Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel bietet SOAR-Funktionen (Security Orchestration, Automation, and Response) mit Automatisierungsregeln und Playbooks. Automatisierungsregeln erleichtern die einfache Behandlung und Reaktion auf Vorfälle, während Playbooks komplexere Sequenzen von Aktionen ausführen, um auf Bedrohungen zu reagieren und zu beheben. In diesem Artikel wird erläutert, wie Sie SOAR-Anwendungsfälle identifizieren und Ihre Splunk SOAR-Automatisierung zu Microsoft Sentinel Automatisierungsregeln und Playbooks migrieren.
Weitere Informationen zu den Unterschieden zwischen Automatisierungsregeln und Playbooks finden Sie in den folgenden Artikeln:
- Automatisieren der Reaktion auf Bedrohungen mit Automatisierungsregeln
- Automatisieren der Reaktion auf Bedrohungen mit Playbooks
Identifizieren von SOAR-Anwendungsfällen
Hier ist, was Sie beim Migrieren von SOAR-Anwendungsfällen von Splunk beachten müssen.
- Anwendungsfallqualität. Wählen Sie Automatisierungsanwendungsfälle basierend auf klar definierten Prozeduren mit minimaler Variation und einer niedrigen Falsch-Positiv-Rate aus.
- Manueller Eingriff. Automatisierte Antworten können weitreichende Auswirkungen haben. Automatisierungen mit hohen Auswirkungen sollten über menschliche Eingaben verfügen, um Aktionen mit hoher Auswirkung zu bestätigen, bevor sie ausgeführt werden.
- Binäre Kriterien. Um den Reaktionserfolg zu steigern, sollten Entscheidungspunkte innerhalb eines automatisierten Workflows mit binären Kriterien so begrenzt wie möglich sein. Wenn in der automatisierten Entscheidungsfindung nur zwei Variablen vorhanden sind, wird der Bedarf an menschlichen Eingriffen reduziert und die Vorhersagbarkeit der Ergebnisse verbessert.
- Genaue Warnungen oder Daten. Antwortaktionen hängen von der Genauigkeit von Signalen wie Warnungen ab. Warnungen und Anreicherungsquellen sollten zuverlässig sein. Microsoft Sentinel Ressourcen wie Watchlists und Threat Intelligence mit hohen Zuverlässigkeitsbewertungen erhöhen die Zuverlässigkeit.
- Rolle "Analyst". Die Automatisierung ist zwar großartig, aber reservieren Sie die komplexesten Aufgaben für Analysten. Bieten Sie ihnen die Möglichkeit, In Workflows einzugeben, die eine Überprüfung erfordern. Kurz gesagt, die Reaktionsautomatisierung sollte die Analystenfunktionen erweitern und erweitern.
Migrieren des SOAR-Workflows
Dieser Abschnitt zeigt, wie wichtige Splunk SOAR-Konzepte in Microsoft Sentinel-Komponenten übersetzt werden, und enthält allgemeine Richtlinien für die Migration der einzelnen Schritte oder Komponenten im SOAR-Workflow.
| Schritt (im Diagramm) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Erfassen von Ereignissen in den Hauptindex. | Erfassen sie Ereignisse im Log Analytics-Arbeitsbereich. |
| 2 | Erstellen sie Container. | Markieren Sie Incidents mithilfe der benutzerdefinierten Detailfunktion. |
| 3 | Erstellen von Fällen. | Microsoft Sentinel können Incidents automatisch nach benutzerdefinierten Kriterien gruppieren, z. B. freigegebene Entitäten oder schweregrad. Diese Warnungen generieren dann Incidents. |
| 4 | Erstellen sie Playbooks. | Azure Logic Apps verwendet mehrere Connectors, um Aktivitäten in Microsoft Sentinel-, Azure-, Drittanbieter- und Hybrid Cloud-Umgebungen zu orchestrieren. |
| 4 | Erstellen sie Arbeitsmappen. | Microsoft Sentinel führt Playbooks entweder isoliert oder als Teil einer geordneten Automatisierungsregel aus. Sie können Playbooks auch manuell für Warnungen oder Vorfälle ausführen, gemäß einer vordefinierten SoC-Prozedur (Security Operations Center). |
Zuordnen von SOAR-Komponenten
Überprüfen Sie, welche Microsoft Sentinel- oder Azure Logic Apps-Features den wichtigsten Splunk SOAR-Komponenten zugeordnet sind.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Playbook-Editor | Logik-App-Designer |
| Auslöser | Trigger |
| •Steckverbinder •App • Automatisierungsbroker |
• Verbinder • Hybrid Runbook Worker |
| Aktionsblöcke | Aktion |
| Konnektivitätsbroker | Hybrid Runbook Worker |
| Community | • Registerkarte "Automatisierungsvorlagen > " • Inhaltshubkatalog • GitHub |
| Decision | Bedingte Steuerung |
| Code | Azure-Funktionsconnector |
| Eingabeaufforderung | Genehmigungs-E-Mail senden |
| Format | Datenoperationen |
| Eingabeplaybooks | Abrufen von Variableneingaben aus Ergebnissen zuvor ausgeführter Schritte oder explizit deklarierter Variablen |
| Festlegen von Parametern mit dem Hilfsprogramm für block-API | Verwalten von Incidents mit der API |
Operationalisieren von Playbooks und Automatisierungsregeln in Microsoft Sentinel
Die meisten Playbooks, die Sie mit Microsoft Sentinel verwenden, sind entweder auf der Registerkarte Automatisierungsvorlagen>, im Inhaltshubkatalog oder in GitHub verfügbar. In einigen Fällen müssen Sie jedoch möglicherweise Playbooks von Grund auf neu oder aus vorhandenen Vorlagen erstellen.
Sie erstellen Ihre benutzerdefinierte Logik-App in der Regel mithilfe des features Azure Logic App Designer. Der Logik-Apps-Code basiert auf Azure Resource Manager-Vorlagen (ARM), die die Entwicklung, Bereitstellung und Portabilität von Azure Logic Apps in mehreren Umgebungen erleichtern. Um Ihr benutzerdefiniertes Playbook in eine portable ARM-Vorlage zu konvertieren, können Sie den ARM-Vorlagengenerator verwenden.
Verwenden Sie diese Ressourcen für Fälle, in denen Sie Ihre eigenen Playbooks entweder von Grund auf neu oder aus vorhandenen Vorlagen erstellen müssen.
- Automatisieren der Incidentbehandlung in Microsoft Sentinel
- Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel
- Tutorial: Verwenden von Playbooks mit Automatisierungsregeln in Microsoft Sentinel
- Verwenden von Microsoft Sentinel für Reaktion auf Vorfälle, Orchestrierung und Automatisierung
- Adaptive Karten zur Verbesserung der Reaktion auf Vorfälle in Microsoft Sentinel
Bewährte Methoden für SOAR nach der Migration
Im Folgenden finden Sie bewährte Methoden, die Sie nach der SOAR-Migration berücksichtigen sollten:
- Nachdem Sie Ihre Playbooks migriert haben, testen Sie die Playbooks ausführlich, um sicherzustellen, dass die migrierten Aktionen wie erwartet funktionieren.
- Überprüfen Sie in regelmäßigen Abständen Ihre Automatisierungen, um Möglichkeiten zur weiteren Vereinfachung oder Verbesserung Ihres SOAR zu erkunden. Microsoft Sentinel fügt ständig neue Connectors und Aktionen hinzu, die Ihnen helfen können, die Effektivität Ihrer aktuellen Antwortimplementierungen weiter zu vereinfachen oder zu erhöhen.
- Überwachen Sie die Leistung Ihrer Playbooks mithilfe der Arbeitsmappe zur Überwachung der Playbooks-Integrität.
- Verwenden von verwalteten Identitäten und Dienstprinzipalen: Authentifizieren Sie sich bei verschiedenen Azure-Diensten in Ihren Logic Apps, speichern Sie die Geheimnisse in Azure Key Vault, und verdecken Sie die Ausgabe der Flowausführung. Außerdem wird empfohlen, die Aktivitäten dieser Dienstprinzipale zu überwachen.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie Ihre SOAR-Automatisierung von Splunk zu Microsoft Sentinel zuordnen.