Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается пример сценария использования сборника схем и правила автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности. Правила автоматизации помогают сортировать инциденты в Microsoft Sentinel, а также позволяют запускать сценарии в ответ на инциденты или оповещения. Дополнительные сведения см. в статье Автоматизация в Microsoft Sentinel: оркестрация, автоматизация и реагирование на инциденты безопасности (SOAR).
В примере сценария, описанного в этой статье, описывается использование правила автоматизации и сборника схем для остановки потенциально скомпрометированного пользователя при создании инцидента.
Примечание.
Поскольку сценарии автоматизации используют Azure Logic Apps, может взиматься дополнительная плата. Дополнительные сведения см. на странице цен на Azure Logic Apps.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться в портале Azure и будет доступен только в портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Для создания и запуска сценариев автоматизации в Microsoft Sentinel с помощью Azure Logic Apps требуются следующие роли.
| Роль | Описание |
|---|---|
| Владелец | Позволяет предоставить доступ к плейбукам в группе ресурсов. |
| Участник Microsoft Sentinel | Позволяет присоединить сборник схем к правилу аналитики или автоматизации. |
| Ответчик Microsoft Sentinel | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор сценариев Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать плейбуки. Эта роль не используется ни для каких других целей. |
В следующей таблице описаны требуемые роли в зависимости от того, выбираете ли вы приложение логики типа Consumption или Standard для создания сценария.
| Приложение логики | Роли в Azure | Описание |
|---|---|---|
| Потребление | Участник приложения логики | Изменение приложений логики и управление ими. Запустите плейбуки. Не позволяет предоставлять доступ к плейбукам. |
| Потребление | Оператор приложения логики | Читать, включать и отключать приложения логики. Не позволяет редактировать или обновлять приложения логики. |
| Стандартный | Оператор Logic Apps Standard | Включение, повторная отправка и отключение рабочих процессов в приложении логики. |
| Стандартный | Разработчик Standard Logic Apps | Создание и изменение приложений логики. |
| Стандартный | Участник Logic Apps Standard | Управление всеми аспектами приложения логики. |
На вкладке Активные сборники схем на странице автоматизация отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сценарий автоматизации можно использовать только в пределах подписки, к которой он принадлежит, если только вы специально не предоставите Microsoft Sentinel разрешения на группу ресурсов сценария автоматизации.
Дополнительные разрешения, необходимые для запуска сценариев для инцидентов
Microsoft Sentinel использует учетную запись службы для запуска плейбуков для инцидентов, повышения безопасности и обеспечения поддержки сценариев использования CI/CD через API правил автоматизации. Эта учетная запись службы используется для плейбуков, запускаемых при возникновении инцидента, или при ручном запуске плейбука для конкретного инцидента.
Помимо ваших собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится плейбук, в виде роли Microsoft Sentinel Automation Contributor. Когда Microsoft Sentinel получает эту роль, он может запустить любой сборник схем в соответствующей группе ресурсов вручную или из правила автоматизации.
Чтобы предоставить Microsoft Sentinel с необходимыми разрешениями, необходимо иметь роль владельца или администратора доступа пользователей. Чтобы запускать сценарии автоматизации, вам также потребуется роль Logic App Contributor для группы ресурсов, содержащей сценарии автоматизации, которые вы хотите запускать.
Остановка потенциально скомпрометированных пользователей
Команды SOC хотят убедиться, что потенциально скомпрометированные пользователи не могут перемещаться по своей сети и украсть информацию. Рекомендуется создать автоматизированное, многообразное реагирование на инциденты, создаваемые правилами, которые обнаруживают скомпрометированных пользователей для обработки таких сценариев.
Настройте правило и сборник схем автоматизации для использования следующего потока:
Для потенциально скомпрометированного пользователя создается инцидент, и для вызова сборника схем активируется правило автоматизации.
Сценарий создаёт заявку в вашей системе обработки IT-заявок, например, ServiceNow.
Сборник схем также отправляет сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы убедиться, что ваши аналитики безопасности знают об инциденте.
Сборник схем также отправляет все сведения об инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. Сообщение электронной почты содержит кнопки блокировать и игнорировать параметры пользователя.
Сборник схем ожидает получения ответа от администраторов, а затем продолжает выполнять следующие действия.
Если администраторы выбирают блокировать, сборник схем отправляет команду Microsoft Entra ID, чтобы отключить пользователя, и одну в брандмауэр, чтобы заблокировать IP-адрес.
Если администраторы выберут Игнорировать, сценарий закроет инцидент в Microsoft Sentinel и заявку в ServiceNow.
На следующем снимке экрана показаны действия и условия, которые нужно добавить при создании этого примера сборника схем: