Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается пример сценария использования сборника схем и правила автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности. Правила автоматизации помогают рассматривать инциденты в Microsoft Sentinel, а также используются для запуска сборников схем в ответ на инциденты или оповещения. Дополнительные сведения см. в статье Автоматизация в Microsoft Sentinel: оркестрация безопасности, автоматизация и реагирование (SOAR).
В примере сценария, описанного в этой статье, описывается использование правила автоматизации и сборника схем для остановки потенциально скомпрометированного пользователя при создании инцидента.
Примечание.
Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Дополнительные сведения см. на странице цен на Azure Logic Apps.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Следующие роли необходимы для использования Azure Logic Apps для создания и запуска сборников схем в Microsoft Sentinel.
| Role | Описание |
|---|---|
| Owner | Позволяет предоставить доступ к сборникам схем в группе ресурсов. |
| Участник Microsoft Sentinel | Позволяет присоединить сборник схем к правилу аналитики или автоматизации. |
| Ответчик Microsoft Sentinel | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор сборника схем Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать сборники схем. Эта роль не используется ни для каких других целей. |
В следующей таблице описаны необходимые роли в зависимости от того, выбрали ли вы приложение логики для потребления или Standard для создания сборника схем.
| Приложение логики | Роли в Azure | Описание |
|---|---|---|
| Потребление | Участник приложения логики | Изменение приложений логики и управление ими. Запуск сборников схем. Не позволяет предоставлять доступ к сборникам схем. |
| Потребление | Оператор приложения логики | Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять приложения логики. |
| Стандартный | Оператор Standard Logic Apps | Включение, повторная отправка и отключение рабочих процессов в приложении логики. |
| Стандартный | Разработчик Standard Logic Apps | Создание и изменение приложений логики. |
| Стандартный | Участник Standard Logic Apps | Управление всеми аспектами приложения логики. |
На вкладке Активные сборники схем на странице автоматизация отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если вы специально не предоставите Microsoft Sentinel разрешения группе ресурсов сборника схем.
Дополнительные разрешения, необходимые для запуска сборников схем для инцидентов
Microsoft Sentinel использует учетную запись службы для запуска сборников схем для инцидентов, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, активированных инцидентами, или при запуске сборника схем вручную для конкретного инцидента.
Помимо ваших собственных ролей и разрешений, эта Microsoft Sentinel учетная запись службы должна иметь собственный набор разрешений на группу ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel. Когда Microsoft Sentinel получает эту роль, он может запустить любой сборник схем в соответствующей группе ресурсов вручную или из правила автоматизации.
Чтобы предоставить Microsoft Sentinel с необходимыми разрешениями, необходимо иметь роль владельца или администратора доступа пользователей. Чтобы запустить сборники схем, вам также потребуется роль Участник приложения логики в группе ресурсов, содержащей сборники схем, которые вы хотите запустить.
Остановка потенциально скомпрометированных пользователей
Команды SOC хотят убедиться, что потенциально скомпрометированные пользователи не могут перемещаться по своей сети и украсть информацию. Рекомендуется создать автоматизированное, многообразное реагирование на инциденты, создаваемые правилами, которые обнаруживают скомпрометированных пользователей для обработки таких сценариев.
Настройте правило и сборник схем автоматизации для использования следующего потока:
Для потенциально скомпрометированного пользователя создается инцидент, и для вызова сборника схем активируется правило автоматизации.
Сборник схем открывает билет в вашей системе запросов ИТ, например ServiceNow.
Сборник схем также отправляет сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы убедиться, что ваши аналитики безопасности знают об инциденте.
Сборник схем также отправляет все сведения об инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. Сообщение электронной почты содержит кнопки блокировать и игнорировать параметры пользователя.
Сборник схем ожидает получения ответа от администраторов, а затем продолжает выполнять следующие действия.
Если администраторы выбирают блокировать, сборник схем отправляет команду Microsoft Entra ID, чтобы отключить пользователя, и одну в брандмауэр, чтобы заблокировать IP-адрес.
Если администраторы выбирают Игнорировать, сборник схем закроет инцидент в Microsoft Sentinel, а билет в ServiceNow.
На следующем снимке экрана показаны действия и условия, которые нужно добавить при создании этого примера сборника схем:
