Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Siem-team (Säkerhetsinformation och händelsehantering) och SOC-team (Security Operations Center) översvämmas vanligtvis med säkerhetsaviseringar och incidenter regelbundet, på så stora volymer att tillgänglig personal överbelastas. Detta resulterar alltför ofta i situationer där många aviseringar ignoreras och många incidenter inte undersöks, vilket gör organisationen sårbar för attacker som inte går att ta hänsyn till.
Microsoft Sentinel, förutom att vara ett SIEM-system, är också en plattform för säkerhetsorkestrering, automatisering och svar (SOAR). Ett av dess främsta syfte är att automatisera återkommande och förutsägbara beriknings-, svars- och reparationsuppgifter som ansvarar för ditt säkerhetsåtgärdscenter och personal (SOC/SecOps), vilket frigör tid och resurser för mer djupgående undersökning av och jakt på avancerade hot.
Den här artikeln beskriver Microsoft Sentinel soar-funktioner och visar hur användningen av automatiseringsregler och spelböcker som svar på säkerhetshot ökar SOC:s effektivitet och sparar tid och resurser.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Automatiseringsregler
Microsoft Sentinel använder automatiseringsregler för att tillåta användare att hantera automatisering av incidenthantering från en central plats. Använd automatiseringsregler för att:
- Tilldela mer avancerad automatisering till incidenter och aviseringar med hjälp av spelböcker
- Tagga, tilldela eller stänga incidenter automatiskt utan en spelbok
- Automatisera svar för flera analysregler samtidigt
- Skapa listor med uppgifter som dina analytiker kan utföra när de sorterar, undersöker och åtgärdar incidenter
- Kontrollera ordningen på åtgärder som körs
Vi rekommenderar att du tillämpar automatiseringsregler när incidenter skapas eller uppdateras för att ytterligare effektivisera automatiseringen och förenkla komplexa arbetsflöden för dina incidentorkestreringsprocesser.
Mer information finns i Automatisera hotsvar i Microsoft Sentinel med automatiseringsregler.
Spelböcker
En spelbok är en samling svars- och reparationsåtgärder och logik som kan köras från Microsoft Sentinel som en rutin. En spelbok kan:
- Hjälpa till att automatisera och samordna ditt hotsvar
- Integrera med andra system, både interna och externa
- Konfigureras för att köras automatiskt som svar på specifika aviseringar eller incidenter, eller köras manuellt på begäran, till exempel som svar på nya aviseringar
I Microsoft Sentinel baseras spelböcker på arbetsflöden som är inbyggda i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och orkestrera uppgifter och arbetsflöden över hela företaget. Det innebär att spelböcker kan dra nytta av all kraft och anpassning av Logic Apps integrerings- och orkestreringsfunktioner och lätthanterade designverktyg samt skalbarhet, tillförlitlighet och tjänstnivå för en nivå 1-Azure tjänst.
Mer information finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel.
Automatisering i Microsoft Defender-portalen
Observera följande information om hur automatisering fungerar för Microsoft Sentinel i Defender-portalen. Om du är en befintlig kund som övergår från Azure Portal till Defender-portalen kan du notera skillnader i hur automatisering fungerar på din arbetsyta efter registrering i Defender-portalen.
| Funktionalitet | Beskrivning |
|---|---|
| Automatiseringsregler med aviseringsutlösare | I Defender-portalen fungerar automatiseringsregler med aviseringsutlösare endast på Microsoft Sentinel aviseringar. Mer information finns i Utlösare för aviseringsskapande. |
| Automatiseringsregler med incidentutlösare | I både Azure Portal och Defender-portalen tas egenskapen För incidentproviderns villkor bort, eftersom alla incidenter har Microsoft XDR som incidentprovider (värdet i fältet ProviderName). Vid den tidpunkten körs alla befintliga automatiseringsregler på både Microsoft Sentinel och Microsoft Defender XDR incidenter, inklusive de där villkoret för incidentprovidern endast är inställt på Microsoft Sentinel eller Microsoft 365 Defender. Automatiseringsregler som anger ett specifikt analysregelnamn körs dock endast på incidenter som innehåller aviseringar som har skapats av den angivna analysregeln. Det innebär att du kan definiera egenskapen för analysregelns namnvillkor till en analysregel som bara finns i Microsoft Sentinel för att begränsa regeln så att den endast körs på incidenter i Microsoft Sentinel. Efter registreringen till Defender-portalen innehåller tabellen SecurityIncident inte längre ett beskrivningsfält . Därför: – Om du använder det här fältet Beskrivning som ett villkor för en automatiseringsregel med en utlösare för incidentskapande fungerar inte den automatiseringsregeln efter registrering i Defender-portalen. I sådana fall bör du uppdatera konfigurationen på rätt sätt. Mer information finns i Incidentutlösarvillkor. – Om du har en integrering konfigurerad med ett externt biljettsystem, till exempel ServiceNow, kommer incidentbeskrivningen att saknas. |
| Svarstid i spelboksutlösare | Det kan ta upp till 5 minuter innan Microsoft Defender incidenter visas i Microsoft Sentinel. Om den här fördröjningen finns fördröjs även spelboksutlösaren. |
| Ändringar i befintliga incidentnamn | Defender-portalen använder en unik motor för att korrelera incidenter och aviseringar. När du registrerar din arbetsyta i Defender-portalen kan befintliga incidentnamn ändras om korrelationen tillämpas. För att säkerställa att dina automatiseringsregler alltid körs korrekt rekommenderar vi därför att du undviker att använda incidenttitlar som villkorskriterier i dina automatiseringsregler, och föreslår i stället att du använder namnet på alla analysregler som skapade aviseringar som ingår i incidenten och taggar om mer specifikitet krävs. |
| Uppdaterad efter fält | Mer information finns i Utlösare för incidentuppdatering. |
| Skapa automatiseringsregler direkt från en incident | Det går bara att skapa automatiseringsregler direkt från en incident i Azure Portal. Om du arbetar i Defender-portalen skapar du dina automatiseringsregler från grunden från sidan Automation . |
| Regler för skapande av Microsoft-incidenter | Microsofts regler för att skapa incidenter stöds inte i Defender-portalen. Mer information finns i Microsoft Defender XDR incidenter och Regler för skapande av Microsoft-incidenter. |
| Köra automatiseringsregler från Defender-portalen | Det kan ta upp till 10 minuter från det att en avisering utlöses och en incident skapas eller uppdateras i Defender-portalen till när en automatiseringsregel körs. Den här tidsfördröjningen beror på att incidenten skapas i Defender-portalen och sedan vidarebefordras till Microsoft Sentinel för automatiseringsregeln. |
| Fliken Aktiva spelböcker | När du har registrerat dig på Defender-portalen visar fliken Aktiva spelböcker som standard ett fördefinierat filter med den registrerade arbetsytans prenumeration. I Azure Portal lägger du till data för andra prenumerationer med hjälp av prenumerationsfiltret. Mer information finns i Skapa och anpassa Microsoft Sentinel spelböcker från mallar. |
| Köra spelböcker manuellt på begäran | Följande procedurer stöds för närvarande inte i Defender-portalen: |
| Att köra spelböcker på incidenter kräver Microsoft Sentinel synkronisering | Om du försöker köra en spelbok på en incident från Defender-portalen och ser meddelandet "Det går inte att komma åt data som är relaterade till den här åtgärden. Uppdatera skärmen om några minuter." innebär det att incidenten ännu inte har synkroniserats till Microsoft Sentinel. Uppdatera incidentsidan när incidenten har synkroniserats för att köra spelboken. |
|
Incidenter: Lägga till aviseringar till incidenter/ Ta bort aviseringar från incidenter |
Eftersom du inte kan lägga till aviseringar i eller ta bort aviseringar från incidenter när du har registrerat din arbetsyta i Defender-portalen, stöds inte heller dessa åtgärder inifrån spelböcker. Mer information finns i Förstå hur aviseringar korreleras och incidenter slås samman i Defender-portalen. |
| Microsoft Defender XDR integrering i flera arbetsytor | Om du har integrerat XDR-data med mer än en arbetsyta i en enda klientorganisation matas data nu bara in på den primära arbetsytan i Defender-portalen. Överför automatiseringsregler till relevant arbetsyta för att hålla dem igång. |
| Automation och korrelationsmotorn | Korrelationsmotorn kan kombinera aviseringar från flera signaler till en enda incident, vilket kan leda till att automation tar emot data som du inte förväntade dig. Vi rekommenderar att du granskar dina automatiseringsregler för att säkerställa att du ser de förväntade resultaten. |