Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel fornece capacidades de Orquestração de Segurança, Automatização e Resposta (SOAR) com regras de automatização e manuais de procedimentos. As regras de automatização facilitam o processamento e a resposta de incidentes simples, enquanto os manuais de procedimentos executam sequências de ações mais complexas para responder e remediar ameaças. Este artigo aborda como identificar casos de utilização SOAR e como migrar a automatização do Splunk SOAR para Microsoft Sentinel regras e manuais de procedimentos de automatização.
Para obter mais informações sobre as diferenças entre regras de automatização e manuais de procedimentos, veja os seguintes artigos:
- Automatizar a resposta a ameaças com regras de automatização
- Automatizar a resposta a ameaças com manuais de procedimentos
Identificar casos de utilização soar
Eis o que precisa de pensar ao migrar casos de utilização soar do Splunk.
- Qualidade das maiúsculas/minúsculas. Escolha casos de utilização de automatização com base em procedimentos claramente definidos, com variação mínima e uma taxa de falsos positivos baixa.
- Intervenção manual. As respostas automatizadas podem ter efeitos abrangentes. As automatizações de alto impacto devem ter contributos humanos para confirmar as ações de alto impacto antes de serem tomadas.
- Critérios binários. Para aumentar o sucesso da resposta, os pontos de decisão num fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Quando existem apenas duas variáveis na tomada de decisões automatizadas, a necessidade de intervenção humana é reduzida e a previsibilidade dos resultados é melhorada.
- Alertas ou dados precisos. As ações de resposta dependem da precisão dos sinais, como alertas. Os alertas e as origens de melhoramento devem ser fiáveis. Microsoft Sentinel recursos, como listas de observação e informações sobre ameaças com classificações de confiança elevadas, melhoram a fiabilidade.
- Função de analista. Embora a automatização seja ótima, reserve as tarefas mais complexas para os analistas. Forneça-lhes a oportunidade de entrada em fluxos de trabalho que requerem validação. Resumindo, a automatização de respostas deve aumentar e expandir as capacidades dos analistas.
Migrar fluxo de trabalho SOAR
Esta secção mostra como os principais conceitos do Splunk SOAR se traduzem em componentes Microsoft Sentinel e fornece diretrizes gerais sobre como migrar cada passo ou componente no fluxo de trabalho SOAR.
| Passo (no diagrama) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Ingerir eventos no índice principal. | Ingerir eventos na área de trabalho do Log Analytics. |
| 2 | Criar contentores. | Identificar incidentes com a funcionalidade de detalhes personalizados. |
| 3 | Criar casos. | Microsoft Sentinel podem agrupar automaticamente incidentes de acordo com critérios definidos pelo utilizador, como entidades partilhadas ou gravidade. Estes alertas geram incidentes. |
| 4 | Criar manuais de procedimentos. | Azure Logic Apps utiliza vários conectores para orquestrar atividades em ambientes de cloud Microsoft Sentinel, Azure, terceiros e híbridos. |
| 4 | Criar livros. | Microsoft Sentinel executa manuais de procedimentos isoladamente ou como parte de uma regra de automatização ordenada. Também pode executar manuais de procedimentos em alertas ou incidentes, de acordo com um procedimento predefinido do Centro de Operações de Segurança (SOC). |
Mapear componentes SOAR
Reveja que funcionalidades do Microsoft Sentinel ou do Azure Logic Apps mapeiam para os principais componentes soar do Splunk.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Editor de manuais de procedimentos | Estruturador da Aplicação Lógica |
| Acionador | Acionador |
| • Conectores • Aplicação • Mediador de automatização |
• Conector • Função de Trabalho de Runbook Híbrida |
| Blocos de ação | Ação |
| Mediador de conectividade | Função de Trabalho de Runbook Híbrida |
| Community | • Separador Modelos de Automatização > • Catálogo do hub de conteúdos • GitHub |
| Decisão | Controlo condicional |
| Código | Conector da Função Azure |
| Linha de comandos | Enviar e-mail de aprovação |
| Formatar | Operações de dados |
| Manuais de procedimentos de entrada | Obter entradas variáveis a partir dos resultados de passos executados anteriormente ou variáveis explicitamente declaradas |
| Definir parâmetros com o utilitário API de bloco utilitário | Gerir Incidentes com a API |
Operacionalizar manuais de procedimentos e regras de automatização no Microsoft Sentinel
A maioria dos manuais de procedimentos que utiliza com Microsoft Sentinel estão disponíveis no separador Modelos de Automatização>, no catálogo do Hub de conteúdos ou no GitHub. No entanto, em alguns casos, poderá ter de criar manuais de procedimentos a partir do zero ou a partir de modelos existentes.
Normalmente, cria a sua aplicação lógica personalizada com a funcionalidade Designer do Azure Logic App. O código das aplicações lógicas baseia-se em modelos Azure Resource Manager (ARM), que facilitam o desenvolvimento, a implementação e a portabilidade do Azure Logic Apps em vários ambientes. Para converter o manual de procedimentos personalizado num modelo arm portátil, pode utilizar o gerador de modelos arm.
Utilize estes recursos para casos em que precisa de criar os seus próprios manuais de procedimentos de raiz ou de modelos existentes.
- Automatizar o processamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel
- Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel
- Como utilizar Microsoft Sentinel para Resposta a Incidentes, Orquestração e Automatização
- Cartões Ajustáveis para melhorar a resposta a incidentes no Microsoft Sentinel
Melhores práticas de pós-migração soar
Seguem-se as melhores práticas que deve ter em conta após a migração soar:
- Depois de migrar os manuais de procedimentos, teste os manuais de procedimentos extensivamente para garantir que as ações migradas funcionam conforme esperado.
- Reveja periodicamente as automatizações para explorar formas de simplificar ou melhorar ainda mais o SOAR. Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das suas implementações de resposta atuais.
- Monitorize o desempenho dos manuais de procedimentos com o livro monitorização do estado de funcionamento dos Manuais de Procedimentos.
- Utilizar identidades geridas e principais de serviço: autentique-se em vários serviços Azure no Logic Apps, armazene os segredos no Azure Key Vault e obscureça a saída de execução do fluxo. Também recomendamos que monitorize as atividades destes principais de serviço.
Passos seguintes
Neste artigo, aprendeu a mapear a automatização SOAR de Splunk para Microsoft Sentinel.