你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的安全业务流程、自动化和响应 (SOAR)
本文介绍了 Microsoft Sentinel 中的安全业务流程、自动化和响应 (SOAR) 功能,并演示了如何使用自动化规则和 playbook 以响应安全威胁,从而提高 SOC 的有效性并节约时间和资源。
重要
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
Microsoft Sentinel 作为 SOAR 解决方案
问题
SIEM/SOC 团队通常会定期收到大量的安全警报和事件,数量之多甚至超出了可用人员的处理能力。 因此频繁出现许多警报被忽视、许多事件未调查的窘境,导致组织很容易在未注意到的情况下受到攻击。
解决方案
除了作为安全信息和事件管理 (SIEM) 系统以外,Microsoft Sentinel 还是用于安全业务流程、自动化和响应 (SOAR) 的平台。 其主要目的之一就是自动执行任何定期的、可预测的扩充、响应和修正任务,减轻了原本负责这些任务的安全运营中心和人员 (SOC/SecOps) 的负担,以便将更多时间和资源用在更深入地调查和搜寻高级威胁方面。 Microsoft Sentinel 中的自动化分为若干种不同的形式,从集中管理自动化事件处理和响应的自动化规则到运行预先确定的操作序列,以对威胁响应任务提供强大而灵活的高级自动化的 playbook。
自动化规则
通过自动化规则,用户可以集中管理事件处理的自动化。 除了支持向事件和警报分配 playbook 外,自动化规则还支持一次性自动执行多个分析规则的响应,自动标记、分配或关闭事件而无需 playbook,创建供分析师在会审、调查和补救事件时执行的任务清单,并控制执行操作的顺序。 自动化规则还允许在事件更新时以及在创建事件时应用自动化。 这一新功能可进一步简化 Microsoft Sentinel 中的自动化使用,并能够简化事件业务流程进程的复杂工作流。
通过此处有关自动化规则的完整说明,了解更多详细信息。
攻略
playbook 是可以作为例程从 Microsoft Sentinel 运行的响应和修正操作以及逻辑的集合。 playbook 可以帮助自动执行和协调威胁响应,可以与内部和外部的其他系统相集成,并且可以设置为自动运行以响应特定警报或事件(当由分析规则或自动化规则触发时)。 为了响应警报,还可以从事件页中按需手动运行。
Microsoft Sentinel 中的 playbook 基于在 Azure 逻辑应用中构建的工作流,这是一项云服务,可帮助计划、自动执行和协调整个企业范围内系统中的任务和工作流。 这意味着 playbook 不仅可以利用逻辑应用的集成和业务流程功能以及易于使用的设计工具所具备的所有强大功能和可定制性,还具有第 1 层 Azure 服务的可伸缩性、可靠性和服务级别。
通过此处有关 playbook 的完整说明,了解更多详细信息。
使用统一安全运营平台实现自动化
将 Microsoft Sentinel 工作区载入统一安全运营平台后,请注意工作区中的自动化工作方式存在以下区别:
| 功能 | 说明 |
|---|---|
| 使用警报触发器的自动化规则 | 在统一安全运营平台中,使用警报触发器的自动化规则仅适用于 Microsoft Sentinel 警报。 有关详细信息,请参阅警报创建触发器。 |
| 使用事件触发器的自动化规则 | 在 Azure 门户和统一安全运营平台中,“事件提供程序”条件属性被删除,因为所有事件都将 Microsoft Defender XDR 用作事件提供程序(“ProviderName”字段中的值)。 此时,任何现有自动化规则都对 Microsoft Sentinel 和 Microsoft Defender XDR 事件运行,包括“事件提供程序”条件设置为仅 Microsoft Sentinel 或 Microsoft 365 Defender 的事件。 但是,指定特定分析规则名称的自动化规则将仅对由该指定分析规则创建的事件运行。 这意味着,可以将“分析规则名称”条件属性定义为仅存在于 Microsoft Sentinel 中的分析规则,从而限制规则仅对 Microsoft Sentinel 中的事件运行。 有关详细信息,请参阅事件触发器条件。 |
| 对现有事件名称的更改 | 在统一的 SOC 操作平台中,Defender 门户使用独一无二的引擎来关联事件和警报。 将工作区加入统一 SOC 操作平台时,如果应用了关联,则现有事件名称可能会更改。 因此,为了确保自动化规则始终正确运行,我们建议你避免在自动化规则中使用事件标题,改为使用标记。 |
| “更新者”字段 | 有关详细信息,请参阅事件更新触发器。 |
| 添加事件任务的自动化规则 | 如果自动化规则添加事件任务,该任务仅在 Azure 门户中显示。 |
| Microsoft 事件创建规则 | 统一安全运营平台不支持 Microsoft 事件创建规则。 有关详细信息,请参阅 Microsoft Defender XDR 事件和 Microsoft 事件创建规则。 |
| 从 Defender 门户运行自动化规则 | 从触发警报并在 Defender 门户中创建或更新事件到运行自动化规则可能需要长达 10 分钟的时间。 之所以出现此时间延迟,是因为事件先在 Defender 门户中创建,然后又转发到 Microsoft Sentinel 以获取自动化规则。 |
| “活动 playbook”选项卡 | 载入统一安全运营平台后,“活动 playbook”选项卡默认显示具有已载入工作区订阅的预定义筛选器。 使用订阅筛选器为其他订阅添加数据。 有关详细信息,请参阅从内容模板创建和自定义 Microsoft Sentinel playbook。 |
| 按需手动运行 playbook | 统一安全运营平台目前不支持以下过程: |
| 针对事件运行 playbook 需要 Microsoft Sentinel 同步 | 如果你尝试从统一安全操作平台针对事件运行 playbook,看到“无法访问与此操作相关的数据。请在几分钟后刷新屏幕。”消息,则意味着事件尚未同步到 Microsoft Sentinel。 事件同步后刷新事件页面即可成功运行 playbook。 |
后续步骤
本文档介绍了 Microsoft Sentinel 如何使用自动化来帮助提高 SOC 运行的有效性和高效性。
- 若要了解有关自动化事件处理的信息,请参阅 Microsoft Sentinel 中的自动事件处理。
- 有关高级自动化选项的详细信息,请参阅在 Microsoft Sentinel 中利用 playbook 自动执行威胁响应。
- 若要开始创建自动化规则,请参阅创建和使用 Microsoft Sentinel 自动化规则来管理事件
- 有关使用 playbook 实现高级自动化的帮助,请参阅教程:在 Microsoft Sentinel 中使用 playbook 自动完成威胁响应。