Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel offre funzionalità di orchestrazione, automazione e risposta di sicurezza (SOAR) con regole di automazione e playbook. Le regole di automazione automatizzano la gestione e la risposta agli eventi imprevisti e i playbook eseguono sequenze predeterminate di azioni per rispondere e correggere le minacce. Questo articolo illustra come identificare i casi d'uso soar e come eseguire la migrazione dell'automazione ARCSight SOAR a Microsoft Sentinel.
Le regole di automazione semplificano flussi di lavoro complessi per i processi di orchestrazione degli eventi imprevisti e consentono di gestire centralmente l'automazione della gestione degli eventi imprevisti.
Con le regole di automazione, è possibile:
- Eseguire semplici attività di automazione senza usare necessariamente playbook. Ad esempio, è possibile assegnare, assegnare tag agli eventi imprevisti, modificare lo stato e chiudere gli eventi imprevisti.
- Automatizzare le risposte per più regole di analisi contemporaneamente.
- Controllare l'ordine delle azioni eseguite.
- Eseguire playbook per i casi in cui sono necessarie attività di automazione più complesse.
Identificare i casi d'uso soar
Ecco cosa è necessario considerare quando si esegue la migrazione dei casi d'uso SOAR da ArcSight.
- Qualità del caso d'uso. Scegliere casi d'uso validi per l'automazione. I casi d'uso devono essere basati su procedure chiaramente definite, con variazione minima e una bassa frequenza di falsi positivi. L'automazione deve funzionare con casi d'uso efficienti.
- Intervento manuale. La risposta automatizzata può avere effetti di ampia portata e le automazioni ad alto impatto devono avere un input umano per confermare le azioni a impatto elevato prima che vengano eseguite.
- Criteri binari. Per aumentare il successo della risposta, i punti decisionali all'interno di un flusso di lavoro automatizzato devono essere il più limitati possibile, con criteri binari. I criteri binari riducono la necessità di intervento umano e migliorano la prevedibilità dei risultati.
- Avvisi o dati accurati. Le azioni di risposta dipendono dall'accuratezza dei segnali, ad esempio gli avvisi. Gli avvisi e le origini di arricchimento devono essere affidabili. Microsoft Sentinel risorse come watchlist e reliable threat intelligence possono migliorare l'affidabilità.
- Ruolo di analista. Anche se l'automazione è ottimale, riservare attività più complesse agli analisti e offrire loro l'opportunità di input nei flussi di lavoro che richiedono la convalida. In breve, l'automazione delle risposte deve aumentare ed estendere le funzionalità degli analisti.
Eseguire la migrazione del flusso di lavoro SOAR
Questa sezione illustra come i concetti principali di SOAR in ArcSight si traducono in componenti Microsoft Sentinel e fornisce linee guida generali su come eseguire la migrazione di ogni passaggio o componente nel flusso di lavoro SOAR.
| Passaggio (nel diagramma) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Inserire gli eventi in Enterprise Security Manager (ESM) e attivare gli eventi di correlazione. | Inserire eventi nell'area di lavoro Log Analytics. |
| 2 | Filtrare automaticamente gli avvisi per la creazione di case. | Usare le regole di analisi per attivare gli avvisi. Arricchire gli avvisi usando la funzionalità dei dettagli personalizzati per creare nomi di eventi imprevisti dinamici. |
| 3 | Classificare i case. | Usare le regole di automazione. Con le regole di automazione, Microsoft Sentinel gestisce gli eventi imprevisti in base alla regola di analisi che ha attivato l'evento imprevisto e alle proprietà degli eventi imprevisti che corrispondono ai criteri definiti. |
| 4 | Consolidare i casi. | È possibile consolidare diversi avvisi a un singolo evento imprevisto in base a proprietà quali entità corrispondenti, dettagli degli avvisi o intervallo di tempo di creazione, usando la funzionalità di raggruppamento degli avvisi. |
| 5 | Casi di invio. | Assegnare eventi imprevisti a analisti specifici usando un'integrazione tra Microsoft Teams, app per la logica Azure e regole di automazione Microsoft Sentinel. |
Eseguire la mappa dei componenti SOAR
Esaminare le funzionalità di app per la logica Microsoft Sentinel o Azure mappate ai componenti principali di ArcSight SOAR.
| ArcSight | app per la logica Microsoft Sentinel/Azure |
|---|---|
| Attivazione | Attivazione |
| Bit di automazione | connettore funzione Azure |
| Azione | Azione |
| Playbook pianificati | Playbook avviati dal trigger di ricorrenza |
| Playbook del flusso di lavoro | Playbook avviati automaticamente da Microsoft Sentinel trigger di avviso o evento imprevisto |
| Mercato | • Scheda Modelli di automazione > • Catalogo dell'hub di contenuto • GitHub |
Rendere operativi i playbook e le regole di automazione in Microsoft Sentinel
La maggior parte dei playbook usati con Microsoft Sentinel sono disponibili nella scheda Modelli di automazione>, nel catalogo dell'hub contenuto o in GitHub. In alcuni casi, tuttavia, potrebbe essere necessario creare playbook da zero o da modelli esistenti.
In genere si compila l'app per la logica personalizzata usando la funzionalità Designer app per la logica Azure. Il codice delle app per la logica si basa su modelli di Azure Resource Manager (ARM), che facilitano lo sviluppo, la distribuzione e la portabilità di app per la logica Azure in più ambienti. Per convertire il playbook personalizzato in un modello arm portatile, è possibile usare il generatore di modelli arm.
Usare queste risorse per i casi in cui è necessario creare playbook personalizzati da zero o da modelli esistenti.
- Automatizzare la gestione degli eventi imprevisti in Microsoft Sentinel
- Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
- Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel
- Come usare Microsoft Sentinel per la risposta agli eventi imprevisti, l'orchestrazione e l'automazione
- Schede adattive per migliorare la risposta agli eventi imprevisti in Microsoft Sentinel
Procedure consigliate per soar post-migrazione
Ecco le procedure consigliate da tenere in considerazione dopo la migrazione SOAR:
- Dopo aver eseguito la migrazione dei playbook, testare ampiamente i playbook per assicurarsi che le azioni migrate funzionino come previsto.
- Esaminare periodicamente le automazioni per esplorare i modi per semplificare o migliorare ulteriormente il soar. Microsoft Sentinel aggiunge costantemente nuovi connettori e azioni che consentono di semplificare o aumentare ulteriormente l'efficacia delle implementazioni di risposta correnti.
- Monitorare le prestazioni dei playbook usando la cartella di lavoro Monitoraggio dell'integrità dei Playbook.
- Usare identità gestite ed entità servizio: eseguire l'autenticazione in vari servizi di Azure all'interno delle app per la logica, archiviare i segreti in Azure Key Vault e nascondere l'output dell'esecuzione del flusso. È anche consigliabile monitorare le attività di queste entità servizio.
Passaggi successivi
In questo articolo si è appreso come eseguire il mapping dell'automazione SOAR da ArcSight a Microsoft Sentinel.