Öğretici: Azure Sentinel 'de Otomasyon kuralları ile PlayBook 'ları kullanma

Bu öğreticide, olay yanıtınızı otomatikleştirecek ve Azure Sentinel tarafından algılanan güvenlik tehditlerini düzeltmenize olanak sağlamak için PlayBook 'ları Otomasyon kurallarıyla birlikte nasıl kullanacağınız gösterilmektedir. Bu öğreticiyi tamamladığınızda şunları yapabilirsiniz:

  • Otomasyon kuralı oluşturma
  • PlayBook oluşturma
  • Bir PlayBook 'a eylem ekleme
  • Tehdit yanıtını otomatikleştirmek için bir Otomasyon kuralına veya bir analiz kuralına PlayBook iliştirme

Otomasyon kuralları ve PlayBook 'lar nelerdir?

Otomasyon kuralları Azure Sentinel 'de olayları önceliklendirmenize yardımcı olur. Bunları, doğru personele otomatik olarak olay atamak, gürültülü olayları veya bilinen Hatalı pozitifsonuçları kapatmak, önem derecesini değiştirmek ve Etiketler eklemek için kullanabilirsiniz. Bunlar ayrıca, olaylara yanıt olarak PlayBook 'ları çalıştırabileceğiniz bir mekanizmadır.

PlayBook 'lar, bir uyarı veya olaya yanıt olarak Azure Sentinel 'ten çalıştırılabilen yordamlar koleksiyonudur. Bir PlayBook, yanıtınızı otomatik hale getirmeye ve düzenlemeye yardımcı olabilir ve belirli uyarılar veya olaylar oluşturulduğunda, sırasıyla bir analiz kuralına veya bir Otomasyon kuralına iliştirilerek otomatik olarak çalışacak şekilde ayarlanabilir. Ayrıca, isteğe bağlı olarak el ile çalıştırılabilir.

Azure Sentinel 'de playbooks, Azure Logic Appsyerleşik olan iş akışlarını temel alır. Bu, tüm güç, özelleştirme ve yerleşik şablonları Logic Apps almanızı sağlayan bir deyişle. Her bir PlayBook, ait olduğu belirli bir abonelik için oluşturulur, ancak PlayBook 'lar, seçilen tüm aboneliklerde kullanılabilen tüm PlayBook 'ları görüntüler.

Not

PlayBook 'lar Azure Logic Apps kullandığından, ek ücretler uygulanabilir. Daha fazla ayrıntı için Azure Logic Apps fiyatlandırma sayfasını ziyaret edin.

Örneğin, riskli olabilecek kullanıcıların ağınızı ve bilgi çalmasını önlemek istiyorsanız, güvenliği aşılmış kullanıcıları algılayan kurallar tarafından oluşturulan olaylara otomatik, atmanın yanıtı oluşturabilirsiniz. Aşağıdaki eylemleri alan bir PlayBook oluşturarak başlayabilirsiniz:

  1. PlayBook bir Otomasyon kuralı tarafından bir olay geçirerek çağrıldığında PlayBook, ServiceNow veya DIĞER bir It anahtar sistemi sisteminde bir bilet açar.

  2. Güvenlik analistlerinizin olayın farkında olduğundan emin olmak için Microsoft ekiplerinde veya bolluk 'de güvenlik işlemleri kanalınıza bir ileti gönderir.

  3. Ayrıca, olaydaki tüm bilgileri, bir e-posta iletisinde, kıdemli ağ yöneticinize ve güvenlik yöneticinize gönderir. E-posta iletisi, Engelle ve Yoksay Kullanıcı seçeneği düğmelerini içerecektir.

  4. PlayBook, yöneticilerden bir yanıt alınana kadar bekler, ardından sonraki adımlarla devam eder.

  5. Yöneticiler Engelle seçeneğini belirlerseniz, kullanıcıyı devre dışı bırakmak IÇIN Azure AD 'ye ve IP adresini engellemek için bir güvenlik duvarına bir komut gönderir.

  6. Yöneticiler Yoksay' ı seç, PlayBook Azure Sentinel 'deki olayı ve ServiceNow ' daki bileti kapatır.

PlayBook 'u tetiklemek için, bu olaylar oluşturulduğunda çalışan bir Otomasyon kuralı oluşturacaksınız. Bu kural şu adımları ele alır:

  1. Kural, olay durumunu etkin olarak değiştirir.

  2. Bu olay türünü yöneten analist 'e olayı atar.

  3. "Güvenliği aşılmış Kullanıcı" etiketini ekler.

  4. Son olarak, yeni oluşturduğunuz PlayBook 'u çağırır. (Bu adım Için özel izinler gereklidir.)

PlayBook 'lar, yukarıdaki örnekte olduğu gibi, bir eylem olarak çalışan Otomasyon kuralları oluşturarak olaylara yanıt olarak otomatik şekilde çalıştırılabilir. Ayrıca, uyarı oluşturulduğunda analiz kuralına otomatik olarak bir veya daha fazla PlayBook çalıştırması bildirerek, uyarılara yanıt olarak otomatik olarak çalıştırılabilirler.

Ayrıca, seçili bir uyarının yanıtı olarak isteğe bağlı olarak el ile bir PlayBook çalıştırmayı tercih edebilirsiniz.

Azure Sentinel 'de Otomasyon kurallarını ve PlayBook 'ları kullanarak tehdit yanıtını otomatikleştirmeye yönelik daha kapsamlı ve ayrıntılı bir giriş alın.

Önemli

PlayBook oluşturma

Azure Sentinel 'de yeni bir PlayBook oluşturmak için aşağıdaki adımları izleyin:

PlayBook ve Logic App 'i hazırlama

  1. Azure Sentinel gezinti menüsünde Otomasyon' u seçin.

  2. Üstteki menüde Oluştur ve Yeni PlayBook Ekle' yi seçin.

    Yeni bir PlayBook ekleyin

    Yeni bir tarayıcı sekmesi açılır ve bu işlem, mantıksal uygulama oluşturma Sihirbazı ' na götürür.

    Mantıksal uygulama oluşturma

  3. Aboneliğinizi ve kaynak grubunuzu girip bir mantıksal uygulama adı altında PlayBook 'a bir ad verin.

  4. Bölge Için mantıksal uygulama bilgilerinizin depolanacağı Azure bölgesini seçin.

  5. Bu PlayBook 'un, tanılama amacıyla etkinliğini izlemek isterseniz, Log Analytics 'ı etkinleştir onay kutusunu işaretleyin ve Log Analytics çalışma alanı adınızı girin.

  6. PlayBook uygulamanıza Etiketler uygulamak istiyorsanız, >ileri ' ye tıklayın (Otomasyon kuralları tarafından uygulanan etiketlere bağlı değildir). Etiketler hakkında daha fazla bilgi edinin). Aksi takdirde, gözden geçir + oluştur' a tıklayın. Verdiğiniz ayrıntıları onaylayın ve Oluştur' a tıklayın.

  7. PlayBook oluşturuluyor ve dağıtılıyor olsa da (Bu işlem birkaç dakika sürer), Microsoft. EmptyWorkflow adlı bir ekrana yönlendirilirsiniz. "Dağıtımınız tamamlandığında" iletisi göründüğünde Kaynağa Git ' e tıklayın.

  8. İş akışını tasarlamaya başlayabileceğiniz yeni PlayBook Logic Apps tasarımcısınayönlendirilirsiniz. Kısa bir giriş videosu ve bazı yaygın olarak kullanılan mantıksal uygulama Tetikleyicileri ve şablonları içeren bir ekran görürsünüz. Logic Apps ile PlayBook oluşturma hakkında daha fazla bilgi edinin .

  9. Boş mantıksal uygulama şablonunu seçin.

    Logic Apps tasarımcı şablonu Galerisi

Tetikleyiciyi seçin

Her PlayBook bir tetikleyiciyle başlamalıdır. Tetikleyici, PlayBook 'u başlatacak eylemi ve PlayBook 'un almasını beklediği şemayı tanımlar.

  1. Arama çubuğunda Azure Sentinel ' i arayın. Sonuçlarda göründüğünde Azure Sentinel ' i seçin.

  2. Elde edilen Tetikleyiciler sekmesinde, Azure Sentinel tarafından sunulan iki tetikleyiciyi görürsünüz:

    • Bir Azure Sentinel uyarısına yanıt tetiklendiğinde
    • Azure Sentinel olay oluşturma kuralı tetiklenmesi

    Oluşturmakta olduğunuz PlayBook türüyle eşleşen tetikleyiciyi seçin.

    Not

    Otomasyon kuralları tarafından yalnızca olay tetikleyicisini temel alan PlayBook 'lar çağrılabilecek olduğunu unutmayın. Uyarı tetikleyicisine dayalı playbooks, doğrudan analiz kurallarında çalışacak şekilde tanımlanmalıdır ve ayrıca el ile çalıştırılabilir.

    Hangi tetikleyicinin kullanılacağı hakkında daha fazla bilgi için bkz. Azure Sentinel PlayBook 'ta Tetikleyicileri ve eylemleri kullanma

    PlayBook için bir tetikleyici seçin

Not

Bir tetikleyiciyi veya sonraki bir işlemi seçtiğinizde, etkileşimde bulunmak istediğiniz kaynak sağlayıcıda kimlik doğrulaması yapmanız istenir. Bu durumda, sağlayıcı Azure Sentinel ' dir. Kimlik doğrulamaya uygulayabileceğiniz birkaç farklı yaklaşım vardır. Ayrıntılar ve yönergeler için bkz. PlayBook 'ları 'ları Azure 'da doğrulama.

Eylem ekleme

Şimdi PlayBook 'u çağırdığınızda ne olacağını tanımlayabilirsiniz. Yeni adım' ı seçerek eylemler, mantıksal koşullar, döngüler veya anahtar durum koşulları ' nı ekleyebilirsiniz. Bu seçim, tasarımcıda etkileşim kurmak için bir sistem veya uygulama seçebileceğiniz ya da ayarlanacak bir koşulla seçebileceğiniz yeni bir çerçeve açar. Çerçevenin en üstündeki arama çubuğuna sistem veya uygulamanın adını girin ve ardından kullanılabilir sonuçlar ' ı seçin.

Bu adımların her birinde, herhangi bir alana tıkladığınızda iki menü içeren bir panel görüntülenir: dinamik içerik ve ifade. Dinamik içerik menüsünde, içerilen tüm varlıkların değerleri ve öznitelikleri dahil olmak üzere, PlayBook 'a geçirilen uyarının veya olayın özniteliklerine başvurular ekleyebilirsiniz. Yeni bir işlev kitaplığı arasından, adımlarınızı daha fazla mantık eklemek için ifade menüsünden seçebilirsiniz.

Mantıksal uygulama tasarımcısı

Bu ekran görüntüsünde, bu belgenin başındaki örnekte açıklanan PlayBook 'u oluştururken ekleyeceğiniz eylemler ve koşullar gösterilir. Tek fark burada gösterilen PlayBook, olay tetikleyicisi yerine uyarı tetikleyicisi kullanıyorsunuz. Bu, bir Otomasyon kuralından değil, doğrudan bir analiz kuralından bu PlayBook 'u çağıracaksınız demektir. Bir PlayBook 'u çağırma yöntemlerinin her ikisi de aşağıda açıklanmıştır.

Tehdit yanıtlarını otomatikleştirin

PlayBook 'u oluşturdunuz ve tetikleyiciyi tanımladınız, koşulları ayarladı ve kendisi ve üretecektir. Şimdi, çalıştırılacağı ölçütü belirlemeniz ve bu ölçütler karşılandığında onu çalıştıracak Otomasyon mekanizmasını ayarlamanız gerekir.

Olaylara yanıt verme

Olay oluşturulduğunda çalışacak bir Otomasyon kuralı oluşturarak bir olayı yanıtlamak için PlayBook kullanın ve bunu açıp PlayBook 'ı çağırır.

Bir Otomasyon kuralı oluşturmak için:

  1. Azure Sentinel gezinti menüsündeki Otomasyon dikey penceresinde, üst menüden Oluştur ' u ve ardından Yeni kural ekle' yi seçin.

    Yeni kural ekleme

  2. Yeni otomasyon kuralı oluştur paneli açılır. Kuralınız için bir ad girin.

    Otomasyon kuralı oluşturma

  3. Otomasyon kuralının yalnızca belirli analiz kuralları üzerinde etkili olmak istemesi durumunda, If Analytics kuralı ad koşulunu değiştirerek hangisinin geçerli olduğunu belirtin.

  4. Bu otomasyon kuralının etkinleştirilmesi için gereken diğer koşulları ekleyin. Koşul ekle'ye tıklayın ve açılan listeden koşulları seçin. Koşulların listesi uyarı ayrıntıları ve varlık tanımlayıcısı alanlarıyla doldurulur.

  5. Bu otomasyon kuralının gerçekleştirecekleri eylemleri seçin. Kullanılabilir eylemler: Sahip ata, Durumu değiştir, Önem derecesini değiştir, Etiket ekle ve Playbook çalıştır. Add as many actions as you like.

  6. Playbook çalıştır eylemi eklersiniz, kullanılabilir playbook'ların açılan listesinden seçim yapmak istenir. Yalnızca olay tetikleyicisi ile başlatılan playbook'lar otomasyon kurallarından çalıştırılana kadar listede yalnızca bunlar görünür.

    Önemli

    Azure Sentinel playbook'ları otomasyon kurallarından çalıştırmak için açık izinler verilmesi gerekir. Bir playbook açılan listede "gri görünüyorsa" Sentinel'in bu playbook'un kaynak grubu için izni olmadığını gösterir. İzin atamak için Playbook izinlerini yönet bağlantısına tıklayın. Açılan İzinleri yönet panelinde, çalıştırmak istediğiniz playbook'ları içeren kaynak gruplarının onay kutularını işaretleyin ve Uygula'ya tıklayın. İzinleri yönetme

    • Kendi kendinize, izin vermek istediğiniz herhangi bir kaynak grubunda sahip izinlerine sahip Azure Sentinel ve çalıştırmak istediğiniz playbook'ları içeren tüm kaynak gruplarda Mantıksal Uygulama Katkıda Bulunanı rolüne sahipsiniz.

    • Çok kiracılı bir dağıtımda, çalıştırmak istediğiniz playbook farklı bir kiracıda ise playbook'un kiracısına playbook'Azure Sentinel çalıştırma iznini vermalısınız.

      1. Playbook'ların Azure Sentinel gezinti menüsünden Ayarlar'ı seçin.
      2. Ayarlar dikey penceresinde Ayarlar sekmesini ve ardından Playbook izinleri genişleticisini seçin.
      3. İzinleri yapılandır düğmesine tıklayarak yukarıda belirtilen İzinleri yönet panelini açın ve burada açıklandığı gibi devam eder.
    • BIR MSSP senaryosunda, hizmet sağlayıcısı kiracısı oturum aoluşturulduğunda oluşturulan bir otomasyon kuralından bir müşteri kiracısı içinde playbook çalıştırmak istiyorsanız, her iki kiracıda da playbook'Azure Sentinel çalıştırmak için Azure Sentinel iznini verebilirsiniz _. _ müşteri kiracısı içinde, önceki madde noktasında çok kiracılı dağıtım yönergelerini izleyin. Hizmet sağlayıcısı kiracısına Azure Security Insights uygulamasını uygulama ekleme şablonuna Azure Lighthouse gerekir:

      1. Azure Portal'dan Azure Active Directory.
      2. Kurumsal Uygulamalar'a tıklayın.
      3. Uygulama Türü'ne tıklayın ve Microsoft Uygulamaları'nın filtresini seçin.
      4. Arama kutusuna Azure Güvenlik Öngörüleri yazın.
      5. Nesne Kimliği alanını kopyalayın. Bu ek yetkilendirmeyi mevcut temsilci temsilcinize Azure Lighthouse gerekir.

      Otomasyon Azure Sentinel rolü, sabit bir GUID'ye ( ) f4c81013-99ee-4d62-a7ee-b3f1f648599a sahip. Örnek Azure Lighthouse yetkilendirmesi, parametre şablonunda şöyle olabilir:

      {
           "principalId": "<Enter the Azure Security Insights app Object ID>", 
           "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
           "principalIdDisplayName": "Azure Sentinel Automation Contributors" 
      }
      
  7. Otomasyon kuralınız için bir sona erme tarihi ayarlayın.

  8. Bu kuralın otomasyon kuralları dizisinde nerede çalıştıracaklarını belirlemek için Sipariş'in altına bir sayı girin.

  9. Uygula’ya tıklayın. Bitti!

Otomasyon kuralları oluşturmanın diğer yollarını keşfedin.

Uyarılara yanıt verme

Bir playbook kullanarak uyarıya yanıt vermek için bir analiz kuralı oluşturabilir veya uyarı üretilen mevcut bir kuralı düzenleyerek ve analiz kuralı sihirbazında playbook'larınızı otomatik yanıt olarak seçerek çalışırsınız.

  1. Azure Sentinel gezinti menüsündeki Analiz dikey penceresinde yanıtı otomatikleştirmek istediğiniz analiz kuralını seçin ve ayrıntılar bölmesinde Düzenle'ye tıklayın.

  2. Analiz kuralı sihirbazı - Mevcut kuralı düzenle sayfasında Otomatik yanıt sekmesini seçin.

    Otomatik yanıt sekmesi

  3. Açılan listeden playbook'larınızı seçin. Birden fazla playbook seçebilirsiniz, ancak yalnızca uyarı tetikleyicisi kullanan playbook'lar kullanılabilir.

  4. Gözden geçir ve oluştur sekmesinde Kaydet'i seçin.

İsteğe bağlı bir playbook çalıştırma

Playbook'ları isteğe bağlı olarak da çalıştır.

Not

Yalnızca uyarı tetikleyicisini kullanan playbook'lar isteğe bağlı olarak çalıştırabilirsiniz.

Playbook'ları isteğe bağlı olarak çalıştırmak için:

  1. Olaylar sayfasında bir olay seçin ve Tüm ayrıntıları görüntüle'ye tıklayın.

  2. Uyarılar sekmesinde playbook'u çalıştırmak istediğiniz uyarıya tıklayın ve sağ tarafta kaydırarak Playbook'ları görüntüle'ye tıklayın ve abonelikte kullanılabilir playbook'lar listesinden çalıştıracak playbook'u seçin.

Sonraki adımlar

Bu öğreticide tehditlere yanıt vermek için playbook'ları ve otomasyon Azure Sentinel kullanmayı öğrendinsiniz.