Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel bietet SOAR-Funktionen (Security Orchestration, Automation, and Response) mit Automatisierungsregeln und Playbooks. Automatisierungsregeln automatisieren die Behandlung und Reaktion auf Vorfälle, und Playbooks führen vordefinierte Sequenzen von Aktionen aus, um auf Bedrohungen zu reagieren und zu beheben. In diesem Artikel wird erläutert, wie Sie SOAR-Anwendungsfälle identifizieren und Ihre ArcSight SOAR-Automatisierung zu Microsoft Sentinel migrieren.
Automatisierungsregeln vereinfachen komplexe Workflows für Ihre Incidentorchestrierungsprozesse und ermöglichen es Ihnen, Ihre Automatisierung zur Behandlung von Vorfällen zentral zu verwalten.
Mit Automatisierungsregeln haben Sie folgende Möglichkeiten:
- Führen Sie einfache Automatisierungsaufgaben aus, ohne unbedingt Playbooks zu verwenden. Beispielsweise können Sie Incidents zuweisen, markieren, status ändern und Incidents schließen.
- Automatisieren von Antworten für mehrere Analyseregeln gleichzeitig.
- Steuern Sie die Reihenfolge der ausgeführten Aktionen.
- Führen Sie Playbooks für fälle aus, in denen komplexere Automatisierungsaufgaben erforderlich sind.
Identifizieren von SOAR-Anwendungsfällen
Hier ist, was Sie beim Migrieren von SOAR-Anwendungsfällen von ArcSight beachten müssen.
- Anwendungsfallqualität. Wählen Sie gute Anwendungsfälle für die Automatisierung aus. Anwendungsfälle sollten auf klar definierten Verfahren mit minimaler Abweichung und niedriger Falsch-Positiv-Rate basieren. Die Automatisierung sollte mit effizienten Anwendungsfällen funktionieren.
- Manueller Eingriff. Automatisierte Reaktionen können weitreichende Auswirkungen haben, und Automatisierungen mit hohen Auswirkungen sollten über menschliche Eingaben verfügen, um Aktionen mit hoher Auswirkung zu bestätigen, bevor sie ausgeführt werden.
- Binäre Kriterien. Um den Reaktionserfolg zu steigern, sollten Entscheidungspunkte innerhalb eines automatisierten Workflows mit binären Kriterien so begrenzt wie möglich sein. Binäre Kriterien reduzieren den Bedarf an menschlichen Eingriffen und verbessern die Vorhersagbarkeit der Ergebnisse.
- Genaue Warnungen oder Daten. Antwortaktionen hängen von der Genauigkeit von Signalen wie Warnungen ab. Warnungen und Anreicherungsquellen sollten zuverlässig sein. Microsoft Sentinel Ressourcen wie Watchlists und zuverlässige Threat Intelligence können die Zuverlässigkeit verbessern.
- Rolle "Analyst". Obwohl die Automatisierung nach Möglichkeit hervorragend ist, reservieren Sie komplexere Aufgaben für Analysten, und bieten Sie ihnen die Möglichkeit, In workflows einzugeben, die eine Überprüfung erfordern. Kurz gesagt, die Reaktionsautomatisierung sollte die Analystenfunktionen erweitern und erweitern.
Migrieren des SOAR-Workflows
Dieser Abschnitt zeigt, wie wichtige SOAR-Konzepte in ArcSight in Microsoft Sentinel-Komponenten übersetzt werden, und enthält allgemeine Richtlinien für die Migration der einzelnen Schritte oder Komponenten im SOAR-Workflow.
| Schritt (im Diagramm) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Erfassen von Ereignissen in Enterprise Security Manager (ESM) und Auslösen von Korrelationsereignissen. | Erfassen sie Ereignisse im Log Analytics-Arbeitsbereich. |
| 2 | Automatisches Filtern von Warnungen für die Fallerstellung. | Verwenden Sie Analyseregeln , um Warnungen auszulösen. Erweitern Sie Warnungen mithilfe der benutzerdefinierten Detailfunktion , um dynamische Incidentnamen zu erstellen. |
| 3 | Klassifizieren von Fällen. | Verwenden Sie Automatisierungsregeln. Mit Automatisierungsregeln behandelt Microsoft Sentinel Incidents gemäß der Analyseregel, die den Incident ausgelöst hat, und den Incidenteigenschaften, die definierten Kriterien entsprechen. |
| 4 | Konsolidieren von Fällen. | Sie können mehrere Warnungen anhand von Eigenschaften wie übereinstimmenden Entitäten, Warnungsdetails oder Erstellungszeitrahmen mithilfe der Funktion für die Warnungsgruppierung zu einem einzelnen Incident konsolidieren. |
| 5 | Dispatch-Fälle. | Weisen Sie incidents bestimmten Analysten mithilfe einer Integration zwischen Microsoft Teams, Azure Logic Apps und Microsoft Sentinel Automatisierungsregeln zu. |
Zuordnen von SOAR-Komponenten
Überprüfen Sie, welche Microsoft Sentinel- oder Azure Logic Apps-Features den ArcSight SOAR-Hauptkomponenten zugeordnet sind.
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Auslöser | Trigger |
| Automatisierungsbit | Azure-Funktionsconnector |
| Aktion | Aktion |
| Geplante Playbooks | Playbooks, die vom Wiederholungstrigger initiiert werden |
| Workflow-Playbooks | Playbooks werden automatisch von Microsoft Sentinel Warnungs- oder Incidenttriggern initiiert. |
| Markt | • Registerkarte "Automatisierungsvorlagen > " • Inhaltshubkatalog • GitHub |
Operationalisieren von Playbooks und Automatisierungsregeln in Microsoft Sentinel
Die meisten Playbooks, die Sie mit Microsoft Sentinel verwenden, sind entweder auf der Registerkarte Automatisierungsvorlagen>, im Inhaltshubkatalog oder in GitHub verfügbar. In einigen Fällen müssen Sie jedoch möglicherweise Playbooks von Grund auf neu oder aus vorhandenen Vorlagen erstellen.
Sie erstellen Ihre benutzerdefinierte Logik-App in der Regel mithilfe des features Azure Logic App Designer. Der Logik-Apps-Code basiert auf Azure Resource Manager-Vorlagen (ARM), die die Entwicklung, Bereitstellung und Portabilität von Azure Logic Apps in mehreren Umgebungen erleichtern. Um Ihr benutzerdefiniertes Playbook in eine portable ARM-Vorlage zu konvertieren, können Sie den ARM-Vorlagengenerator verwenden.
Verwenden Sie diese Ressourcen für Fälle, in denen Sie Ihre eigenen Playbooks entweder von Grund auf neu oder aus vorhandenen Vorlagen erstellen müssen.
- Automatisieren der Incidentbehandlung in Microsoft Sentinel
- Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel
- Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel
- Verwenden von Microsoft Sentinel für Reaktion auf Vorfälle, Orchestrierung und Automatisierung
- Adaptive Karten zur Verbesserung der Reaktion auf Vorfälle in Microsoft Sentinel
Bewährte Methoden für SOAR nach der Migration
Im Folgenden finden Sie bewährte Methoden, die Sie nach der SOAR-Migration berücksichtigen sollten:
- Nachdem Sie Ihre Playbooks migriert haben, testen Sie die Playbooks ausführlich, um sicherzustellen, dass die migrierten Aktionen wie erwartet funktionieren.
- Überprüfen Sie in regelmäßigen Abständen Ihre Automatisierungen, um Möglichkeiten zur weiteren Vereinfachung oder Verbesserung Ihres SOAR zu erkunden. Microsoft Sentinel fügt ständig neue Connectors und Aktionen hinzu, die Ihnen helfen können, die Effektivität Ihrer aktuellen Antwortimplementierungen weiter zu vereinfachen oder zu erhöhen.
- Überwachen Sie die Leistung Ihrer Playbooks mithilfe der Arbeitsmappe zur Überwachung der Playbooks-Integrität.
- Verwenden von verwalteten Identitäten und Dienstprinzipalen: Authentifizieren Sie sich bei verschiedenen Azure Diensten in Ihren Logic Apps, speichern Sie die Geheimnisse in Azure Key Vault, und verdecken Sie die Ausgabe der Flowausführung. Außerdem wird empfohlen, die Aktivitäten dieser Dienstprinzipale zu überwachen.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre SOAR-Automatisierung von ArcSight zu Microsoft Sentinel zuordnen.