Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Команды по управлению безопасностью и событиями (SIEM) и центру управления безопасностью (SOC) обычно переполнены оповещениями системы безопасности и инцидентами на регулярной основе на томах, что доступные сотрудники перегружены. В результате этого очень часто многие оповещения игнорируются, а многие инциденты не анализируются, из-за чего организация остается уязвимой для атак, которые не были замечены.
Microsoft Sentinel, помимо системы SIEM, также является платформой для оркестрации безопасности, автоматизации и реагирования (SOAR). Одним из основных целей является автоматизация любых повторяющихся и прогнозируемых задач обогащения, реагирования и исправления, которые несут ответственность за центр безопасности и персонал (SOC/SecOps), освобождая время и ресурсы для более подробного изучения и поиска расширенных угроз.
В этой статье описаны возможности SOAR Microsoft Sentinel и показано, как использовать правила автоматизации и сборники схем в ответ на угрозы безопасности повышает эффективность SOC и экономит время и ресурсы.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Правила автоматизации
Microsoft Sentinel использует правила автоматизации, позволяющие пользователям управлять автоматизацией обработки инцидентов из центрального расположения. Используйте правила автоматизации для:
- Назначение более расширенной автоматизации инцидентам и оповещениям с помощью сборников схем
- Автоматическое добавление тегов, назначение или закрытие инцидентов без сборника схем
- Автоматизация ответов для нескольких правил аналитики одновременно
- Создание списков задач для аналитиков для выполнения при обработке, расследовании и устранении инцидентов
- Управление порядком выполняемых действий
Рекомендуется применять правила автоматизации при создании или обновлении инцидентов, чтобы упростить автоматизацию и упростить сложные рабочие процессы для процессов оркестрации инцидентов.
Дополнительные сведения см. в статье Автоматизации реагирования на угрозы в Microsoft Sentinel с помощью правил автоматизации.
Сборники схем
Сборник схем — это набор таких действий по исправлению, которые можно запустить из Microsoft Sentinel в качестве подпрограммы. Сборник схем может:
- Помощь в автоматизации и оркестрации ответа на угрозы
- Интеграция с другими системами, как внутренними, так и внешними
- Настроить автоматическое выполнение в ответ на определенные оповещения или инциденты или запустить вручную по запросу, например в ответ на новые оповещения.
В Microsoft Sentinel сборники схем основаны на рабочих процессах, встроенных в Azure Logic Apps, облачной службе, которая помогает планировать, автоматизировать и оркестрировать задачи и рабочие процессы в разных системах по всей организации. Это означает, что сборникам схем доступны все возможности интеграции и управления Logic Apps, в том числе возможности настройки, и простые в использовании инструменты проектирования, а также масштабируемость, надежность и уровень обслуживания службы Azure уровня 1.
Дополнительные сведения см. в разделе Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
Автоматизация на портале Microsoft Defender
Обратите внимание на следующие сведения о том, как работает автоматизация для Microsoft Sentinel на портале Defender. Если вы являетесь существующим клиентом, который переходит с портала Azure на портал Defender, вы можете отметить изменения в том, как автоматизация функционирует в вашей рабочей области после перехода на портал Defender.
| Функциональность | Описание |
|---|---|
| Правила автоматизации с триггерами оповещений | На портале Defender правила автоматизации с триггерами оповещений действуют только в оповещениях Microsoft Sentinel. Дополнительные сведения см. в разделе "Триггер создания оповещений". |
| Правила автоматизации с триггерами инцидентов | На портале Azure и на портале Defender свойство условия поставщика инцидентов удаляется, так как все инциденты имеют Microsoft XDR в качестве поставщика инцидентов (значение в поле ProviderName ). На этом этапе все существующие правила автоматизации выполняются как в инцидентах Microsoft Sentinel, так и в XDR в Microsoft Defender, в том числе в тех случаях, когда условие поставщика инцидентов установлено только для Microsoft Sentinel или Microsoft 365 Defender. Однако правила автоматизации, указывающие определенное имя правила аналитики, выполняются только в инцидентах, содержащих оповещения, созданные указанным правилом аналитики. Это означает, что свойство условия имени правила аналитики можно определить в правиле аналитики, которое существует только в Microsoft Sentinel, чтобы ограничить выполнение правила на инциденты только в Microsoft Sentinel. Кроме того, после подключения к порталу Defender таблица SecurityIncident больше не содержит поле "Описание ". Следовательно: — Если вы используете это поле Description в качестве условия для правила автоматизации с триггером создания инцидента, это правило автоматизации не будет работать после подключения к порталу Defender. В таких случаях обязательно обновите конфигурацию соответствующим образом. Дополнительные сведения см. в разделе "Условия триггера инцидента". — Если у вас настроена интеграция с внешней системой запросов, например ServiceNow, то описание инцидента будет пропущено. |
| Задержка в триггерах сборника схем | Для появления инцидентов Microsoft Defender в Microsoft Sentinel может потребоваться до 5 минут . Если эта задержка присутствует, активация сборника схем также задерживается. |
| Изменения существующих имен инцидентов | Портал Defender использует уникальный механизм для сопоставления инцидентов и оповещений. При подключении рабочей области к порталу Defender существующие имена инцидентов могут быть изменены, если применяется корреляция. Чтобы правила автоматизации всегда выполнялись правильно, рекомендуется избегать использования заголовков инцидентов в качестве условий в правилах автоматизации и предлагать вместо этого использовать имя любого правила аналитики, которое создало оповещения, включенные в инцидент, и теги, если требуется более конкретное значение. |
| Обновлено по полю | Дополнительные сведения см. в разделе "Триггер обновления инцидентов". |
| Создание правил автоматизации непосредственно из инцидента | Создание правил автоматизации непосредственно из инцидента поддерживается только в портал Azure. Если вы работаете на портале Defender, создайте правила автоматизации с нуля со страницы автоматизации . |
| Правила создания инцидентов Майкрософт | Правила создания инцидентов Майкрософт не поддерживаются на портале Defender. Дополнительные сведения см. в статье об инцидентах XDR в Microsoft Defender и правилах создания инцидентов Майкрософт. |
| Выполнение правил автоматизации на портале Defender | Это может занять до 10 минут с момента активации оповещения и создания или обновления инцидента на портале Defender до момента запуска правила автоматизации. На этот раз задержка связана с тем, что инцидент создается на портале Defender, а затем пересылается в Microsoft Sentinel для правила автоматизации. |
| Вкладка "Активные сборники схем" | После подключения к порталу Defender по умолчанию на вкладке "Активные сборники схем" отображается предопределенный фильтр с подпиской подключенной рабочей области. В портал Azure добавьте данные для других подписок с помощью фильтра подписки. Дополнительные сведения см. в статье Создание и настройка плейбуков Microsoft Sentinel по шаблонам. |
| Выполнение сборников схем вручную по запросу | В настоящее время на портале Defender не поддерживаются следующие процедуры: |
| Выполнение сборников схем в инцидентах требует синхронизации Microsoft Sentinel | Если вы попытаетесь запустить сборник схем на портале Defender и увидите сообщение "Не удается получить доступ к данным, связанным с этим действием. Обновите экран через несколько минут". сообщение, это означает, что инцидент еще не синхронизирован с Microsoft Sentinel. Обновите страницу инцидента после синхронизации инцидента, чтобы успешно запустить сборник схем. |
|
Инциденты: добавление оповещений в инциденты / Удаление оповещений из инцидентов |
Так как добавление оповещений или удаление оповещений из инцидентов не поддерживается после подключения рабочей области к порталу Defender, эти действия также не поддерживаются из сборников схем. Дополнительные сведения см. в статье о сопоставлении оповещений и объединения инцидентов на портале Defender. |
| Интеграция XDR в Microsoft Defender в нескольких рабочих областях | Если вы интегрировали данные XDR с более чем одной рабочей областью в одном арендаторе, теперь данные будут приниматься только в основную рабочую область на портале Defender. Перенесите правила автоматизации в соответствующую рабочую область, чтобы обеспечить их выполнение. |
| Автоматизация и подсистема корреляции | Подсистема корреляции может объединять оповещения из нескольких сигналов в один инцидент, что может привести к автоматизации получения данных, которые вы не ожидали. Мы рекомендуем просмотреть правила автоматизации, чтобы убедиться, что вы видите ожидаемые результаты. |