Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
SIEM-teams (Security Information and Event Management) og SOC-teams (Security Operations Center) oversvømmes typisk med sikkerhedsbeskeder og hændelser med jævne mellemrum ved mængder, der er så store, at det tilgængelige personale bliver overvældet. Dette resulterer alt for ofte i situationer, hvor mange beskeder ignoreres, og mange hændelser ikke undersøges, hvilket efterlader organisationen sårbar over for angreb, der går ubemærket hen.
Microsoft Sentinel er ud over at være et SIEM-system også en platform til sikkerhedsorkestrering, automatisering og svar (SOAR). Et af dets primære formål er at automatisere tilbagevendende og forudsigelige berigelses-, svar- og afhjælpningsopgaver, der er ansvar for dit sikkerhedscenter og personale (SOC/SecOps), frigøre tid og ressourcer til mere dybdegående undersøgelse af og jagt efter avancerede trusler.
I denne artikel beskrives Microsoft Sentinel's SOAR-funktioner, og den viser, hvordan brugen af automatiseringsregler og -playbooks som svar på sikkerhedstrusler øger din SOC's effektivitet og sparer dig tid og ressourcer.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Automatiseringsregler
Microsoft Sentinel bruger automatiseringsregler til at give brugerne mulighed for at administrere automatisering af håndtering af hændelser fra en central placering. Brug automatiseringsregler til at:
- Tildel mere avanceret automatisering til hændelser og beskeder ved hjælp af playbooks
- Tag, tildel eller luk automatisk hændelser uden en playbook
- Automatiser svar for flere analyseregler på én gang
- Opret en liste over de opgaver, som dine analytikere skal udføre, når de opsøger, undersøger og afhjælper hændelser
- Kontrollér rækkefølgen af handlinger, der udføres
Vi anbefaler, at du anvender automatiseringsregler, når hændelser oprettes eller opdateres, for yderligere at strømline automatiseringen og forenkle komplekse arbejdsprocesser for dine hændelsesorkestreringsprocesser.
Du kan få flere oplysninger under Automatiser trusselssvar i Microsoft Sentinel med automatiseringsregler.
Lærebøger
En playbook er en samling svar- og afhjælpningshandlinger og -logik, der kan køres fra Microsoft Sentinel som en rutine. En playbook kan:
- Hjælp med at automatisere og organisere dit trusselssvar
- Integrer med andre systemer, både interne og eksterne
- Konfigureres til at køre automatisk som svar på bestemte beskeder eller hændelser eller køre manuelt efter behov, f.eks. som svar på nye beskeder
I Microsoft Sentinel er strategibøger baseret på arbejdsprocesser, der er indbygget i Azure Logic Apps, en cloudtjeneste, der hjælper dig med at planlægge, automatisere og organisere opgaver og arbejdsprocesser på tværs af systemer i hele virksomheden. Det betyder, at strategibøger kan drage fordel af al funktionalitet og tilpasning af Logic Apps' integrations- og orkestreringsfunktioner og brugervenlige designværktøjer samt skalerbarhed, pålidelighed og serviceniveau for en Niveau 1-Azure-tjeneste.
Du kan få flere oplysninger under Automatiser trusselssvar med playbooks i Microsoft Sentinel.
Automatisering på Microsoft Defender-portalen
Bemærk følgende oplysninger om, hvordan automatisering fungerer for Microsoft Sentinel på Defender-portalen. Hvis du er en eksisterende kunde, der skifter fra Azure Portal til Defender-portalen, kan du bemærke forskelle i den måde, automatisering fungerer på i dit arbejdsområde efter onboarding til Defender-portalen.
| Funktionalitet | Beskrivelse |
|---|---|
| Automatiseringsregler med beskedudløsere | På Defender-portalen fungerer automatiseringsregler med beskedudløsere kun på Microsoft Sentinel beskeder. Du kan få flere oplysninger under Udløser til oprettelse af besked. |
| Automatiseringsregler med hændelsesudløsere | I både Azure Portal og Defender-portalen fjernes hændelsesudbyderens betingelsesegenskab, da alle hændelser har Microsoft XDR som hændelsesudbyder (værdien i feltet ProviderName). På det tidspunkt kører alle eksisterende automatiseringsregler på både Microsoft Sentinel og Microsoft Defender XDR hændelser, herunder dem, hvor hændelsesudbyderbetingelsen er angivet til kun Microsoft Sentinel eller Microsoft 365 Defender. Automatiseringsregler, der angiver et bestemt navn på en analyseregel, kører dog kun på hændelser, der indeholder beskeder, som blev oprettet af den angivne analyseregel. Det betyder, at du kan definere betingelsesegenskaben navn på analysereglen til en analyseregel, der kun findes i Microsoft Sentinel for at begrænse din regel til kun at køre på hændelser i Microsoft Sentinel. Efter onboarding til Defender-portalen indeholder tabellen SecurityIncident heller ikke længere et felt af typen Beskrivelse . Derfor: – Hvis du bruger dette beskrivelsesfelt som en betingelse for en automatiseringsregel med en udløser til oprettelse af en hændelse, fungerer denne automatiseringsregel ikke, når du er onboardet til Defender-portalen. I sådanne tilfælde skal du sørge for at opdatere konfigurationen korrekt. Du kan få flere oplysninger under Betingelser for hændelsesudløser. – Hvis du har konfigureret en integration med et eksternt billetsystem, f.eks. ServiceNow, mangler hændelsesbeskrivelsen. |
| Ventetid i playbook-udløsere | Det kan tage op til 5 minutter, før Microsoft Defender hændelser vises i Microsoft Sentinel. Hvis denne forsinkelse er til stede, er udløsning af playbook også forsinket. |
| Ændringer af eksisterende hændelsesnavne | Defender-portalen bruger et entydigt program til at korrelere hændelser og beskeder. Når du onboarder dit arbejdsområde til Defender-portalen, kan eksisterende hændelsesnavne blive ændret, hvis korrelationen anvendes. For at sikre at dine automatiseringsregler altid kører korrekt, anbefaler vi derfor, at du undgår at bruge hændelsestitler som betingelseskriterier i dine automatiseringsregler og i stedet foreslår at bruge navnet på en hvilken som helst analyseregel, der har oprettet beskeder, der er inkluderet i hændelsen, og mærker, hvis der kræves mere specifikhed. |
| Opdateret af felt | Du kan få flere oplysninger under Udløser til hændelsesopdatering. |
| Oprettelse af automatiseringsregler direkte fra en hændelse | Oprettelse af automatiseringsregler direkte fra en hændelse understøttes kun i Azure Portal. Hvis du arbejder på Defender-portalen, skal du oprette dine automatiseringsregler fra bunden fra siden Automatisering . |
| Microsoft-regler for oprettelse af hændelser | Microsofts regler for oprettelse af hændelser understøttes ikke på Defender-portalen. Du kan få flere oplysninger under Microsoft Defender XDR hændelser og regler for oprettelse af Microsoft-hændelser. |
| Kørsel af automatiseringsregler fra Defender-portalen | Det kan tage op til 10 minutter fra det tidspunkt, hvor en besked udløses, og en hændelse oprettes eller opdateres i Defender-portalen til, når der køres en automatiseringsregel. Denne tidsforskydning skyldes, at hændelsen oprettes på Defender-portalen og derefter videresendes til Microsoft Sentinel for automatiseringsreglen. |
| Fanen Aktive playbooks | Når du har onboardet til Defender-portalen, viser fanen Aktive playbooks som standard et foruddefineret filter med abonnementet på onboardede arbejdsområder. I Azure Portal skal du tilføje data for andre abonnementer ved hjælp af abonnementsfilteret. Du kan få flere oplysninger under Opret og tilpas Microsoft Sentinel playbooks fra skabeloner. |
| Kørsel af playbooks manuelt efter behov | Følgende procedurer understøttes ikke i øjeblikket på Defender-portalen: |
| Kørsel af playbooks på hændelser kræver Microsoft Sentinel synkronisering | Hvis du forsøger at køre en playbook på en hændelse fra Defender-portalen og får vist meddelelsen "Der er ikke adgang til data, der er relateret til denne handling. Opdater skærmen om et par minutter", betyder det, at hændelsen endnu ikke er synkroniseret til Microsoft Sentinel. Opdater hændelsessiden, når hændelsen er synkroniseret, for at køre playbooken. |
|
Hændelser: Føj beskeder til hændelser/ Fjernelse af beskeder fra hændelser |
Da tilføjelse af beskeder til eller fjernelse af beskeder fra hændelser ikke understøttes, når du har onboardet dit arbejdsområde til Defender-portalen, understøttes disse handlinger heller ikke fra playbooks. Du kan få flere oplysninger under Forstå, hvordan beskeder er korreleret, og hændelser flettes i Defender-portalen. |
| Microsoft Defender XDR integration i flere arbejdsområder | Hvis du har integreret XDR-data med mere end ét arbejdsområde i en enkelt lejer, overføres dataene nu kun til det primære arbejdsområde på Defender-portalen. Overfør automatiseringsregler til det relevante arbejdsområde for at holde dem kørende. |
| Automatisering og korrelationsprogrammet | Korrelationsprogrammet kan kombinere beskeder fra flere signaler til en enkelt hændelse, hvilket kan resultere i automatisering af modtagelse af data, du ikke forventede. Vi anbefaler, at du gennemgår dine automatiseringsregler for at sikre, at du får vist de forventede resultater. |