Поделиться через


Использование сборника схем Microsoft Sentinel для остановки потенциально скомпрометированных пользователей

В этой статье описывается пример сценария использования сборника схем и правила автоматизации для автоматизации реагирования на инциденты и устранения угроз безопасности. Правила автоматизации помогают выполнять инциденты в Microsoft Sentinel, а также используются для запуска сборников схем в ответ на инциденты или оповещения. Дополнительные сведения см. в разделе автоматизации в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR).

Пример сценария, описанного в этой статье, описывает использование правила автоматизации и сборник схем для остановки потенциально скомпрометированного пользователя при создании инцидента.

Примечание.

Так как сборники схем используют Azure Logic Apps, может взиматься дополнительная плата. Подробные сведения о ценах см. на странице цен на Azure Logic Apps.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Для создания и запуска сборников схем в Microsoft Sentinel необходимо использовать Azure Logic Apps.

Роль Описание
Ответственное лицо Позволяет предоставить доступ к сборникам схем в группе ресурсов.
Участник Microsoft Sentinel Позволяет подключить сборник схем к правилу аналитики или автоматизации.
Microsoft Sentinel Responder Позволяет получить доступ к инциденту для запуска сборника схем вручную, но не позволяет запускать сборник схем.
Оператор сборника схем Microsoft Sentinel Позволяет запускать сборник схем вручную.
Участник службы автоматизации Microsoft Sentinel Позволяет правилам автоматизации запускать сборники схем. Эта роль не используется для других целей.

В следующей таблице описаны необходимые роли на основе выбора приложения логики "Потребление" или "Стандартный" для создания сборника схем:

Приложение логики Роли в Azure Description
Потребление Создатель приложений логики Изменение приложений логики и управление ими. Запустите сборники схем. Не позволяет предоставлять доступ к сборникам схем.
Потребление Оператор приложений логики Чтение, включение и отключение приложений логики. Не позволяет изменять или обновлять приложения логики.
Стандартные Стандартный оператор Logic Apps Включение, повторная отправка и отключение рабочих процессов в приложении логики.
Стандартные Разработчик Logic Apps уровня "Стандартный" Создание и изменение приложений логики.
Стандартные Участник Logic Apps уровня "Стандартный" Управление всеми аспектами приложения логики.

На вкладке "Активные сборники схем" на странице автоматизации отображаются все активные сборники схем, доступные в любой выбранной подписке. По умолчанию сборник схем можно использовать только в подписке, к которой он принадлежит, если только вы не предоставьте microsoft Sentinel разрешения группе ресурсов сборника схем.

Дополнительные разрешения, необходимые для запуска сборников схем для инцидентов

Microsoft Sentinel использует учетную запись службы для запуска сборников схем в инцидентах, для добавления безопасности и включения API правил автоматизации для поддержки вариантов использования CI/CD. Эта учетная запись службы используется для сборников схем, инициируемых инцидентом, или при запуске сборника схем вручную в определенном инциденте.

Помимо собственных ролей и разрешений, эта учетная запись службы Microsoft Sentinel должна иметь собственный набор разрешений для группы ресурсов, в которой находится сборник схем, в виде роли участника службы автоматизации Microsoft Sentinel. После того как Microsoft Sentinel имеет эту роль, она может запускать любую сборник схему в соответствующей группе ресурсов вручную или из правила автоматизации.

Чтобы предоставить Microsoft Sentinel с необходимыми разрешениями, необходимо иметь роль администратора доступа владельца или пользователя. Чтобы запустить сборники схем, вам также потребуется роль участника приложения логики в группе ресурсов, содержащей сборники схем, которые требуется запустить.

Остановка потенциально скомпрометированных пользователей

Команды SOC хотят убедиться, что потенциально скомпрометированные пользователи не могут перемещаться по сети и украсть информацию. Рекомендуется создать автоматизированный, многомерный ответ на инциденты, созданные правилами, которые обнаруживают скомпрометированных пользователей для обработки таких сценариев.

Настройте правило автоматизации и сборник схем для использования следующего потока:

  1. Инцидент создается для потенциально скомпрометированного пользователя, и правило автоматизации активируется для вызова сборника схем.

  2. Сборник схем открывает билет в системе ИТ-билетов, например ServiceNow.

  3. Сборник схем также отправляет сообщение в канал операций безопасности в Microsoft Teams или Slack, чтобы убедиться, что аналитики безопасности осведомлены об инциденте.

  4. Сборник схем также отправляет всю информацию в инциденте в сообщении электронной почты старшему администратору сети и администратору безопасности. В сообщении электронной почты содержатся кнопки "Блокировать " и "Игнорировать параметры пользователя".

  5. Сборник схем ожидает получения ответа от администраторов, а затем переходит к следующим шагам.

    • Если администраторы выбирают блокировку, сборник схем отправляет команду в идентификатор Microsoft Entra, чтобы отключить пользователя, а один — брандмауэру, чтобы заблокировать IP-адрес.

    • Если администратор выбирает игнорировать, сборник схем закрывает инцидент в Microsoft Sentinel и запрос в ServiceNow.

На следующем снимке экрана показаны действия и условия, которые вы добавите при создании этого примера сборника схем:

Снимок экрана: приложение логики с действиями и условиями этой сборника схем.