Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Центры управления безопасностью (SOCS) сталкиваются с постоянным потоком оповещений и инцидентов безопасности. Управление этими средствами крайне важно для обеспечения безопасности вашей организации. Сборники схем Microsoft Sentinel — это автоматизированные рабочие процессы, которые помогают быстро и согласованно реагировать на угрозы. В этой статье показано, как использовать сборники схем в Microsoft Sentinel для автоматизации реагирования на угрозы, сокращения усилий вручную и позволить вашей команде сосредоточиться на более глубоких исследованиях.
Используйте сборники схем Microsoft Sentinel для запуска предварительно настроенных наборов действий по исправлению и автоматизации и оркестрации ответа на угрозы. Автоматически запускайте плейбуки в ответ на определенные оповещения и инциденты, которые триггерят настроенное правило автоматизации, или запускайте их вручную для конкретной сущности или оповещения.
Например, если учетная запись и компьютер скомпрометируются, сборник схем может автоматически изолировать компьютер от сети и заблокировать учетную запись перед уведомлением команды SOC об инциденте.
Примечание.
Поскольку плейбуки используют Azure Logic Apps, могут взиматься дополнительные расходы. Дополнительные сведения см. на странице цен Azure Logic Apps .
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Рекомендуемые варианты использования
В следующей таблице перечислены распространенные варианты использования, в которых сборники схем Microsoft Sentinel помогают автоматизировать реагирование на угрозы:
| Вариант использования | Описание |
|---|---|
| Обогащение | Соберите данные и прикрепите его к инциденту, чтобы ваша команда могли принимать лучшие решения. |
| Двунаправленная синхронизация | Синхронизация инцидентов Microsoft Sentinel с другими системами тикетов. Например, создайте правило автоматизации для всех новых инцидентов и вложите сборник схем, который открывает билет в ServiceNow. |
| Оркестрация | Используйте платформу чата команды SOC для управления очередью инцидентов. Например, отправьте сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы аналитики безопасности знали об инциденте. |
| Ответ | Реагирование на угрозы сразу же с минимальным участием человека, например при обнаружении скомпрометированного пользователя или компьютера. Или вручную активируйте автоматические шаги во время исследования или во время охоты. |
Дополнительные сведения см. в рекомендуемых вариантах использования сборников схем, шаблонах и примерах.
Предварительные условия
Чтобы создать и запускать плейбуки в Microsoft Sentinel, вам потребуются следующие роли для использования Azure Logic Apps.
| Роль | Описание |
|---|---|
| Владелец | Позволяет предоставить доступ к плейбукам в группе ресурсов. |
| Участник Microsoft Sentinel | Позволяет подключить сборник схем к правилу аналитики или автоматизации. |
| Microsoft Sentinel Responder | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор плейбука Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать плейбуки. Эта роль не используется для других целей. |
В следующей таблице описаны необходимые роли в зависимости от того, выбираете ли вы логическое приложение типа "Consumption" или "Standard" для создания плейбука.
| Логическое приложение | Роли в Azure | Описание |
|---|---|---|
| Потребление | Владелец Logic App | Редактирование и управление приложениями логики. Запустите плейбуки. Не позволяет предоставлять доступ к плейбукам. |
| Потребление | Оператор приложения логики | Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять логические приложения. |
| Стандарт | Стандартный оператор Logic Apps | Включение, повторная отправка заявок и отключение рабочих процессов в логическом приложении. |
| Стандарт | Разработчик Logic Apps уровня "Стандартный" | Создание и изменение приложений логики. |
| Стандарт | Участник Logic Apps Standard | Управление всеми аспектами приложения логики. |
На вкладке "Активные сборники схем" на странице автоматизации отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию плейбук можно использовать только в подписке, к которой он принадлежит, если только вы не предоставите Microsoft Sentinel разрешения группе ресурсов.
Дополнительные разрешения, необходимые для запуска плейбуков в Microsoft Sentinel
Microsoft Sentinel использует учетную запись сервиса для запуска плейбуков на инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для плейбуков, триггерируемых инцидентом, или при запуске плейбука вручную на конкретном инциденте.
Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel . Как только Microsoft Sentinel получает эту роль, оно может запускать любой плейбук в соответствующей группе ресурсов вручную или через правило автоматизации.
Чтобы предоставить Microsoft Sentinel необходимые разрешения, необходимо иметь роль владельца или администратора доступа пользователя. Чтобы запустить плейбуки, вам также потребуется роль Logic App Contributor в группе ресурсов, содержащей плейбуки, которые требуется запустить.
Шаблоны плейбуков (предварительный просмотр)
Внимание
Шаблоны плейбуков сейчас в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Шаблоны рабочих процессов — это предварительно созданные, протестированные и готовые к использованию процессы, которые сами по себе не могут использоваться в качестве рабочих процессов, но готовы к настройке в соответствии с вашими потребностями. Мы также рекомендуем использовать шаблоны сборников схем в качестве ссылки на рекомендации при разработке сборников схем с нуля или в качестве вдохновения для новых сценариев автоматизации.
Получите шаблоны планов из следующих источников:
| Расположение | Описание |
|---|---|
| Страница автоматизации Microsoft Sentinel | На вкладке "Шаблоны плейбуков" отображаются все установленные плейбуки. Создайте один или несколько активных плейбуков, используя тот же шаблон. При публикации новой версии шаблона все активные сборники схем, созданные из этого шаблона, получают дополнительную метку на вкладке "Активные сборники схем" , чтобы показать, что обновление доступно. |
| Страница Центра содержимого Microsoft Sentinel | Шаблоны плейбуков являются частью продуктовых решений или автономного содержимого, устанавливаемого из центра контента. Для получения дополнительной информации см. Сведения о содержимом и решениях Microsoft Sentinel Найдите и управляйте готовым содержимым Microsoft Sentinel |
| Сайт GitHub | Репозиторий Microsoft Sentinel GitHub содержит множество других шаблонов плейбуков. Выберите "Развернуть в Azure ", чтобы развернуть шаблон в подписке Azure. |
Шаблон плэйбука — это шаблон Azure Resource Manager (ARM), который включает несколько ресурсов: рабочий процесс Azure Logic Apps и подключения API для каждого задействованного подключения.
Дополнительные сведения см. в разделе:
- Создание и настройка плейбуков Microsoft Sentinel из шаблонов содержания
- Рекомендуемые шаблоны плейбуков
- Сборники схем Azure Logic Apps для Microsoft Sentinel
Процесс создания и использования плейбука
Выполните следующие действия, чтобы создать и запустить плейбуки Microsoft Sentinel:
Определите сценарий автоматизации. Ознакомьтесь с рекомендуемыми вариантами использования сборников схем и шаблонами сборников схем, чтобы приступить к работе.
Если вы не используете шаблон, создайте сборник схем и создайте приложение логики. Дополнительные сведения см. в статье "Создание сборников схем Microsoft Sentinel и управление ими".
Протестируйте приложение логики, запустив его вручную. Дополнительные сведения см. в разделе "Запуск сборника схем вручную" по запросу.
Настройте сборник схем для автоматического запуска при создании нового оповещения или инцидента или запускайте его вручную по мере необходимости. Дополнительные сведения см. в статье "Реагирование на угрозы" с помощью сборников схем Microsoft Sentinel.