Öğretici: Microsoft Sentinel 'de Otomasyon kuralları ile PlayBook 'ları kullanma

  • Makale
  • Okumak için 9 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Bu öğreticide, olay yanıtınızı otomatikleştirecek ve Microsoft Sentinel tarafından algılanan güvenlik tehditlerini düzeltmenize olanak sağlamak için PlayBook 'ları Otomasyon kurallarıyla birlikte nasıl kullanacağınız gösterilmektedir. Bu öğreticiyi tamamladığınızda şunları yapabilirsiniz:

  • Otomasyon kuralı oluşturma
  • PlayBook oluşturma
  • Bir PlayBook 'a eylem ekleme
  • Tehdit yanıtını otomatikleştirmek için bir Otomasyon kuralına veya bir analiz kuralına PlayBook iliştirme

Not

Bu öğretici, en iyi müşteri görevi için temel rehberlik sağlar: olayları önceliklendirme için Otomasyon oluşturma. Daha fazla bilgi için bkz. nasıl yapılır bölümü, Microsoft Sentinel 'de PlayBook 'lar Ile tehdit yanıtını otomatikleştirin ve Microsoft Sentinel PlayBook 'ta Tetikleyiciler ve eylemler kullanın.

Otomasyon kuralları ve PlayBook 'lar nelerdir?

Otomasyon kuralları Microsoft Sentinel 'de olayları önceliklendirmenize yardımcı olur. Bunları, doğru personele otomatik olarak olay atamak, gürültülü olayları veya bilinen Hatalı pozitifsonuçları kapatmak, önem derecesini değiştirmek ve Etiketler eklemek için kullanabilirsiniz. Bunlar ayrıca, olaylara yanıt olarak PlayBook 'ları çalıştırabileceğiniz bir mekanizmadır.

PlayBook 'lar, bir uyarı veya olaya yanıt olarak Microsoft Sentinel 'ten çalıştırılabilen yordamlar koleksiyonudur. Bir PlayBook, yanıtınızı otomatik hale getirmeye ve düzenlemeye yardımcı olabilir ve belirli uyarılar veya olaylar oluşturulduğunda, sırasıyla bir analiz kuralına veya bir Otomasyon kuralına iliştirilerek otomatik olarak çalışacak şekilde ayarlanabilir. Ayrıca, isteğe bağlı olarak el ile çalıştırılabilir.

Microsoft Sentinel 'de playbooks, Azure Logic Appsyerleşik olan iş akışlarını temel alır. bu, tüm güç, özelleştirme ve yerleşik şablonlarınızı Logic Apps almanızı sağlayan bir deyişle. Her bir PlayBook, ait olduğu belirli bir abonelik için oluşturulur, ancak PlayBook 'lar, seçilen tüm aboneliklerde kullanılabilen tüm PlayBook 'ları görüntüler.

Not

playbook 'lar Azure Logic Apps kullandığından, ek ücretler uygulanabilir. daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Örneğin, riskli olabilecek kullanıcıların ağınızı ve bilgi çalmasını önlemek istiyorsanız, güvenliği aşılmış kullanıcıları algılayan kurallar tarafından oluşturulan olaylara otomatik, atmanın yanıtı oluşturabilirsiniz. Aşağıdaki eylemleri alan bir PlayBook oluşturarak başlayabilirsiniz:

  1. PlayBook bir Otomasyon kuralı tarafından bir olay geçirerek çağrıldığında PlayBook, ServiceNow veya DIĞER bir It anahtar sistemi sisteminde bir bilet açar.

  2. güvenlik analistlerinizin olayın farkında olduğundan emin olmak için Microsoft Teams veya bolluk içindeki güvenlik işlemleri kanalınıza bir ileti gönderir.

  3. Ayrıca, olaydaki tüm bilgileri, bir e-posta iletisinde, kıdemli ağ yöneticinize ve güvenlik yöneticinize gönderir. E-posta iletisi, Engelle ve Yoksay Kullanıcı seçeneği düğmelerini içerecektir.

  4. PlayBook, yöneticilerden bir yanıt alınana kadar bekler, ardından sonraki adımlarla devam eder.

  5. Yöneticiler Engelle seçeneğini belirlerseniz, kullanıcıyı devre dışı bırakmak IÇIN Azure AD 'ye ve IP adresini engellemek için bir güvenlik duvarına bir komut gönderir.

  6. Yöneticiler Yoksay seçeneğini belirlerseniz, PlayBook, Microsoft Sentinel 'deki olayı ve ServiceNow ' daki bileti kapatır.

PlayBook 'u tetiklemek için, bu olaylar oluşturulduğunda çalışan bir Otomasyon kuralı oluşturacaksınız. Bu kural şu adımları ele alır:

  1. Kural, olay durumunu etkin olarak değiştirir.

  2. Bu olay türünü yöneten analist 'e olayı atar.

  3. "Güvenliği aşılmış Kullanıcı" etiketini ekler.

  4. Son olarak, yeni oluşturduğunuz PlayBook 'u çağırır. (Bu adım Için özel izinler gereklidir.)

PlayBook 'lar, yukarıdaki örnekte olduğu gibi, bir eylem olarak çalışan Otomasyon kuralları oluşturarak olaylara yanıt olarak otomatik şekilde çalıştırılabilir. Ayrıca, uyarı oluşturulduğunda analiz kuralına otomatik olarak bir veya daha fazla PlayBook çalıştırması bildirerek, uyarılara yanıt olarak otomatik olarak çalıştırılabilirler.

Ayrıca, seçili bir uyarının yanıtı olarak isteğe bağlı olarak el ile bir PlayBook çalıştırmayı tercih edebilirsiniz.

Microsoft Sentinel 'de Otomasyon kurallarını ve PlayBook 'ları kullanarak tehdit yanıtını otomatikleştirmeye yönelik daha kapsamlı ve ayrıntılı bir giriş alın.

Önemli

PlayBook oluşturma

Microsoft Sentinel 'de yeni bir PlayBook oluşturmak için aşağıdaki adımları izleyin:

PlayBook ve Logic App 'i hazırlama

  1. Microsoft Sentinel gezinti menüsünde Otomasyon' u seçin.

  2. Üstteki menüde Oluştur ve Yeni PlayBook Ekle' yi seçin.

    Yeni bir PlayBook ekleyin

    Yeni bir tarayıcı sekmesi açılır ve bu işlem, mantıksal uygulama oluşturma Sihirbazı ' na götürür.

    Mantıksal uygulama oluşturma

  3. Aboneliğinizi ve kaynak grubunuzu girip bir mantıksal uygulama adı altında PlayBook 'a bir ad verin.

  4. Bölge Için mantıksal uygulama bilgilerinizin depolanacağı Azure bölgesini seçin.

  5. Bu PlayBook 'un, tanılama amacıyla etkinliğini izlemek isterseniz, Log Analytics 'ı etkinleştir onay kutusunu işaretleyin ve Log Analytics çalışma alanı adınızı girin.

  6. PlayBook uygulamanıza Etiketler uygulamak istiyorsanız, >ileri ' ye tıklayın (Otomasyon kuralları tarafından uygulanan etiketlere bağlı değildir). Etiketler hakkında daha fazla bilgi edinin). Aksi takdirde, gözden geçir + oluştur' a tıklayın. Verdiğiniz ayrıntıları onaylayın ve Oluştur' a tıklayın.

  7. PlayBook oluşturuluyor ve dağıtılıyor olsa da (Bu işlem birkaç dakika sürer), Microsoft. EmptyWorkflow adlı bir ekrana yönlendirilirsiniz. "Dağıtımınız tamamlandığında" iletisi göründüğünde Kaynağa Git ' e tıklayın.

  8. İş akışını tasarlamaya başlayabileceğiniz yeni PlayBook Logic Apps tasarımcısınayönlendirilirsiniz. Kısa bir giriş videosu ve bazı yaygın olarak kullanılan mantıksal uygulama Tetikleyicileri ve şablonları içeren bir ekran görürsünüz. Logic Apps ile PlayBook oluşturma hakkında daha fazla bilgi edinin .

  9. Boş mantıksal uygulama şablonunu seçin.

    Logic Apps tasarımcı şablonu Galerisi

Tetikleyiciyi seçin

Her PlayBook bir tetikleyiciyle başlamalıdır. Tetikleyici, PlayBook 'u başlatacak eylemi ve PlayBook 'un almasını beklediği şemayı tanımlar.

  1. Arama çubuğunda Microsoft Sentinel ' i arayın. Sonuçlarda göründüğünde Microsoft Sentinel ' i seçin.

  2. Elde edilen Tetikleyiciler sekmesinde, Microsoft Sentinel tarafından sunulan iki tetikleyiciyi görürsünüz:

    • Microsoft Sentinel uyarısı için bir yanıt tetiklendiğinde
    • Microsoft Sentinel olay oluşturma kuralı tetiklendiğinde

    Oluşturmakta olduğunuz PlayBook türüyle eşleşen tetikleyiciyi seçin.

    Not

    Otomasyon kuralları tarafından yalnızca olay tetikleyicisini temel alan PlayBook 'lar çağrılabilecek olduğunu unutmayın. Uyarı tetikleyicisine dayalı playbooks, doğrudan analiz kurallarında çalışacak şekilde tanımlanmalıdır ve ayrıca el ile çalıştırılabilir.

    Hangi tetikleyicinin kullanılacağı hakkında daha fazla bilgi için bkz. Microsoft Sentinel PlayBook 'ta Tetikleyicileri ve eylemleri kullanma

    PlayBook için bir tetikleyici seçin

Not

Bir tetikleyiciyi veya sonraki bir işlemi seçtiğinizde, etkileşimde bulunmak istediğiniz kaynak sağlayıcıda kimlik doğrulaması yapmanız istenir. Bu durumda, sağlayıcı Microsoft Sentinel ' dir. Kimlik doğrulamaya uygulayabileceğiniz birkaç farklı yaklaşım vardır. Ayrıntılar ve yönergeler için bkz. PlayBook 'ları 'ları Microsoft Sentinel 'e doğrulama.

Eylem ekleme

Şimdi PlayBook 'u çağırdığınızda ne olacağını tanımlayabilirsiniz. Yeni adım' ı seçerek eylemler, mantıksal koşullar, döngüler veya anahtar durum koşulları ' nı ekleyebilirsiniz. Bu seçim, tasarımcıda etkileşim kurmak için bir sistem veya uygulama seçebileceğiniz ya da ayarlanacak bir koşulla seçebileceğiniz yeni bir çerçeve açar. Çerçevenin en üstündeki arama çubuğuna sistem veya uygulamanın adını girin ve ardından kullanılabilir sonuçlar ' ı seçin.

Bu adımların her birinde, herhangi bir alana tıkladığınızda iki menü içeren bir panel görüntülenir: dinamik içerik ve ifade. Dinamik içerik menüsünde, içerilen tüm varlıkların değerleri ve öznitelikleri dahil olmak üzere, PlayBook 'a geçirilen uyarının veya olayın özniteliklerine başvurular ekleyebilirsiniz. Yeni bir işlev kitaplığı arasından, adımlarınızı daha fazla mantık eklemek için ifade menüsünden seçebilirsiniz.

Mantıksal uygulama tasarımcısı

Bu ekran görüntüsünde, bu belgenin başındaki örnekte açıklanan PlayBook 'u oluştururken ekleyeceğiniz eylemler ve koşullar gösterilir. Tek fark burada gösterilen PlayBook, olay tetikleyicisi yerine uyarı tetikleyicisi kullanıyorsunuz. Bu, bir Otomasyon kuralından değil, doğrudan bir analiz kuralından bu PlayBook 'u çağıracaksınız demektir. Bir PlayBook 'u çağırma yöntemlerinin her ikisi de aşağıda açıklanmıştır.

Tehdit yanıtlarını otomatikleştirin

PlayBook 'u oluşturdunuz ve tetikleyiciyi tanımladınız, koşulları ayarladı ve kendisi ve üretecektir. Şimdi, çalıştırılacağı ölçütü belirlemeniz ve bu ölçütler karşılandığında onu çalıştıracak Otomasyon mekanizmasını ayarlamanız gerekir.

Olaylara yanıt verme

Olay oluşturulduğunda çalışacak bir Otomasyon kuralı oluşturarak bir olayı yanıtlamak için PlayBook kullanın ve bunu açıp PlayBook 'ı çağırır.

Bir Otomasyon kuralı oluşturmak için:

  1. Microsoft Sentinel gezinti menüsündeki Otomasyon dikey penceresinde, üst menüden Oluştur ' u ve ardından Yeni kural ekle' yi seçin.

    Yeni kural ekle

  2. Yeni otomasyon kuralı oluştur paneli açılır. Kuralınız için bir ad girin.

    Otomasyon kuralı oluşturma

  3. Otomasyon kuralının yalnızca belirli analiz kurallarında etkili olmasını istiyorsanız, IF Analytics kural adı koşulunu değiştirerek hangilerinin olduğunu belirtin.

  4. Bu Otomasyon kuralının etkinleştirmesinin bağımlı olmasını istediğiniz diğer koşulları ekleyin. Koşul Ekle ' ye tıklayın ve açılan listeden koşullar ' ı seçin. Koşulların listesi, uyarı ayrıntısı ve varlık tanımlayıcı alanları tarafından doldurulur.

  5. Bu Otomasyon kuralının geçirmesine istediğiniz eylemleri seçin. Kullanılabilir eylemler, sahip ata, Durumu Değiştir, önem derecesi Değiştir, Etiketler Ekle ve PlayBook'u içerir. İstediğiniz sayıda eylem ekleyebilirsiniz.

  6. Bir PlayBook Çalıştır eylemi eklerseniz, kullanılabilir playbooks açılır listesinden seçmeniz istenir. Yalnızca olay tetikleyicisi ile başlayan PlayBook 'lar Otomasyon kurallarından çalıştırılabilir, bu nedenle yalnızca listede görünürler.

    Önemli

    Otomasyon kurallarından PlayBook 'ları çalıştırmak için Microsoft Sentinel 'e açık izinler verilmelidir. Açılan listede bir Playbook "gri" görünürse, Sentinel 'in bu PlayBook 'un kaynak grubu için izne sahip olmadığı anlamına gelir. İzinleri atamak için Playbook izinlerini yönetme bağlantısına tıklayın. Açılan Izinleri Yönet panelinde, çalıştırmak istediğiniz PlayBook 'ları içeren kaynak gruplarının onay kutularını Işaretleyin ve Uygula' ya tıklayın. İzinleri yönetme

    • Kendinize Microsoft Sentinel izinleri vermek istediğiniz herhangi bir kaynak grubunda sahip izninizin olması gerekir ve çalıştırmak istediğiniz PlayBook 'ları içeren herhangi bir kaynak grubunda Logic App katılımcısı rolüne sahip olmanız gerekir.

    • Çok kiracılı bir dağıtımda, çalıştırmak istediğiniz PlayBook farklı bir kiracıda varsa, PlayBook 'u PlayBook kiracısında çalıştırmak için Microsoft Sentinel iznini vermeniz gerekir.

      1. playbooks ' kiracısındaki Microsoft Sentinel gezinti menüsünden Ayarlar' yi seçin.
      2. Ayarlar dikey penceresinde, Ayarlar sekmesini ve ardından playbook izinleri genişleticisi ' ni seçin.
      3. Yukarıda bahsedilen Izinleri Yönet panelini açmak Için izinleri Yapılandır düğmesine tıklayın ve burada açıklandığı gibi devam edin.

    • Bir MSSP senaryosunda, hizmet sağlayıcı kiracısında oturum açmışsa oluşturulan bir Otomasyon kuralından bir Müşteri kiracısında bir PlayBook çalıştırmak istiyorsanız, her iki kiracıda de PlayBook 'u çalıştırmak için Microsoft Sentinel iznini vermeniz gerekir . _ Müşteri kiracısında, yukarıdaki madde işareti noktasındaki çok kiracılı dağıtım için yönergeleri izleyin. hizmet sağlayıcısı kiracısında azure güvenlik Analizler uygulamasını azure açık oturum kullanımı ekleme şablonunuza eklemeniz gerekir:

      1. Azure portalından Azure Active Directory gidin.
      2. Enterprise uygulamalar' a tıklayın.
      3. Uygulama türü ' nü seçin ve Microsoft uygulamalarında filtre uygulayın.
      4. arama kutusuna Azure Security Analizler yazın.
      5. Nesne kimliği alanını kopyalayın. Bu ek yetkilendirmeyi mevcut Azure Use temsilcisiyle eklemeniz gerekir.

      Microsoft Sentinel Automation katılımcısı rolü, sabıt bir GUID 'e sahiptir f4c81013-99ee-4d62-a7ee-b3f1f648599a . Örnek bir Azure Aydınlathouse yetkilendirmesi, parametreler şablonunuzda şöyle görünür:

      {
     "principalId": "<Enter the Azure Security Insights app Object ID>", 
     "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
     "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

  7. Otomasyon kuralınız için bir sona erme tarihi ayarlayın.

  8. Bu kuralın Otomasyon kuralları dizisinin nerede çalışacağını belirlemekte kullanılacak bir sayı girin.

  9. Uygula’ya tıklayın. İşiniz bitti!

Otomasyon kuralları oluşturmanın diğer yollarını bulur .

Uyarılara yanıt verme

Bir analiz kuralı oluşturarak veya mevcut bir tane düzenleyerek, uyarı oluşturulduğunda çalıştıran bir uyarıya yanıt vermek için bir PlayBook kullanın ve bu durumda, bir analiz kuralı sihirbazındaotomatik bir yanıt olarak PlayBook 'u seçebilirsiniz.

  1. Microsoft Sentinel gezinti menüsündeki analiz dikey penceresinde, yanıtı otomatikleştirmek istediğiniz analiz kuralını seçin ve Ayrıntılar bölmesinde Düzenle ' ye tıklayın.

  2. Analiz Kuralı Sihirbazı-varolan kuralı Düzenle sayfasında Otomatik Yanıt sekmesini seçin.

    Otomatik yanıt sekmesi

  3. Açılır listeden Playbook ' ı seçin. Birden fazla PlayBook seçebilirsiniz, ancak yalnızca uyarı tetikleyicisi kullanan PlayBook 'ları kullanılabilir.

  4. İnceleme ve oluşturma sekmesinde Kaydet' i seçin.

İsteğe bağlı bir playbook çalıştırma

Ayrıca, isteğe bağlı olarak bir PlayBook çalıştırabilirsiniz.

Not

Yalnızca uyarı tetikleyicisi kullanan PlayBook 'ları isteğe bağlı olarak çalıştırılabilir.

Bir PlayBook 'u isteğe bağlı olarak çalıştırmak için:

  1. Olaylar sayfasında bir olay seçin ve tüm ayrıntıları görüntüle' ye tıklayın.

  2. Uyarılar sekmesinde, PlayBook 'u çalıştırmak istediğiniz uyarıya tıklayın ve sağa doğru bir şekilde ilerleyin ve PlayBook 'ları görüntüle ' ye tıklayın ve abonelik üzerindeki kullanılabilir PlayBook 'ları listesinden çalıştırmak için bir PlayBook seçin.

Sonraki adımlar

Bu öğreticide, tehditlere yanıt vermek için Microsoft Sentinel 'de PlayBook 'ları ve Automation kurallarını nasıl kullanacağınızı öğrendiniz.

  • Microsoft Sentinel kullanarak tehditleri nasıl önceden yapabileceğinizi öğrenin.