Säkerhetsorkestrering, automatisering och svar (SOAR) i Microsoft Sentinel
Den här artikeln beskriver funktionerna Security Orchestration, Automation och Response (SOAR) i Microsoft Sentinel och visar hur användningen av automatiseringsregler och spelböcker som svar på säkerhetshot ökar SOC:s effektivitet och sparar tid och resurser.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Microsoft Sentinel som en SOAR-lösning
Problemet
SIEM/SOC-team översvämmas vanligtvis regelbundet av säkerhetsaviseringar och incidenter, på volymer som är så stora att tillgänglig personal överbelastas. Detta resulterar alltför ofta i situationer där många aviseringar ignoreras och många incidenter inte utreds, vilket gör organisationen sårbar för attacker som inte visas.
Lösningen
Microsoft Sentinel, förutom att vara ett SIEM-system (Security Information and Event Management), är också en plattform för Security Orchestration, Automation och Response (SOAR). Ett av dess främsta syfte är att automatisera återkommande och förutsägbara beriknings-, svars- och reparationsuppgifter som ansvarar för ditt Security Operations Center och din personal (SOC/SecOps), vilket frigör tid och resurser för mer djupgående undersökning av och jakt efter avancerade hot. Automation har några olika former i Microsoft Sentinel, från automatiseringsregler som centralt hanterar automatisering av incidenthantering och -svar till spelböcker som kör förutbestämda sekvenser av åtgärder för att ge kraftfull och flexibel avancerad automatisering till dina hothanteringsuppgifter.
Automatiseringsregler
Automatiseringsregler gör det möjligt för användare att centralt hantera automatisering av incidenthantering. Förutom att du kan tilldela spelböcker till incidenter och aviseringar kan du med automatiseringsregler även automatisera svar för flera analysregler samtidigt, automatiskt tagga, tilldela eller stänga incidenter utan att behöva spelböcker, skapa listor med uppgifter som dina analytiker kan utföra när de sorterar, undersöker och åtgärdar incidenter och kontrollerar ordningen på åtgärder som körs. Med automatiseringsregler kan du också tillämpa automatiseringar när en incident uppdateras, samt när den skapas. Den här nya funktionen effektiviserar automatiseringsanvändningen ytterligare i Microsoft Sentinel och gör att du kan förenkla komplexa arbetsflöden för dina incidentorkestreringsprocesser.
Läs mer med den här fullständiga förklaringen av automatiseringsregler.
Spelböcker
En spelbok är en samling svars- och reparationsåtgärder och logik som kan köras från Microsoft Sentinel som en rutin. En spelbok kan hjälpa dig att automatisera och samordna ditt hotsvar, den kan integreras med andra system både interna och externa, och den kan ställas in att köras automatiskt som svar på specifika aviseringar eller incidenter, när den utlöses av en analysregel eller en automatiseringsregel. Det kan också köras manuellt på begäran, som svar på aviseringar, från incidentsidan.
Spelböcker i Microsoft Sentinel baseras på arbetsflöden som skapats i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och samordna uppgifter och arbetsflöden i hela företaget. Det innebär att spelböcker kan dra nytta av all kraft och anpassning av Logic Apps integrerings- och orkestreringsfunktioner och lätthanterade designverktyg samt skalbarhet, tillförlitlighet och servicenivå för en Azure-tjänst på nivå 1.
Läs mer med den här fullständiga förklaringen av spelböcker.
Automatisering med den enhetliga säkerhetsåtgärdsplattformen
När du har registrerat din Microsoft Sentinel-arbetsyta på plattformen för enhetliga säkerhetsåtgärder bör du notera följande skillnader i hur automatisering fungerar på din arbetsyta:
| Funktioner | beskrivning |
|---|---|
| Automatiseringsregler med aviseringsutlösare | På den enhetliga säkerhetsdriftsplattformen fungerar automatiseringsregler med aviseringsutlösare endast på Microsoft Sentinel-aviseringar. Mer information finns i Utlösare för aviseringsskapande. |
| Automatiseringsregler med incidentutlösare | I både Azure-portalen och den enhetliga säkerhetsåtgärdsplattformen tas egenskapen Incidentproviderns villkor bort, eftersom alla incidenter har Microsoft Defender XDR som incidentprovider (värdet i fältet ProviderName ). Då körs alla befintliga automatiseringsregler på både Microsoft Sentinel- och Microsoft Defender XDR-incidenter, inklusive de där villkoret för incidentprovidern endast är inställt på Microsoft Sentinel eller Microsoft 365 Defender. Automatiseringsregler som anger ett specifikt analysregelnamn körs dock endast på de incidenter som skapades av den angivna analysregeln. Det innebär att du kan definiera egenskapen Namn på analysregelnamn till en analysregel som bara finns i Microsoft Sentinel för att begränsa din regel så att den endast körs på incidenter i Microsoft Sentinel. Mer information finns i Incidentutlösarvillkor. |
| Ändringar i befintliga incidentnamn | I den enhetliga SOC-driftplattformen använder Defender-portalen en unik motor för att korrelera incidenter och aviseringar. När du registrerar din arbetsyta på den enhetliga SOC-driftplattformen kan befintliga incidentnamn ändras om korrelationen tillämpas. För att säkerställa att automatiseringsreglerna alltid körs korrekt rekommenderar vi därför att du undviker att använda incidenttitlar i dina automatiseringsregler och föreslår att taggar används i stället. |
| Uppdaterad efter fält | Mer information finns i Utlösare för incidentuppdatering. |
| Automatiseringsregler som lägger till incidentuppgifter | Om en automatiseringsregel lägger till en incidentaktivitet visas uppgiften endast i Azure-portalen. |
| Regler för skapande av Microsoft-incidenter | Microsofts regler för skapande av incidenter stöds inte i den enhetliga säkerhetsåtgärdsplattformen. Mer information finns i Microsoft Defender XDR-incidenter och Regler för att skapa Microsoft-incidenter. |
| Köra automatiseringsregler från Defender-portalen | Det kan ta upp till 10 minuter från det att en avisering utlöses och en incident skapas eller uppdateras i Defender-portalen tills en automatiseringsregel körs. Den här tidsfördröjningen beror på att incidenten skapas i Defender-portalen och sedan vidarebefordras till Microsoft Sentinel för automatiseringsregeln. |
| Fliken Aktiva spelböcker | När du har registrerat dig för den enhetliga säkerhetsåtgärdsplattformen visar fliken Aktiva spelböcker som standard ett fördefinierat filter med den registrerade arbetsytans prenumeration. Lägg till data för andra prenumerationer med hjälp av prenumerationsfiltret. Mer information finns i Skapa och anpassa Microsoft Sentinel-spelböcker från innehållsmallar. |
| Köra spelböcker manuellt på begäran | Följande procedurer stöds för närvarande inte i den enhetliga säkerhetsåtgärdsplattformen: |
| Om du kör spelböcker på incidenter krävs Microsoft Sentinel-synkronisering | Om du försöker köra en spelbok på en incident från plattformen för enhetliga säkerhetsåtgärder och ser meddelandet "Det går inte att komma åt data som är relaterade till den här åtgärden. Uppdatera skärmen om några minuter". innebär det att incidenten ännu inte har synkroniserats med Microsoft Sentinel. Uppdatera incidentsidan efter att incidenten har synkroniserats för att köra spelboken. |
Nästa steg
I det här dokumentet har du lärt dig hur Microsoft Sentinel använder automatisering för att hjälpa din SOC att fungera effektivare och effektivare.
- Mer information om automatisering av incidenthantering finns i Automatisera incidenthantering i Microsoft Sentinel.
- Mer information om avancerade automatiseringsalternativ finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel.
- Information om hur du kommer igång med att skapa automatiseringsregler finns i Skapa och använda Microsoft Sentinel-automatiseringsregler för att hantera incidenter
- Hjälp med att implementera avancerad automatisering med spelböcker finns i Självstudie: Använda spelböcker för att automatisera hotsvar i Microsoft Sentinel.