Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Sentinel tillhandahåller SOAR-funktioner (Security Orchestration, Automation och Response) med automatiseringsregler och spelböcker. Automatiseringsregler underlättar enkel incidenthantering och incidenthantering, medan spelböcker kör mer komplexa sekvenser med åtgärder för att svara och åtgärda hot. Den här artikeln beskriver hur du identifierar soar-användningsfall och hur du migrerar din Splunk SOAR-automatisering för att Microsoft Sentinel automatiseringsregler och spelböcker.
Mer information om skillnaderna mellan automatiseringsregler och spelböcker finns i följande artiklar:
Identifiera soar-användningsfall
Det här behöver du tänka på när du migrerar SOAR-användningsfall från Splunk.
- Användningsfallskvalitet. Välj användningsfall för automatisering baserat på procedurer som är tydligt definierade, med minimal variation och låg falsk positiv hastighet.
- Manuella åtgärder. Automatiserade svar kan ha omfattande effekter. Automatisering med hög påverkan bör ha mänsklig indata för att bekräfta åtgärder med hög påverkan innan de vidtas.
- Binära villkor. För att öka svarsframgången bör beslutspunkterna i ett automatiserat arbetsflöde vara så begränsade som möjligt, med binära kriterier. När det bara finns två variabler i det automatiserade beslutsfattandet minskas behovet av mänsklig inblandning och förutsägbarheten för resultat förbättras.
- Korrekta aviseringar eller data. Svarsåtgärder är beroende av noggrannheten hos signaler som aviseringar. Aviseringar och anrikningskällor bör vara tillförlitliga. Microsoft Sentinel resurser som visningslistor och hotinformation med höga förtroendeklassificeringar förbättrar tillförlitligheten.
- Analytikerroll. Även om automatisering är bra kan du reservera de mest komplexa uppgifterna för analytiker. Ge dem möjlighet till indata i arbetsflöden som kräver validering. Kort och kort bör svarsautomation utöka och utöka analytikernas funktioner.
Migrera SOAR-arbetsflöde
Det här avsnittet visar hur viktiga Splunk SOAR-begrepp översätts till Microsoft Sentinel komponenter och innehåller allmänna riktlinjer för hur du migrerar varje steg eller komponent i SOAR-arbetsflödet.
| Steg (i diagram) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Mata in händelser i huvudindexet. | Mata in händelser i Log Analytics-arbetsytan. |
| 2 | Skapa containrar. | Tagga incidenter med hjälp av funktionen för anpassad information. |
| 3 | Skapa ärenden. | Microsoft Sentinel kan automatiskt gruppera incidenter enligt användardefinierade kriterier, till exempel delade entiteter eller allvarlighetsgrad. Dessa aviseringar genererar sedan incidenter. |
| 4 | Skapa spelböcker. | Azure Logic Apps använder flera anslutningsappar för att samordna aktiviteter i Microsoft Sentinel,Azure-, tredjeparts- och hybridmolnmiljöer. |
| 4 | Skapa arbetsböcker. | Microsoft Sentinel kör spelböcker antingen isolerat eller som en del av en ordnad automatiseringsregel. Du kan också köra spelböcker manuellt mot aviseringar eller incidenter, enligt en fördefinierad SOC-procedur (Security Operations Center). |
Mappa SOAR-komponenter
Granska vilka Microsoft Sentinel- eller Azure Logic Apps-funktioner som mappas till de viktigaste Splunk SOAR-komponenterna.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Spelboksredigerare | Logikappdesigner |
| Utlösa | Utlösa |
| •Kontakter •App • Automation Broker |
• Koppling • Hybrid Runbook Worker |
| Åtgärdsblock | Åtgärd |
| Anslutningsutjämning | Hybrid Runbook Worker |
| Community | • Fliken Automation-mallar > • Innehållshubbens katalog • GitHub |
| Beslut | Villkorsstyrd kontroll |
| Kod | Azure-funktionsanslutning |
| Snabb | Skicka e-post för godkännande |
| Format | Dataåtgärder |
| Indataspelböcker | Hämta variabelindata från resultat från tidigare utförda steg eller uttryckligen deklarerade variabler |
| Ange parametrar med verktygsblock-API-verktyget | Hantera incidenter med API:et |
Operationalisera spelböcker och automatiseringsregler i Microsoft Sentinel
De flesta spelböcker som du använder med Microsoft Sentinel är tillgängliga på fliken Automation-mallar>, innehållshubbens katalog eller GitHub. I vissa fall kan du dock behöva skapa spelböcker från grunden eller från befintliga mallar.
Du skapar vanligtvis din anpassade logikapp med hjälp av funktionen Azure Logic App Designer. Koden för logikappar baseras på arm-mallar (Azure Resource Manager) som underlättar utveckling, distribution och portabilitet för Azure Logic Apps i flera miljöer. Om du vill konvertera din anpassade spelbok till en bärbar ARM-mall kan du använda ARM-mallgeneratorn.
Använd dessa resurser för fall där du behöver skapa egna spelböcker antingen från grunden eller från befintliga mallar.
- Automatisera incidenthantering i Microsoft Sentinel
- Automatisera hotsvar med spelböcker i Microsoft Sentinel
- Självstudie: Använda spelböcker med automatiseringsregler i Microsoft Sentinel
- Använda Microsoft Sentinel för incidenthantering, orkestrering och automatisering
- Adaptiva kort för att förbättra incidenthantering i Microsoft Sentinel
Metodtips för SOAR efter migrering
Här följer metodtips som du bör ta hänsyn till efter soar-migreringen:
- När du har migrerat dina spelböcker testar du spelböckerna i stor utsträckning för att säkerställa att de migrerade åtgärderna fungerar som förväntat.
- Granska dina automatiseringar regelbundet för att utforska sätt att ytterligare förenkla eller förbättra din SOAR. Microsoft Sentinel lägger ständigt till nya anslutningsappar och åtgärder som kan hjälpa dig att ytterligare förenkla eller öka effektiviteten i dina aktuella svarsimplementeringar.
- Övervaka prestanda för dina spelböcker med hjälp av arbetsboken för hälsoövervakning av spelböcker.
- Använd hanterade identiteter och tjänstens huvudnamn: Autentisera mot olika Azure tjänster i logikapparna, lagra hemligheterna i Azure Key Vault och dölj flödeskörningens utdata. Vi rekommenderar också att du övervakar aktiviteterna för dessa tjänsthuvudnamn.
Nästa steg
I den här artikeln har du lärt dig hur du mappar din SOAR-automatisering från Splunk till Microsoft Sentinel.