Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается пример сценария использования сборника схем и правила автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности. Правила автоматизации помогают выполнять инциденты в Microsoft Sentinel, а также используются для запуска сборников схем в ответ на инциденты или оповещения. Дополнительные сведения см. в разделе автоматизации в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR).
Пример сценария, описанного в этой статье, описывает использование правила автоматизации и сборник схем для остановки потенциально скомпрометированного пользователя при создании инцидента.
Примечание.
Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Дополнительные сведения см. на странице цен Azure Logic Apps .
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см. в Microsoft Sentinel на портале Microsoft Defender.
Необходимые компоненты
Для создания и запуска сборников схем в Microsoft Sentinel необходимо использовать Azure Logic Apps.
| Роль | Описание |
|---|---|
| Владелец | Позволяет предоставить доступ к сборникам схем в группе ресурсов. |
| Вкладчик Microsoft Sentinel | Позволяет подключить сборник схем к правилу аналитики или автоматизации. |
| Microsoft Sentinel Responder | Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем. |
| Оператор плейбуков Microsoft Sentinel | Позволяет запускать сборник схем вручную. |
| Участник службы автоматизации Microsoft Sentinel | Позволяет правилам автоматизации запускать сборники схем. Эта роль не используется для других целей. |
В следующей таблице описаны необходимые роли на основе выбора приложения логики "Потребление" или "Стандартный" для создания сборника схем:
| Приложение логики | Роли в Azure | Описание |
|---|---|---|
| Потребление | Сотрудник Logic Apps | Изменение приложений логики и управление ими. Запустите сборники схем. Не позволяет предоставлять доступ к сборникам схем. |
| Потребление | Оператор приложения логики | Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять приложения логики. |
| Стандартные | Стандартный оператор Logic Apps | Включение, повторная отправка и отключение рабочих процессов в приложении логики. |
| Стандартные | Разработчик Logic Apps уровня "Стандартный" | Создание и изменение приложений логики. |
| Стандартные | Участник стандарта Logic Apps | Управление всеми аспектами приложения логики. |
На вкладке "Активные сборники схем" на странице автоматизации отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если только вы не предоставьте microsoft Sentinel разрешения группе ресурсов сборника схем.
Дополнительные разрешения, необходимые для запуска сборников схем для инцидентов
Microsoft Sentinel использует учетную запись службы для запуска сборников схем в инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, инициируемых инцидентом, или при запуске сборника схем вручную в определенном инциденте.
Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel . После того как Microsoft Sentinel имеет эту роль, она может запускать любую сборник схему в соответствующей группе ресурсов вручную или из правила автоматизации.
Чтобы предоставить Microsoft Sentinel необходимые разрешения, необходимо иметь роль владельца или администратора доступа пользователя. Чтобы запустить сборники схем, вам также потребуется роль участника приложения логики в группе ресурсов, содержащей сборники схем, которые требуется запустить.
Остановка потенциально скомпрометированных пользователей
Команды SOC хотят убедиться, что потенциально скомпрометированные пользователи не могут перемещаться по сети и украсть информацию. Рекомендуется создать автоматизированный, многомерный ответ на инциденты, созданные правилами, которые обнаруживают скомпрометированных пользователей для обработки таких сценариев.
Настройте правило автоматизации и сборник схем для использования следующего потока:
Инцидент создается для потенциально скомпрометированного пользователя, и правило автоматизации активируется для вызова сборника схем.
Сборник схем открывает билет в системе ИТ-билетов, например ServiceNow.
Сборник схем также отправляет сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы убедиться, что аналитики безопасности осведомлены об инциденте.
Сборник схем также отправляет всю информацию в инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. В сообщении электронной почты содержатся кнопки "Блокировать " и "Игнорировать параметры пользователя".
Сборник схем ожидает получения ответа от администраторов, а затем переходит к следующим шагам.
Если администраторы выбирают блокировку, плейбук отправляет команду в Microsoft Entra ID, чтобы отключить пользователя, и одну — брандмауэру, чтобы заблокировать IP-адрес.
Если администраторы выбирают "Игнорировать", плейбук закрывает инцидент в Microsoft Sentinel и заявку в ServiceNow.
На следующем снимке экрана показаны действия и условия, которые вы добавите при создании этого примера сборника схем:
