Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel biedt SOAR-mogelijkheden (Security Orchestration, Automation, and Response) met automatiseringsregels en playbooks. Automatiseringsregels vergemakkelijken eenvoudige incidentafhandeling en -reactie, terwijl playbooks complexere reeksen acties uitvoeren om te reageren en bedreigingen te herstellen. In dit artikel wordt beschreven hoe u SOAR-use cases kunt identificeren en hoe u uw Splunk SOAR-automatisering migreert naar Microsoft Sentinel automatiseringsregels en playbooks.
Zie de volgende artikelen voor meer informatie over de verschillen tussen automatiseringsregels en playbooks:
- Reactie op bedreigingen automatiseren met automatiseringsregels
- Reactie op bedreigingen automatiseren met playbooks
SOAR-use cases identificeren
Dit is waar u aan moet denken bij het migreren van SOAR-use cases van Splunk.
- Kwaliteit van use-case. Kies automatiseringsgebruiksscenario's op basis van procedures die duidelijk zijn gedefinieerd, met minimale variatie en een lage fout-positieve frequentie.
- Handmatige interventie. Geautomatiseerde antwoorden kunnen uiteenlopende effecten hebben. Automatiseringen met hoge impact moeten menselijke input hebben om acties met hoge impact te bevestigen voordat ze worden uitgevoerd.
- Binaire criteria. Als u de respons wilt verbeteren, moeten beslissingspunten binnen een geautomatiseerde werkstroom zo beperkt mogelijk zijn, met binaire criteria. Wanneer er slechts twee variabelen in de geautomatiseerde besluitvorming zijn, wordt de behoefte aan menselijke tussenkomst verminderd en wordt de voorspelbaarheid van resultaten verbeterd.
- Nauwkeurige waarschuwingen of gegevens. Reactieacties zijn afhankelijk van de nauwkeurigheid van signalen, zoals waarschuwingen. Waarschuwingen en verrijkingsbronnen moeten betrouwbaar zijn. Microsoft Sentinel resources zoals volglijsten en bedreigingsinformatie met hoge betrouwbaarheidsclassificaties verbeteren de betrouwbaarheid.
- Rol van analist. Hoewel automatisering geweldig is, reserveert u de meest complexe taken voor analisten. Geef ze de mogelijkheid voor invoer in werkstromen waarvoor validatie is vereist. Kortom, responsautomatisering moet de mogelijkheden van analisten uitbreiden en uitbreiden.
SOAR-werkstroom migreren
In deze sectie ziet u hoe belangrijke Splunk SOAR-concepten worden omgezet in Microsoft Sentinel onderdelen en vindt u algemene richtlijnen voor het migreren van elke stap of onderdeel in de SOAR-werkstroom.
| Stap (in diagram) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Gebeurtenissen opnemen in de hoofdindex. | Gebeurtenissen opnemen in de Log Analytics-werkruimte. |
| 2 | Containers maken. | Tag incidenten met behulp van de functie voor aangepaste details. |
| 3 | Cases maken. | Microsoft Sentinel kunt incidenten automatisch groeperen op basis van door de gebruiker gedefinieerde criteria, zoals gedeelde entiteiten of ernst. Deze waarschuwingen genereren vervolgens incidenten. |
| 4 | Playbooks maken. | Azure Logic Apps maakt gebruik van verschillende connectors voor het organiseren van activiteiten in Microsoft Sentinel, Azure, externe en hybride cloudomgevingen. |
| 4 | Werkmappen maken. | Microsoft Sentinel voert playbooks geïsoleerd of als onderdeel van een geordende automatiseringsregel uit. U kunt playbooks ook handmatig uitvoeren tegen waarschuwingen of incidenten, volgens een vooraf gedefinieerde SOC-procedure (Security Operations Center). |
SOAR-onderdelen toewijzen
Bekijk welke functies van Microsoft Sentinel of Azure Logic Apps zijn toegewezen aan de belangrijkste Splunk SOAR-onderdelen.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Playbook-editor | Ontwerpfunctie voor logische apps |
| Trigger | Trigger |
| •Verbindingslijnen •App • Automation Broker |
• Connector • Hybrid Runbook Worker |
| Actieblokken | Actie |
| Connectiviteitsbroker | Hybrid Runbook Worker |
| Community | • Tabblad Automatiseringssjablonen > • Inhoudshubcatalogus • GitHub |
| Besluit | Voorwaardelijk beheer |
| Code | Azure functieconnector |
| Prompt | Goedkeuringsmail verzenden |
| Formaat | Gegevensbewerkingen |
| Playbooks invoeren | Variabele-invoer verkrijgen uit resultaten van eerder uitgevoerde stappen of expliciet gedeclareerde variabelen |
| Parameters instellen met utility block API utility | Incidenten beheren met de API |
Playbooks en automatiseringsregels operationeel maken in Microsoft Sentinel
De meeste playbooks die u met Microsoft Sentinel gebruikt, zijn beschikbaar op het tabblad Automation-sjablonen>, de inhoudshubcatalogus of GitHub. In sommige gevallen moet u echter mogelijk volledig nieuwe playbooks of bestaande sjablonen maken.
Meestal bouwt u uw aangepaste logische app met behulp van de functie Azure Logic App Designer. De code van logic apps is gebaseerd op arm-sjablonen (Azure Resource Manager), die de ontwikkeling, implementatie en draagbaarheid van Azure Logic Apps in meerdere omgevingen vergemakkelijken. Als u uw aangepaste playbook wilt converteren naar een draagbare ARM-sjabloon, kunt u de ARM-sjabloongenerator gebruiken.
Gebruik deze resources voor gevallen waarin u uw eigen playbooks moet bouwen, helemaal zelf of op basis van bestaande sjablonen.
- Incidentafhandeling automatiseren in Microsoft Sentinel
- Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel
- Zelfstudie: Playbooks gebruiken met automatiseringsregels in Microsoft Sentinel
- Het gebruik van Microsoft Sentinel voor incidentrespons, indeling en automatisering
- Adaptieve kaarten om de reactie op incidenten in Microsoft Sentinel te verbeteren
Best practices voor SOAR na migratie
Hier volgen best practices waar u rekening mee moet houden na uw SOAR-migratie:
- Nadat u uw playbooks hebt gemigreerd, test u de playbooks uitgebreid om ervoor te zorgen dat de gemigreerde acties werken zoals verwacht.
- Controleer regelmatig uw automatiseringen om manieren te verkennen om uw SOAR verder te vereenvoudigen of te verbeteren. Microsoft Sentinel voegt voortdurend nieuwe connectors en acties toe waarmee u de effectiviteit van uw huidige respons-implementaties verder kunt vereenvoudigen of verhogen.
- Bewaak de prestaties van uw playbooks met behulp van de werkmap Playbooks-statusbewaking.
- Beheerde identiteiten en service-principals gebruiken: verifieer op basis van verschillende Azure services in uw Logic Apps, sla de geheimen op in Azure Key Vault en verdoezel de uitvoer van de stroomuitvoering. We raden u ook aan de activiteiten van deze service-principals te bewaken.
Volgende stappen
In dit artikel hebt u geleerd hoe u uw SOAR-automatisering van Splunk kunt toewijzen aan Microsoft Sentinel.