Поделиться через


Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel

Аналитики SOC имеют дело с множеством оповещений системы безопасности и инцидентов, и более простой объем может перегружать команды, что приводит к проигнорированию оповещений и нерасследованных инцидентов. Множество оповещений и инцидентов можно устранить теми же наборами предопределенных действий по исправлению, которые можно автоматизировать, чтобы сделать SOC более эффективным и освободить аналитиков для более глубоких исследований.

Используйте сборники схем Microsoft Sentinel для запуска предварительно настроенных наборов действий по исправлению для автоматизации и оркестрации реагирования на угрозы. Автоматически запускайте сборники схем в ответ на определенные оповещения и инциденты, которые активируют настроенное правило автоматизации или вручную и по запросу для определенной сущности или оповещения.

Например, если учетная запись и компьютер скомпрометируются, сборник схем может автоматически изолировать компьютер от сети и заблокировать учетную запись по времени уведомления команды SOC об инциденте.

Примечание.

Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Подробные сведения о ценах см. на странице цен на Azure Logic Apps.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

В следующей таблице перечислены высокоуровневые варианты использования, в которых рекомендуется использовать сборники схем Microsoft Sentinel для автоматизации ответа на угрозы:

Вариант использования Description
Обогащение Соберите данные и подключите его к инциденту, чтобы помочь вашей команде принимать более умные решения.
Двунаправленная синхронизация Синхронизация инцидентов Microsoft Sentinel с другими системами запросов. Например, создайте правило автоматизации для всех создания инцидентов и вложите сборник схем, который открывает билет в ServiceNow.
Оркестрация Используйте платформу чата команды SOC, чтобы лучше контролировать очередь инцидентов. Например, отправьте сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы убедиться, что аналитики безопасности осведомлены об инциденте.
Response Немедленно реагировать на угрозы с минимальными зависимостями человека, например при указании скомпрометированного пользователя или компьютера. Кроме того, вручную активируйте ряд автоматизированных шагов во время исследования или во время охоты.

Дополнительные сведения см. в рекомендуемых вариантах использования сборников схем, шаблонах и примерах.

Необходимые компоненты

Для создания и запуска сборников схем в Microsoft Sentinel необходимо использовать Azure Logic Apps.

Роль Описание
Ответственное лицо Позволяет предоставить доступ к сборникам схем в группе ресурсов.
Участник Microsoft Sentinel Позволяет подключить сборник схем к правилу аналитики или автоматизации.
Microsoft Sentinel Responder Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем.
Оператор сборника схем Microsoft Sentinel Позволяет запускать сборник схем вручную.
Участник службы автоматизации Microsoft Sentinel Позволяет правилам автоматизации запускать сборники схем. Эта роль не используется для других целей.

В следующей таблице описаны необходимые роли на основе выбора приложения логики "Потребление" или "Стандартный" для создания сборника схем:

Приложение логики Роли в Azure Description
Потребление Создатель приложений логики Изменение приложений логики и управление ими. Запустите сборники схем. Не позволяет предоставлять доступ к сборникам схем.
Потребление Оператор приложений логики Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять приложения логики.
Стандартные Стандартный оператор Logic Apps Включение, повторная отправка и отключение рабочих процессов в приложении логики.
Стандартные Разработчик Logic Apps уровня "Стандартный" Создание и изменение приложений логики.
Стандартные Участник Logic Apps уровня "Стандартный" Управление всеми аспектами приложения логики.

На вкладке "Активные сборники схем" на странице автоматизации отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если только вы не предоставьте microsoft Sentinel разрешения группе ресурсов сборника схем.

Дополнительные разрешения, необходимые для запуска сборников схем Microsoft Sentinel

Microsoft Sentinel использует учетную запись службы для запуска сборников схем в инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, инициируемых инцидентом, или при запуске сборника схем вручную в определенном инциденте.

Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel. После того как Microsoft Sentinel имеет эту роль, она может запускать любую сборник схему в соответствующей группе ресурсов вручную или из правила автоматизации.

Чтобы предоставить Microsoft Sentinel с необходимыми разрешениями, необходимо иметь роль администратора доступа владельца или пользователя. Чтобы запустить сборники схем, вам также потребуется роль участника приложения логики в группе ресурсов, содержащей сборники схем, которые требуется запустить.

Шаблоны сборников схем (предварительная версия)

Внимание

Шаблоны сборников схем сейчас находятся на этапе предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Шаблоны сборников схем предварительно создаются, тестируются и готовы к использованию рабочие процессы, которые не используются в качестве сборников схем, но готовы к настройке в соответствии с вашими потребностями. Мы также рекомендуем использовать шаблоны сборников схем в качестве ссылки на рекомендации при разработке сборников схем с нуля или в качестве вдохновения для новых сценариев автоматизации.

Доступ к шаблонам сборников схем из следующих источников:

Расположение Description
Страница автоматизации Microsoft Sentinel На вкладке "Шаблоны сборников схем" перечислены все установленные сборники схем. Создайте одну или несколько активных сборников схем с помощью одного шаблона.

При публикации новой версии шаблона все активные сборники схем, созданные из этого шаблона, имеют дополнительную метку, добавленную на вкладке "Активные сборники схем" , чтобы указать, что обновление доступно.
Страница Центра содержимого Microsoft Sentinel Шаблоны сборников схем доступны как часть решений продуктов или автономного содержимого, установленного из концентратора контента.

Для получения дополнительной информации см.
О содержании и решениях Microsoft Sentinel
Обнаружение содержимого Microsoft Sentinel и управление ими
GitHub Репозиторий Microsoft Sentinel GitHub содержит множество других шаблонов сборников схем. Выберите "Развернуть в Azure ", чтобы развернуть шаблон в подписке Azure.

Технически шаблон сборника схем — это шаблон Azure Resource Manager (ARM), который состоит из нескольких ресурсов: рабочего процесса Azure Logic Apps и подключений API для каждого соединения.

Дополнительные сведения см. в разделе:

Рабочий процесс создания и использования сборников схем

Используйте следующий рабочий процесс для создания и запуска сборников схем Microsoft Sentinel:

  1. Определите сценарий автоматизации. Рекомендуется ознакомиться с рекомендуемыми вариантами использования сборников схем и шаблонами сборников схем.

  2. Если вы не используете шаблон, создайте сборник схем и создайте приложение логики. Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".

    Протестируйте приложение логики, запустив его вручную. Дополнительные сведения см. в разделе "Запуск сборника схем вручную" по запросу.

  3. Настройте сборник схем для автоматического запуска в новом оповещении или создании инцидентов или запустите его вручную при необходимости для ваших процессов. Дополнительные сведения см. в статье "Реагирование на угрозы" с помощью сборников схем Microsoft Sentinel.