Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Центры безопасности (SOC) сталкиваются с постоянным потоком оповещений и инцидентов системы безопасности. Эффективное управление ими имеет решающее значение для обеспечения надежной безопасности вашей организации. Microsoft Sentinel сборники схем — это автоматизированные рабочие процессы, которые помогают быстро и согласованно реагировать на угрозы. В этой статье показано, как использовать сборники схем в Microsoft Sentinel, чтобы автоматизировать реагирование на угрозы, сократить усилия вручную и позволить вашей команде сосредоточиться на более глубоких исследованиях.
Используйте Microsoft Sentinel сборники схем для выполнения предварительно настроенных наборов действий по исправлению, а также для автоматизации и оркестрации реагирования на угрозы. Автоматически запускайте сборники схем в ответ на определенные оповещения и инциденты, которые активируют настроенное правило автоматизации, или запускайте их вручную для определенной сущности или оповещения.
Например, если учетная запись и компьютер скомпрометированы, сборник схем может автоматически изолировать компьютер от сети и заблокировать учетную запись до того, как команда SOC получит уведомление об инциденте.
Примечание.
Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Дополнительные сведения см. на странице цен на Azure Logic Apps.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Рекомендуемые варианты использования
В следующей таблице перечислены распространенные варианты использования, в которых Microsoft Sentinel сборники схем помогают автоматизировать реагирование на угрозы.
| Вариант использования | Описание |
|---|---|
| Обогащения | Соберите данные и вложите их в инцидент, чтобы ваша команда могла принимать более обоснованные решения. |
| Двунаправленная синхронизация | Синхронизация инцидентов Microsoft Sentinel с другими системами обработки запросов. Например, создайте правило автоматизации для всех новых инцидентов и вложите сборник схем, который открывает билет в ServiceNow. |
| Согласование | Используйте платформу чата команды SOC для управления очередью инцидентов. Например, отправьте сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы аналитики безопасности знали об инциденте. |
| Отклик | Реагирование на угрозы сразу же с минимальным участием человека, например при обнаружении скомпрометированного пользователя или компьютера. Или вручную активировать автоматические шаги во время исследования или во время охоты. |
Дополнительные сведения см. в разделе Рекомендуемые варианты использования сборника схем, шаблоны и примеры.
Предварительные условия
Чтобы использовать Azure Logic Apps для создания и запуска сборников схем в Microsoft Sentinel, вам потребуются следующие роли.
| Role | Описание |
|---|---|
| Owner | Позволяет предоставить доступ к сборникам схем в группе ресурсов. |
| Участник Microsoft Sentinel | Позволяет присоединить сборник схем к правилу аналитики или автоматизации. |
| Ответчик Microsoft Sentinel | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор сборника схем Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать сборники схем. Эта роль не используется ни для каких других целей. |
В следующей таблице описаны необходимые роли в зависимости от того, выбрали ли вы приложение логики для потребления или Standard для создания сборника схем.
| Приложение логики | Роли в Azure | Описание |
|---|---|---|
| Потребление | Участник приложения логики | Изменение приложений логики и управление ими. Запуск сборников схем. Не позволяет предоставлять доступ к сборникам схем. |
| Потребление | Оператор приложения логики | Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять приложения логики. |
| Стандартный | Оператор Standard Logic Apps | Включение, повторная отправка и отключение рабочих процессов в приложении логики. |
| Стандартный | Разработчик Standard Logic Apps | Создание и изменение приложений логики. |
| Стандартный | Участник Standard Logic Apps | Управление всеми аспектами приложения логики. |
На вкладке Активные сборники схем на странице автоматизация отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если вы специально не предоставите Microsoft Sentinel разрешения группе ресурсов сборника схем.
Дополнительные разрешения, необходимые Microsoft Sentinel для запуска сборников схем
Microsoft Sentinel использует учетную запись службы для запуска сборников схем для инцидентов, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, активированных инцидентами, или при запуске сборника схем вручную для конкретного инцидента.
Помимо ваших собственных ролей и разрешений, эта Microsoft Sentinel учетная запись службы должна иметь собственный набор разрешений на группу ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel. Когда Microsoft Sentinel получает эту роль, он может запустить любой сборник схем в соответствующей группе ресурсов вручную или из правила автоматизации.
Чтобы предоставить Microsoft Sentinel с необходимыми разрешениями, необходимо иметь роль владельца или администратора доступа пользователей. Чтобы запустить сборники схем, вам также потребуется роль Участник приложения логики в группе ресурсов, содержащей сборники схем, которые вы хотите запустить.
Шаблоны сборников схем (предварительная версия)
Важно!
Шаблоны сборников схем в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступной версии, см. в дополнительных условиях использования для microsoft Azure preview.
Шаблоны сборников схем — это предварительно созданные, протестированные и готовые к использованию рабочие процессы, которые не используются как сами сборники схем, но готовы к настройке в соответствии с вашими потребностями. Мы также рекомендуем использовать шаблоны сборников схем в качестве рекомендации по разработке сборников схем с нуля или в качестве вдохновения для новых сценариев автоматизации.
Получите шаблоны сборников схем из следующих источников:
| Расположение | Описание |
|---|---|
| страница автоматизации Microsoft Sentinel | На вкладке Шаблоны сборников схем отображаются все установленные сборники схем. Создайте один или несколько активных сборников схем с помощью одного шаблона. При публикации новой версии шаблона все активные сборники схем, созданные из этого шаблона, получают дополнительную метку на вкладке Активные сборники схем , чтобы показать, что доступно обновление. |
| страница центра содержимого Microsoft Sentinel | Шаблоны сборников схем являются частью решений продуктов или автономного содержимого, устанавливаемого из центра содержимого. Дополнительные сведения см. в разделе: Сведения о содержимом и решениях Microsoft Sentinel Обнаружение содержимого Microsoft Sentinel и управление ими |
| GitHub | Репозиторий GitHub Microsoft Sentinel содержит множество других шаблонов сборников схем. Выберите Развернуть в Azure, чтобы развернуть шаблон в подписке Azure. |
Шаблон сборника схем — это шаблон Azure Resource Manager (ARM), включающий несколько ресурсов: рабочий процесс Azure Logic Apps и подключения API для каждого задействованного подключения.
Дополнительные сведения см. в разделе:
- Создание и настройка сборников схем Microsoft Sentinel из шаблонов контента
- Рекомендуемые шаблоны сборников схем
- Azure Logic Apps для сборников схем Microsoft Sentinel
Рабочий процесс создания и использования сборника схем
Выполните следующие действия, чтобы создать и запустить Microsoft Sentinel сборники схем.
Определите сценарий автоматизации. Ознакомьтесь с рекомендуемыми вариантами использования сборников схем и шаблонами схем , чтобы приступить к работе.
Если вы не используете шаблон, создайте сборник схем и создайте приложение логики. Дополнительные сведения см. в статье Создание сборников схем Microsoft Sentinel и управление ими.
Протестируйте приложение логики, запустив его вручную. Дополнительные сведения см. в статье Запуск сборника схем вручную по запросу.
Настройте сборник схем для автоматического запуска при создании нового оповещения или инцидента или запустите его вручную по мере необходимости для процесса. Дополнительные сведения см. в статье Реагирование на угрозы с помощью Microsoft Sentinel сборников схем.