Security Orchestration, Automation and Response (SOAR) in Microsoft Sentinel
In dit artikel worden de SOAR-mogelijkheden (Security Orchestration, Automation and Response) van Microsoft Sentinel beschreven en wordt beschreven hoe het gebruik van automatiseringsregels en playbooks als reactie op beveiligingsrisico's de effectiviteit van uw SOC verhoogt en u tijd en resources bespaart.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Microsoft Sentinel als SOAR-oplossing
Het probleem
SIEM-/SOC-teams worden doorgaans regelmatig overspoeld met beveiligingswaarschuwingen en incidenten, op volumes die zo groot zijn dat beschikbaar personeel overbelast raakt. Dit resulteert te vaak in situaties waarin veel waarschuwingen worden genegeerd en veel incidenten niet worden onderzocht, waardoor de organisatie kwetsbaar blijft voor aanvallen die onopgemerkt blijven.
De oplossing
Microsoft Sentinel, naast een SIEM-systeem (Security Information and Event Management), is ook een platform voor SOAR (Security Orchestration, Automation and Response). Een van de belangrijkste doelen is het automatiseren van terugkerende en voorspelbare verrijkingstaken, reacties en hersteltaken die de verantwoordelijkheid zijn van uw Security Operations Center en personeel (SOC/SecOps), waardoor tijd en resources worden vrijgemaakt voor uitgebreider onderzoek naar en opsporing van geavanceerde bedreigingen. Automatisering heeft een aantal verschillende vormen in Microsoft Sentinel, van automatiseringsregels die de automatisering van incidentafhandeling en -reactie centraal beheren, tot playbooks die vooraf bepaalde reeksen acties uitvoeren om krachtige en flexibele geavanceerde automatisering te bieden voor uw taken voor het reageren op bedreigingen.
Automatiseringsregels
Met automatiseringsregels kunnen gebruikers de automatisering van incidentafhandeling centraal beheren. Naast dat u playbooks kunt toewijzen aan incidenten en waarschuwingen, kunt u met automatiseringsregels ook antwoorden voor meerdere analyseregels tegelijk automatiseren, incidenten automatisch taggen, toewijzen of sluiten zonder dat er playbooks nodig zijn, lijsten met taken maken die uw analisten kunnen uitvoeren bij het sorteren, onderzoeken en oplossen van incidenten, en de volgorde van acties beheren die worden uitgevoerd. Met automatiseringsregels kunt u ook automatiseringen toepassen wanneer een incident wordt bijgewerkt en wanneer het wordt gemaakt. Met deze nieuwe mogelijkheid wordt het automatiseringsgebruik in Microsoft Sentinel verder gestroomlijnd en kunt u complexe werkstromen voor uw incidentindelingsprocessen vereenvoudigen.
Meer informatie vindt u in deze volledige uitleg van automatiseringsregels.
Draaiboeken
Een playbook is een verzameling reactie- en herstelacties en -logica die als routine vanuit Microsoft Sentinel kan worden uitgevoerd. Een playbook kan helpen bij het automatiseren en organiseren van uw reactie op bedreigingen, het kan worden geïntegreerd met andere systemen, zowel intern als extern, en het kan worden ingesteld om automatisch te worden uitgevoerd als reactie op specifieke waarschuwingen of incidenten, wanneer deze worden geactiveerd door een analyseregel of een automatiseringsregel. Het kan ook handmatig op aanvraag worden uitgevoerd, in reactie op waarschuwingen, vanaf de pagina incidenten.
Playbooks in Microsoft Sentinel zijn gebaseerd op werkstromen die zijn gebouwd in Azure Logic Apps, een cloudservice waarmee u taken en werkstromen in alle systemen in de hele onderneming kunt plannen, automatiseren en organiseren. Dit betekent dat playbooks kunnen profiteren van alle mogelijkheden voor integratie en indeling van Logic Apps en eenvoudig te gebruiken ontwerphulpprogramma's, en het schaalbaarheids-, betrouwbaarheids- en serviceniveau van een Azure-service op laag 1.
Meer informatie vindt u in deze volledige uitleg van playbooks.
Automatisering met het geïntegreerde platform voor beveiligingsbewerkingen
Nadat u uw Microsoft Sentinel-werkruimte hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, moet u rekening houden met de volgende verschillen in de manier waarop automatisering in uw werkruimte werkt:
| Functionaliteit | Beschrijving |
|---|---|
| Automatiseringsregels met waarschuwingstriggers | In het geïntegreerde platform voor beveiligingsbewerkingen handelen automatiseringsregels met waarschuwingstriggers alleen op Microsoft Sentinel-waarschuwingen. Zie Trigger voor het maken van waarschuwingen voor meer informatie. |
| Automatiseringsregels met incidenttriggers | In zowel Azure Portal als het geïntegreerde beveiligingsbewerkingsplatform wordt de eigenschap Incidentprovidervoorwaarde verwijderd, omdat alle incidenten Microsoft Defender XDR hebben als incidentprovider. Op dat moment worden alle bestaande automatiseringsregels uitgevoerd op zowel Microsoft Sentinel- als Microsoft Defender XDR-incidenten, inclusief incidenten waarbij de voorwaarde van de incidentprovider is ingesteld op alleen Microsoft Sentinel of Microsoft 365 Defender. Automatiseringsregels die een specifieke naam van een analyseregel opgeven, worden echter alleen uitgevoerd op de incidenten die zijn gemaakt door de opgegeven analyseregel. Dit betekent dat u de eigenschap naamvoorwaarde van de analyseregel kunt definiëren voor een analyseregel die alleen in Microsoft Sentinel bestaat om uw regel te beperken tot uitvoering op incidenten in Microsoft Sentinel. Zie Voorwaarden voor incidenttriggers voor meer informatie. |
| Wijzigingen in bestaande incidentnamen | In het geïntegreerde SOC-bewerkingsplatform gebruikt de Defender-portal een unieke engine om incidenten en waarschuwingen te correleren. Wanneer u uw werkruimte onboardt naar het geïntegreerde SOC-bewerkingsplatform, kunnen bestaande incidentnamen worden gewijzigd als de correlatie wordt toegepast. We raden u daarom aan het gebruik van incidenttitels in uw automatiseringsregels te vermijden om ervoor te zorgen dat uw regels altijd correct worden uitgevoerd. |
| Bijgewerkt per veld | - Na onboarding van uw werkruimte heeft het veld Bijgewerkt op een nieuwe set ondersteunde waarden, die Microsoft 365 Defender niet meer bevatten. In bestaande automatiseringsregels wordt Microsoft 365 Defender vervangen door een andere waarde na de onboarding van uw werkruimte. - Als er in een periode van 5-10 minuten meerdere wijzigingen in hetzelfde incident worden aangebracht, wordt er één update naar Microsoft Sentinel verzonden, met alleen de meest recente wijziging. Zie de trigger voor incidentupdates voor meer informatie. |
| Automatiseringsregels waarmee incidenttaken worden toegevoegd | Als een automatiseringsregel een incidenttaak toevoegt, wordt de taak alleen weergegeven in Azure Portal. |
| Regels voor het maken van microsoft-incidenten | Regels voor het maken van microsoft-incidenten worden niet ondersteund in het geïntegreerde beveiligingsbewerkingsplatform. Zie Microsoft Defender XDR-incidenten en regels voor het maken van microsoft-incidenten voor meer informatie. |
| Automatiseringsregels uitvoeren vanuit de Defender-portal | Het kan tot 10 minuten duren voordat een waarschuwing wordt geactiveerd en een incident wordt gemaakt of bijgewerkt in de Defender-portal tot wanneer een automatiseringsregel wordt uitgevoerd. Deze vertraging komt doordat het incident wordt gemaakt in de Defender-portal en vervolgens wordt doorgestuurd naar Microsoft Sentinel voor de automatiseringsregel. |
| Tabblad Actieve playbooks | Na onboarding naar het geïntegreerde beveiligingsbewerkingsplatform toont het tabblad Actieve playbooks standaard een vooraf gedefinieerd filter met het abonnement van de onboarded werkruimte. Voeg gegevens toe voor andere abonnementen met behulp van het abonnementsfilter. Zie Microsoft Sentinel-playbooks maken en aanpassen op basis van inhoudssjablonen voor meer informatie. |
| Playbooks handmatig uitvoeren op aanvraag | De volgende procedures worden niet ondersteund in het geïntegreerde platform voor beveiligingsbewerkingen: - Een playbook handmatig uitvoeren op een waarschuwing - Een playbook handmatig uitvoeren op een entiteit |
| Voor het uitvoeren van playbooks op incidenten is Microsoft Sentinel-synchronisatie vereist | Als u probeert een playbook uit te voeren op een incident vanuit het geïntegreerde beveiligingsbewerkingsplatform en de gegevens met betrekking tot deze actie niet kunnen openen. Vernieuw het scherm over een paar minuten. Dit betekent dat het incident nog niet is gesynchroniseerd met Microsoft Sentinel. Vernieuw de incidentpagina nadat het incident is gesynchroniseerd om het playbook uit te voeren. |
Volgende stappen
In dit document hebt u geleerd hoe Microsoft Sentinel automatisering gebruikt om uw SOC effectiever en efficiënter te laten werken.
- Zie Incidentafhandeling automatiseren in Microsoft Sentinel voor meer informatie over automatisering van incidentafhandeling.
- Zie Bedreigingsreacties automatiseren met playbooks in Microsoft Sentinel voor meer informatie over geavanceerde automatiseringsopties.
- Zie Microsoft Sentinel-automatiseringsregels maken en gebruiken om incidenten te beheren om aan de slag te gaan met het maken van automatiseringsregels
- Zie zelfstudie: Playbooks gebruiken om bedreigingsreacties in Microsoft Sentinel te automatiseren voor hulp bij het implementeren van geavanceerde automatisering met playbooks.