri kümeleri tarafından giderilen yinelenen desenlere uyar.

Playbook, bir yordam olarak bu düzeltme eylemlerinden Azure Sentinel koleksiyonudur. Playbook tehdit yanıtınızı otomatikleştirmenize ve düzenlemenize yardımcı olabilir; El ile çalıştırılabilir veya belirli uyarılara veya olaylara yanıt olarak, sırasıyla bir analiz kuralı veya otomasyon kuralı tarafından tetiklendiğinde otomatik olarak çalıştırılabilir.

Playbook'lar abonelik düzeyinde oluşturulur ve uygulanır, ancak Playbook'lar sekmesi (yeni Otomasyon dikey penceresinde) seçili aboneliklerde kullanılabilen tüm playbook'ları görüntüler.

Azure Logic Apps kavramlar

Azure Sentinel playbook'ları, kuruluş genelindeki sistemlerde görevleri ve işakışlarını zamanlamanıza, otomatikleştirmenize ve düzenlemenize yardımcı olan bir bulut hizmeti olan Azure Logic Apps'de yerleşik iş akışlarını temel almaktadır. Bu, playbook'ların kendi yerleşik şablonlarının tüm gücü Logic Apps ve özelleştirilebilirliklerinden yararlanabil olduğu anlamına gelir.

Not

Ayrı Azure Logic Apps kaynak olduğundan ek ücretler uygulanabilir. Diğer ayrıntılar Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Azure Logic Apps diğer sistemlerle ve hizmetlerle iletişim kurar. Bağlayıcıların ve bunların bazı önemli özniteliklerinin kısa bir açıklaması aşağıda ve ardından ve aşağıda ve açık bir şekilde açık ve açık bir şekilde ve ve hatta bazı önemli öznitelikler ve daha sonra açık bir şekilde açık ve

  • Yönetilen Bağlayıcı: Belirli bir ürün veya hizmete yönelik API çağrılarını sarmaleyen bir dizi eylem ve tetikleyici. Azure Logic Apps, hem Microsoft ile hem de diğerleriyle iletişim kurmak için yüzlerce bağlayıcı Microsoft hizmetleri.

  • Özel bağlayıcı: Önceden oluşturulmuş bağlayıcı olarak kullanılabilir olmayan hizmetlerle iletişim kurmak istiyor olabilirsiniz. Özel bağlayıcılar, bir bağlayıcı oluşturmanıza (ve hatta paylaşmanıza) ve kendi tetikleyicilerini ve eylemlerini tanımlamanıza olanak sağlayarak bu ihtiyacı karşılar.

  • Azure Sentinel Bağlayıcısı: Uygulama bağlayıcısı ile etkileşime Azure Sentinel playbook'lar oluşturmak için Azure Sentinel kullanın.

  • Tetikleyici: Playbook başlatan bağlayıcı bileşeni. Playbook tetiklendiğinde almak için beklediğiniz şemayı tanımlar. Azure Sentinel bağlayıcısı şu anda iki tetikleyiciye sahip:

    • Uyarı tetikleyicisi:Playbook, uyarıyı girişi olarak alır.

    • Olay tetikleyicisi:Playbook, dahil edilen tüm uyarıları ve varlıklarıyla birlikte girdi olarak olayı alır.

      Önemli

      • Playbook'lar için olay tetikleyicisi özelliği şu anda ÖNizlenir. Beta, önizleme veya başka bir sürümde henüz genel kullanılabilirlik aşamasında olan Azure özellikleri için geçerli olan ek yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
  • Eylemler: Eylemler, tetikleyiciden sonra gerçekleşecek tüm adımlardır. Bunlar sırayla, paralel olarak veya karmaşık koşullar matrisinde düzenlenebilir.

  • Dinamik alanlar: Tetikleyicilerin ve eylemlerin çıkış şeması tarafından belirlenen ve aşağıdaki eylemlerde kullanılan gerçek çıktılarıyla doldurulan geçici alanlar.

Gerekli izinler

SecOps takımınıza Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) işlemleri için Logic Apps'ı kullanma, yani playbook'lar oluşturma ve çalıştırma yeteneği vermek için Azure Sentinel'de, güvenlik operasyonları takımınıza veya tüm ek ekibin belirli üyelerine Azure rolleri atabilirsiniz. Aşağıda, kullanılabilir farklı roller ve atanmaları gereken görevler açıklanmış olur:

Logic Apps için Azure rolleri

  • Mantıksal Uygulama Katılımcısı mantıksal uygulamaları yönetmenize ve playbook'ları çalıştırmanıza olanak sağlar, ancak bu uygulamalara erişimi değiştiremezsiniz (bunun için Sahip rolüne ihtiyacınız vardır).
  • Logic App İşleci mantıksal uygulamaları okumanızı, etkinleştirmenizi ve devre dışı bırakmanızı sağlar, ancak bunları düzenleyemez veya güncelleştireleyemezsiniz.

Sentinel için Azure rolleri

  • Azure Sentinel Katkıda Bulunan rolü, bir analiz kuralına playbook eklemenizi sağlar.
  • Azure Sentinel Yanıtlayan rolü playbook'ları el ile çalıştırmaya olanak sağlar.
  • Azure Sentinel Otomasyon Katkıda Bulunanı, otomasyon kurallarının playbook çalıştırmalarını sağlar. Başka bir amaçla kullanılmaz.

Daha fazla bilgi edinin

Playbook oluşturma adımları

Playbook'lar için kullanım örnekleri

Azure Logic Apps platformu yüzlerce eylem ve tetikleyici sunduğu için neredeyse tüm otomasyon senaryoları oluşturulabilir. Azure Sentinel SOC senaryolarına başlamayı öneririz:

Zenginleştirme

Daha akıllı kararlar almak için verileri toplayın ve olaya iliştirin.

Örneğin:

Ip Azure Sentinel oluşturan bir analiz kuralı tarafından bir uyarıdan bir güvenlik olayı oluşturulur.

Olay, aşağıdaki adımların yer alan bir playbook'unu çalıştıran bir otomasyon kuralını tetikler:

  • Yeni bir Azure Sentinel olayı oluşturulduğunda başlar. Olayda temsil edilen varlıklar, olay tetikleyicisi dinamik alanlarında depolanır.

  • Her IP adresi için, daha fazla veri almak için Virüs Toplamı gibi bir dış TehditZekası sağlayıcısını sorgular.

  • Döndürülen verileri ve içgörüleri olayın açıklaması olarak ekleyin.

Çift yönlü eşitleme

Playbook'lar, güvenlik olaylarınızı Azure Sentinel bilet sistemleriyle eşitlemek için kullanılabilir.

Örneğin:

Tüm olay oluşturma işlemi için bir otomasyon kuralı oluşturun ve ServiceNow'da bilet açan bir playbook oluşturun:

Düzenleme

Olaylar kuyruğunda daha iyi denetime sahip olmak için SOC sohbet platformunu kullanın.

Örneğin:

Kullanıcı Azure Sentinel ip adresi varlıkları oluşturan bir analiz kuralı tarafından uyarıdan bir güvenlik olayı oluşturulur.

Olay, aşağıdaki adımların yer alan bir playbook'unu çalıştıran bir otomasyon kuralını tetikler:

  • Yeni bir Azure Sentinel olayı oluşturulduğunda başlar.

  • Güvenlik analistlerinin olay hakkında bilgili olduğundan emin olmak için Microsoft Teams veya Slack'te güvenlik operasyonları kanalınıza bir ileti gönderin.

  • Uyarıda yer alan tüm bilgileri üst düzey ağ yöneticinize ve güvenlik yöneticinize e-posta ile gönderin. E-posta iletisi, Kullanıcı seçeneğini engelle ve Yoksay düğmelerini içerir.

  • Yöneticilerden bir yanıt alınana kadar bekleyin ve çalışmaya devam edin.

  • Yöneticiler Engelle'yi seçtiyseniz, uyarıda IP adresini engellemek için güvenlik duvarına bir komut, kullanıcı devre dışı bırakmak için de Azure AD'ye bir komut gönderin.

Yanıt

Tehditlere en az insan bağımlılığıyla hemen yanıt verin.

İki örnek:

Örnek 1: Güvenliği tehlikeye atılmış bir kullanıcı olduğunu belirten bir analiz kuralına yanıt vermek için Azure AD Kimlik Koruması:

  • Yeni bir Azure Sentinel olayı oluşturulduğunda başlar.

  • Güvenlik olayında güvenliği ihlal edilmiş olduğu şüphe edilen her kullanıcı varlığı için:

    • Kullanıcıya Teams bir ileti göndererek, kullanıcının şüpheli eylemde olduğunu onaylama isteği gönderin.

    • Güvenliği ihlal Azure AD Kimlik Koruması durumunu onaylamak için Azure AD Kimlik Koruması ile birlikte kontrol edin. Azure AD Kimlik Koruması riskli olarak etiketletir ve önceden yapılandırılmış herhangi bir zorlama ilkesi (örneğin, kullanıcının bir sonraki oturum açmada MFA kullanmasını gerektirme) uygulayacak.

      Not

      Playbook, kullanıcı üzerinde herhangi bir zorlama eylemi başlatmaz ve herhangi bir zorlama ilkesi yapılandırmasını başlatmaz. Yalnızca önceden Azure AD Kimlik Koruması ilkeleri uygun şekilde uygulamalarını söyler. Tüm zorlamalar, tüm ilkelerde tanımlanan uygun ilkelere Azure AD Kimlik Koruması.

Örnek 2: Uç Nokta için Microsoft Defender tarafından keşfedilen, güvenliği tehlikeye atılmış bir makineyi gösteren bir analiz kuralına yanıt verin:

Playbook çalıştırma

Playbook'lar el ile veya otomatik olarak çalıştırılabilir.

Bunları el ile çalıştırmak, bir uyarı alasanız, seçilen uyarıya yanıt olarak isteğe bağlı bir playbook çalıştırmayı seçebilirsiniz. Şu anda bu özellik olaylar için değil yalnızca uyarılar için de desteklene sahiptir.

Bunları otomatik olarak çalıştırma, bunları analiz kuralında (uyarılar için) veya otomasyon kuralında bir eylem olarak (olaylar için) otomatik yanıt olarak ayarlamak anlamına gelir. Otomasyon kuralları hakkında daha fazla bilgi.

Otomatik yanıt ayarlama

Güvenlik operasyonları ekipleri yinelenen olay ve uyarı türlerine yönelik rutin yanıtları tamamen otomatik haleerek iş yüklerini önemli ölçüde azaltarak benzersiz olaylara ve uyarılara daha fazla odaklanmanıza, desenleri analiz etme, tehdit avcılığı ve daha birçok işleme odaklanmanıza olanak sağlar.

Otomatik yanıt ayarı, bir analiz kuralı her tetiklendiğinde, uyarı oluşturmaya ek olarak bir playbook çalıştıracak ve bu da kural tarafından oluşturulan uyarının girişi olarak alacak bir playbook çalıştıracak anlamına gelir.

Uyarı bir olay oluşturursa, olay bir otomasyon kuralı tetikler ve bu da uyarı tarafından oluşturulan olayın girişi olarak bir playbook çalıştırılan bir playbook'un çalıştırı.

Uyarı oluşturma otomatik yanıtı

Uyarı oluşturma tarafından tetiklenen ve giriş olarak uyarıları alan playbook'lar için (ilk adımı "Azure Sentinel Uyarısı tetiklendiğinde"), playbook'un bir analiz kuralına iliştirin:

  1. Otomatik yanıt tanımlamak istediğiniz uyarıyı oluşturan analiz kuralını düzenleyin.

  2. Otomatik yanıt sekmesindeki Uyarı otomasyonu'nın altında, bir uyarı oluşturulduğunda bu analiz kuralının tetikleytiği playbook'ları veya playbook'ları seçin.

Olay oluşturma otomatik yanıtı

Olay oluşturma tarafından tetiklenen ve girişleri olarak olayları alan playbook'lar için (ilk adımı "Azure Sentinel Olayı tetiklendiğinde"), bir otomasyon kuralı oluşturun ve içinde playbook çalıştır eylemi tanımlayın. Bu 2 şekilde yapılabilir:

  • Otomatik yanıt tanımlamak istediğiniz olayı oluşturan analiz kuralını düzenleyin. Otomatik yanıt sekmesindeki Olay otomasyonu altında bir otomasyon kuralı oluşturun. Bu işlem yalnızca bu analiz kuralı için otomatik yanıt oluşturacak.

  • Otomasyon dikey penceresindeki Otomasyon kuralları sekmesinden yeni bir otomasyon kuralı oluşturun ve uygun koşulları ve istenen eylemleri belirtin. Bu otomasyon kuralı, belirtilen koşulları yerine getiren tüm analiz kurallarına uygulanır.

    Not

    Azure Sentinel otomasyon kuralları playbook'ları çalıştırmak için izinler gerektirir.

    Otomasyon kuralından playbook çalıştırmak için Azure Sentinel özel olarak yetkilendirilmiş bir hizmet hesabı kullanır. Bu hesabın (kullanıcı hesabınız yerine) kullanımı hizmetin güvenlik düzeyini artırır ve otomasyon kuralları API'sini CI/CD kullanım durumlarını desteklemesini sağlar.

    Bu hesaba playbook'un bulunduğu kaynak grubunda açık izinler (Azure Sentinel Otomasyon Katkıda Bulunanı rolüne sahip olan) ver gerekir. Bu noktada, herhangi bir otomasyon kuralı o kaynak grubunda herhangi bir playbook'ları çalıştırabilecektir.

    Playbook çalıştırma eylemini bir otomasyon kuralına eklerken, seçiminiz için playbook'ların bir açılan listesi görüntülenir. Kullanıcı izinlerine Azure Sentinel playbook'lar kullanılamaz ("gri renkte") olarak gösterilir. Playbook izinlerini Azure Sentinel bağlantısını seçerek uygulama izinleri veebilirsiniz.

    Çok kiracılı (Lighthouse) senaryosunda, playbook'un bulunduğu kiracıda, playbook'un çağıran otomasyon kuralı farklı bir kiracıda olsa bile izinleri tanımlamanız gerekir. Bunu yapmak için playbook'un kaynak grubunda Sahip izinlerine sahipsiniz.

    Yönetilen Güvenlik Hizmeti Sağlayıcısı'nın (MSSP) karşılaştığı benzersiz bir senaryo vardır. Burada, bir hizmet sağlayıcısı kendi kiracısı oturum aken, bir müşterinin çalışma alanında Azure Lighthouse. Bu otomasyon kuralı daha sonra müşterinin kiracısına ait playbook'ları çağırıyor. Bu durumda, Azure Sentinel her iki kiracıda da izinlerin verilmesigerekir _. Müşteri kiracısı içinde, normal çok kiracılı senaryoda olduğu gibi _ Playbook izinlerini yönet panelinde bu izinleri sağlarsınız. Hizmet sağlayıcısı kiracısında ilgili izinleri vermek için, playbook'un bulunduğu kaynak grubunda Azure Sentinel Otomasyonu Katkıda Bulunanı rolüyle Azure Güvenlik Analizler uygulamasına erişim hakları veren ek bir Azure Lighthouse temsilcisi eklemeniz gerekir. Bu temsilciyi ekleme hakkında bilgi.

Otomasyon kuralları oluşturmaya ilişkin tam yönergelere bakın.

Uyarıda el ile playbook çalıştırma

El ile tetikleme, aşağıdaki Azure Sentinel portaldan kullanılabilir:

  • Olaylar görünümünde belirli bir olayı seçin, Uyarılar sekmesini açın ve bir uyarı seçin.

  • Araştırma'da belirli bir uyarı seçin.

  1. Seçilen uyarı için Playbook'ları görüntüle'ye tıklayın. Bir Azure Sentinel Uyarısı tetiklendiğinde ve erişiminiz olduğunda ile başleyen tüm playbook'ların listesini alırsiniz.

  2. Tetiklemek için belirli bir playbook'un satırda Çalıştır'a tıklayın.

  3. Bu uyarıda herhangi bir playbook'un çalıştırılama zamanlarının listesini görüntülemek için Çalıştırmalar sekmesini seçin. Tamamlanan tüm çalıştırmaların bu listede görünmesi birkaç saniye sürebilir.

  4. Belirli bir çalıştırmaya tıklar ve günlük kaydın tamamını Logic Apps.

Bir olayda el ile playbook çalıştırma

Henüz desteklenmiyor.

Playbook'larınızı yönetme

Playbook'lar sekmesinde, erişiminiz olan tüm playbook'ların listesi görüntülenir ve bu liste şu anda Azure'da görüntülenen aboneliklere göre filtrelenmiş durumdadır. Abonelikler filtresi, genel sayfa üst bilgisinde Dizin + abonelik menüsünden kullanılabilir.

Bir playbook adına tıklamak sizi playbook'un ana sayfasına Logic Apps. Durum sütunu etkin mi yoksa devre dışı mı olduğunu gösterir.

Tetikleyici tür, bu playbook Logic Apps başlatan tetikleyiciyi temsil eder.

Tetikleyicinin tür Playbook'ta bileşen türlerini gösterir
Azure Sentinel Olay/Uyarı Playbook, Sentinel tetikleyicilerinden biri (uyarı, olay) ile başlatıldı
Azure Sentinel Eylemlerini Kullanma Playbook Sentinel olmayan bir tetikleyiciyle başlat ancak bir Azure Sentinel kullanır
Diğer Playbook sentinel bileşeni içermemektedir
Başlatılmadı Playbook oluşturulmuş ancak herhangi bir bileşen (tetikleyici veya eylem) içeriyor.

Playbook'un Mantıksal Uygulama sayfasında, playbook hakkında her zaman çalıştırıldıklarının bir günlüğü ve sonucu (başarı veya başarısızlık ve diğer ayrıntılar) dahil olmak üzere daha fazla bilgi görebilirsiniz. Ayrıca uygun izinlere Logic Apps playbook'ları doğrudan düzenleyemezsiniz.

API bağlantıları

API bağlantıları, diğer Logic Apps bağlanmak için kullanılır. Logic Apps bağlayıcısı için yeni bir kimlik doğrulaması oluşturulduğunda, API bağlantısı türünde yeni bir kaynak oluşturulur ve hizmete erişimi yapılandırarak sağlanan bilgileri içerir.

Tüm API bağlantılarını görmek için, api bağlantılarını ilgili api bağlantılarının üst bilgi arama kutusuna Azure portal. İlgi sütunlarına dikkat:

  • Görünen ad- Her oluşturmada bağlantıya vermek istediğiniz "kolay" ad.
  • Durum - bağlantı durumunu gösterir: hata, bağlandı.
  • Kaynak grubu - API bağlantıları playbook (Logic Apps) kaynağının kaynak grubunda oluşturulur.

API bağlantılarını görüntülemenin başka bir yolu da Tüm Kaynaklar dikey penceresine gidip API bağlantısı türüne göre filtrelemektir. Bu şekilde aynı anda birden çok bağlantının seçimi, etiketlemesi ve silinmesine olanak sağlar.

Mevcut bir bağlantının yetkilendirmesini değiştirmek için bağlantı kaynağını girin ve API bağlantısını düzenle'yi seçin.

Sonraki adımlar