Автоматизация в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR)
Команды по управлению безопасностью и событиями (SIEM) и центру управления безопасностью (SOC) обычно переполнены оповещениями системы безопасности и инцидентами на регулярной основе на томах, что доступные сотрудники перегружены. В результате этого очень часто многие оповещения игнорируются, а многие инциденты не анализируются, из-за чего организация остается уязвимой для атак, которые не были замечены.
Microsoft Sentinel, помимо системы SIEM, также является платформой для оркестрации безопасности, автоматизации и реагирования (SOAR). Одним из основных целей является автоматизация любых повторяющихся и прогнозируемых задач обогащения, реагирования и исправления, которые несут ответственность за центр безопасности и персонал (SOC/SecOps), освобождая время и ресурсы для более подробного изучения и поиска расширенных угроз.
В этой статье описаны возможности SOAR Microsoft Sentinel и показано, как использовать правила автоматизации и сборники схем в ответ на угрозы безопасности повышает эффективность SOC и экономит время и ресурсы.
Внимание
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Правила автоматизации
Microsoft Sentinel использует правила автоматизации, позволяющие пользователям управлять автоматизацией обработки инцидентов из центрального расположения. Используйте правила автоматизации для:
- Назначение более расширенной автоматизации инцидентам и оповещениям с помощью сборников схем
- Автоматическое добавление тегов, назначение или закрытие инцидентов без сборника схем
- Автоматизация ответов для нескольких правил аналитики одновременно
- Создание списков задач для аналитиков для выполнения при обработке, расследовании и устранении инцидентов
- Управление порядком выполняемых действий
Рекомендуется применять правила автоматизации при создании или обновлении инцидентов, чтобы упростить автоматизацию и упростить сложные рабочие процессы для процессов оркестрации инцидентов.
Дополнительные сведения см. в статье Автоматизации реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.
Сборники схем
Сборник схем — это набор таких действий по исправлению, которые можно запустить из Microsoft Sentinel в качестве подпрограммы. Сборник схем может:
- Помощь в автоматизации и оркестрации ответа на угрозы
- Интеграция с другими системами, как внутренними, так и внешними
- Настроить автоматическое выполнение в ответ на определенные оповещения или инциденты или запустить вручную по запросу, например в ответ на новые оповещения.
В Microsoft Sentinel сборники схем основаны на рабочих процессах, встроенных в Azure Logic Apps, облачной службе, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в разных системах по всей организации. Это означает, что сборникам схем доступны все возможности интеграции и управления Logic Apps, в том числе возможности настройки, и простые в использовании инструменты проектирования, а также масштабируемость, надежность и уровень обслуживания службы Azure уровня 1.
Дополнительные сведения см. в разделе Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
Автоматизация с помощью единой платформы операций безопасности
После подключения рабочей области Microsoft Sentinel к единой платформе операций безопасности обратите внимание на следующие различия в том, как функции автоматизации в рабочей области:
| Функциональность | Description |
|---|---|
| Правила автоматизации с триггерами оповещений | В единой платформе операций безопасности правила автоматизации с триггерами оповещений действуют только в оповещениях Microsoft Sentinel. Дополнительные сведения см. в разделе "Триггер создания оповещений". |
| Правила автоматизации с триггерами инцидентов | В портал Azure и единой платформе операций безопасности свойство условия поставщика инцидентов удаляется, так как все инциденты имеют XDR в Microsoft Defender в качестве поставщика инцидентов (значение в поле ProviderName). На этом этапе все существующие правила автоматизации выполняются как в инцидентах Microsoft Sentinel, так и в XDR в Microsoft Defender, в том числе в тех случаях, когда условие поставщика инцидентов установлено только для Microsoft Sentinel или Microsoft 365 Defender. Однако правила автоматизации, указывающие определенное имя правила аналитики, выполняются только в инцидентах, содержащих оповещения, созданные указанным правилом аналитики. Это означает, что свойство условия имени правила аналитики можно определить в правиле аналитики, которое существует только в Microsoft Sentinel, чтобы ограничить выполнение правила на инциденты только в Microsoft Sentinel. Дополнительные сведения см. в разделе "Условия триггера инцидента". |
| Изменения существующих имен инцидентов | На единой платформе операций SOC портал Defender использует уникальный механизм для сопоставления инцидентов и оповещений. При подключении рабочей области к единой платформе операций SOC существующие имена инцидентов могут быть изменены, если применяется корреляция. Чтобы правила автоматизации всегда выполнялись правильно, рекомендуется избегать использования заголовков инцидентов в качестве условий в правилах автоматизации и предлагать вместо этого использовать имя любого правила аналитики, которое создало оповещения, включенные в инцидент, и теги, если требуется более конкретное значение. |
| Обновлено по полю | Дополнительные сведения см. в разделе "Триггер обновления инцидентов". |
| Правила автоматизации, добавляющие задачи инцидента | Если правило автоматизации добавляет задачу инцидента, задача отображается только в портал Azure. |
| Правила создания инцидентов Майкрософт | Правила создания инцидентов Майкрософт не поддерживаются на унифицированной платформе операций безопасности. Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт. |
| Выполнение правил автоматизации на портале Defender | Это может занять до 10 минут с момента активации оповещения и создания или обновления инцидента на портале Defender до момента запуска правила автоматизации. На этот раз задержка связана с тем, что инцидент создается на портале Defender, а затем пересылается в Microsoft Sentinel для правила автоматизации. |
| Вкладка "Активные сборники схем" | После подключения к единой платформе операций безопасности по умолчанию на вкладке "Активные сборники схем" отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure добавьте данные для других подписок с помощью фильтра подписки. Дополнительные сведения см. в статье "Создание и настройка сборников схем Microsoft Sentinel" из шаблонов контента. |
| Выполнение сборников схем вручную по запросу | В настоящее время в единой платформе операций безопасности не поддерживаются следующие процедуры: |
| Выполнение сборников схем в инцидентах требует синхронизации Microsoft Sentinel | Если вы пытаетесь запустить сборник схем на инциденте из единой платформы операций безопасности и увидите сообщение "Не удается получить доступ к данным, связанным с этим действием. Обновите экран через несколько минут". сообщение, это означает, что инцидент еще не синхронизирован с Microsoft Sentinel. Обновите страницу инцидента после синхронизации инцидента, чтобы успешно запустить сборник схем. |
| Инциденты: добавление оповещений в инциденты / Удаление оповещений из инцидентов |
Так как добавление оповещений или удаление оповещений из инцидентов не поддерживается после подключения рабочей области к единой платформе операций безопасности, эти действия также не поддерживаются в сборниках схем. Дополнительные сведения см. в разделе "Различия возможностей между порталами". |