Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel fournit des fonctionnalités SOAR (Security Orchestration, Automation, and Response) avec des règles d’automatisation et des playbooks. Les règles d’automatisation facilitent la gestion et la réponse simples aux incidents, tandis que les playbooks exécutent des séquences d’actions plus complexes pour répondre et corriger les menaces. Cet article explique comment identifier les cas d’usage SOAR et comment migrer votre automatisation Splunk SOAR vers Microsoft Sentinel règles d’automatisation et playbooks.
Pour plus d’informations sur les différences entre les règles d’automatisation et les playbooks, consultez les articles suivants :
- Automatiser la réponse aux menaces avec des règles d’automatisation
- Automatiser la réponse aux menaces avec des playbooks
Identifier les cas d’usage SOAR
Voici ce à quoi vous devez penser lors de la migration de cas d’usage SOAR à partir de Splunk.
- Qualité du cas d’usage. Choisissez des cas d’usage d’automatisation basés sur des procédures clairement définies, avec une variation minimale et un faible taux de faux positifs.
- Intervention manuelle. Les réponses automatisées peuvent avoir des effets très variés. Les automatisations à fort impact doivent avoir une intervention humaine pour confirmer les actions à fort impact avant d’être effectuées.
- Critères binaires. Pour améliorer la réussite de la réponse, les points de décision au sein d’un workflow automatisé doivent être aussi limités que possible, avec des critères binaires. Lorsqu’il n’y a que deux variables dans la prise de décision automatisée, le besoin d’intervention humaine est réduit et la prévisibilité des résultats est améliorée.
- Alertes ou données précises. Les actions de réponse dépendent de la précision des signaux tels que les alertes. Les alertes et les sources d’enrichissement doivent être fiables. Microsoft Sentinel ressources telles que les watchlists et le renseignement sur les menaces avec des évaluations de confiance élevées améliorent la fiabilité.
- Rôle d’analyste. Bien que l’automatisation soit excellente, réservez les tâches les plus complexes aux analystes. Donnez-leur la possibilité d’entrer des données dans des workflows qui nécessitent une validation. En bref, l’automatisation des réponses doit augmenter et étendre les fonctionnalités des analystes.
Migrer le flux de travail SOAR
Cette section montre comment les principaux concepts Splunk SOAR se traduisent en composants Microsoft Sentinel et fournit des instructions générales sur la migration de chaque étape ou composant dans le workflow SOAR.
| Étape (dans le diagramme) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Ingérer des événements dans l’index principal. | Ingérer des événements dans l’espace de travail Log Analytics. |
| 2 | Créez des conteneurs. | Étiquetez les incidents à l’aide de la fonctionnalité détails personnalisés. |
| 3 | Créer des cas. | Microsoft Sentinel pouvez regrouper automatiquement les incidents en fonction de critères définis par l’utilisateur, tels que les entités partagées ou la gravité. Ces alertes génèrent ensuite des incidents. |
| 4 | Créer des playbooks. | Azure Logic Apps utilise plusieurs connecteurs pour orchestrer les activités dans les environnements Microsoft Sentinel, Azure, tiers et cloud hybride. |
| 4 | Créez des classeurs. | Microsoft Sentinel exécute des playbooks de manière isolée ou dans le cadre d’une règle d’automatisation ordonnée. Vous pouvez également exécuter manuellement des playbooks sur des alertes ou des incidents, selon une procédure soc (Security Operations Center) prédéfinie. |
Mapper les composants SOAR
Passez en revue les fonctionnalités Microsoft Sentinel ou Azure Logic Apps mappées aux principaux composants Splunk SOAR.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Éditeur de playbook | Concepteur d’application logique |
| Déclencher | Trigger |
| •Connecteurs •Application • Répartiteur Automation |
• Connecteur • Runbook Worker hybride |
| Blocs d’action | Action |
| Répartiteur de connectivité | Runbook Worker hybride |
| Community | • Onglet Modèles d’automatisation > • Catalogue du hub de contenu • GitHub |
| Decision | Contrôle conditionnel |
| Code | connecteur de fonction Azure |
| Invite | Envoyer un e-mail d’approbation |
| Format | Opérations de données |
| Playbooks d’entrée | Obtenir des entrées de variable à partir des résultats d’étapes précédemment exécutées ou de variables déclarées explicitement |
| Définir des paramètres avec l’utilitaire d’API de bloc de l’utilitaire | Gérer les incidents avec l’API |
Opérationnaliser les playbooks et les règles d’automatisation dans Microsoft Sentinel
La plupart des playbooks que vous utilisez avec Microsoft Sentinel sont disponibles sous l’onglet Modèles Automation>, le catalogue du hub de contenu ou GitHub. Toutefois, dans certains cas, vous devrez peut-être créer des playbooks à partir de zéro ou à partir de modèles existants.
En règle générale, vous créez votre application logique personnalisée à l’aide de la fonctionnalité Designer d’application logique Azure. Le code des applications logiques est basé sur des modèles Azure Resource Manager (ARM), qui facilitent le développement, le déploiement et la portabilité de Azure Logic Apps dans plusieurs environnements. Pour convertir votre playbook personnalisé en modèle ARM portable, vous pouvez utiliser le générateur de modèles ARM.
Utilisez ces ressources dans les cas où vous devez créer vos propres playbooks à partir de zéro ou à partir de modèles existants.
- Automatiser la gestion des incidents dans Microsoft Sentinel
- Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel
- Tutoriel : Utiliser des playbooks avec des règles d’automatisation dans Microsoft Sentinel
- Comment utiliser Microsoft Sentinel pour la réponse aux incidents, l’orchestration et l’automatisation
- Cartes adaptatives pour améliorer la réponse aux incidents dans Microsoft Sentinel
Bonnes pratiques après la migration SOAR
Voici les meilleures pratiques que vous devez prendre en compte après votre migration SOAR :
- Après avoir migré vos playbooks, testez les playbooks de manière intensive pour vous assurer que les actions migrées fonctionnent comme prévu.
- Passez régulièrement en revue vos automatisations pour explorer les moyens de simplifier ou d’améliorer votre SOAR. Microsoft Sentinel ajoute constamment de nouveaux connecteurs et actions qui peuvent vous aider à simplifier ou à accroître l’efficacité de vos implémentations de réponse actuelles.
- Surveillez les performances de vos playbooks à l’aide du classeur surveillance de l’intégrité des playbooks.
- Utiliser des identités managées et des principaux de service : Authentifiez-vous auprès de différents services Azure au sein de vos applications logiques, stockez les secrets dans Azure Key Vault et masquez la sortie d’exécution du flux. Nous vous recommandons également de surveiller les activités de ces principaux de service.
Étapes suivantes
Dans cet article, vous avez appris à mapper votre automatisation SOAR de Splunk à Microsoft Sentinel.