Splunk SOAR automation migrálása a Microsoft Sentinelbe
A Microsoft Sentinel biztonsági vezénylési, automatizálási és válaszkezelési (SOAR) képességeket biztosít automatizálási szabályokkal és forgatókönyvekkel. Az automatizálási szabályok megkönnyítik az egyszerű incidenskezelést és -reagálást, míg a forgatókönyvek összetettebb műveletsorokat futtatnak a fenyegetések megválaszolásához és elhárításához. Ez a cikk bemutatja, hogyan azonosíthatja a SOAR-használati eseteket, és hogyan migrálhatja a Splunk SOAR-automatizálást a Microsoft Sentinel automatizálási szabályaiba és forgatókönyveibe.
Az automatizálási szabályok és forgatókönyvek közötti különbségekről az alábbi cikkekben talál további információt:
- Veszélyforrások elhárításának automatizálási szabályokkal való automatizálása
- Fenyegetéskezelés automatizálása forgatókönyvekkel
A SOAR használati eseteinek azonosítása
A SOAR-használati esetek Splunkból való migrálása során a következőre kell gondolnia.
- A kis- és nagybetűk minősége. Válasszon automatizálási használati eseteket egyértelműen definiált eljárások alapján, minimális variációval és alacsony hamis-pozitív aránysal.
- Manuális beavatkozás. Az automatizált válaszoknak sokféle hatása lehet. A nagy hatású automatizálásoknak emberi bemenettel kell rendelkezniük a nagy hatású műveletek megerősítéséhez, mielőtt végrehajtanák őket.
- Bináris feltételek. A válasz sikerességének növelése érdekében az automatizált munkafolyamatok döntési pontjainak a lehető legrövidebbnek kell lenniük bináris feltételekkel. Ha az automatizált döntéshozatalban csak két változó van, csökken az emberi beavatkozás szükségessége, és javul az eredmények kiszámíthatósága.
- Pontos riasztások vagy adatok. A válaszműveletek a jelek, például a riasztások pontosságától függenek. A riasztási és bővítési forrásoknak megbízhatónak kell lenniük. A Microsoft Sentinel-erőforrások, például a figyelőlisták és a fenyegetésintelligencia magas megbízhatósági minősítéssel növelik a megbízhatóságot.
- Elemzői szerepkör. Bár az automatizálás nagyszerű, foglalja le a legösszetettebb feladatokat az elemzők számára. Adjon nekik lehetőséget az ellenőrzésre szoruló munkafolyamatokba való bevitelre. Röviden: a válaszautomatizálásnak ki kell egészítenie és ki kell terjesztenie az elemzői képességeket.
SoAR munkafolyamat migrálása
Ez a szakasz bemutatja, hogyan jelennek meg a fő Splunk SOAR-fogalmak a Microsoft Sentinel-összetevőkre, és általános útmutatást nyújt a SOAR munkafolyamat egyes lépéseinek vagy összetevőinek migrálásához.
| Lépés (diagramban) | Splunk | Microsoft Sentinel |
|---|---|---|
| 0 | Események betöltése a fő indexbe. | Események betöltése a Log Analytics-munkaterületre. |
| 2 | Tárolók létrehozása. | Incidensek címkézése az egyéni részletek funkcióval. |
| 3 | Hozzon létre eseteket. | A Microsoft Sentinel automatikusan csoportosíthatja az incidenseket felhasználó által meghatározott feltételek, például megosztott entitások vagy súlyosság szerint. Ezek a riasztások ezután incidenseket hoznak létre. |
| 4 | Forgatókönyvek létrehozása. | Az Azure Logic Apps számos összekötőt használ a Microsoft Sentinel, az Azure, a harmadik fél és a hibrid felhőkörnyezetek tevékenységeinek vezényléséhez. |
| 4 | Munkafüzetek létrehozása. | A Microsoft Sentinel külön-külön vagy egy rendezett automatizálási szabály részeként hajtja végre a forgatókönyveket. A forgatókönyveket manuálisan is végrehajthatja riasztások vagy incidensek ellen egy előre meghatározott Security Operations Center (SOC) eljárás szerint. |
SoAR-összetevők leképezése
Tekintse át, hogy a Microsoft Sentinel vagy az Azure Logic Apps mely funkciói képezhetők le a fő Splunk SOAR-összetevőkre.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Forgatókönyv-szerkesztő | Logikai alkalmazás tervezője |
| Eseményindító | Eseményindító |
| •Csatlakozók •App • Automation-közvetítő |
• Összekötő • Hibrid runbook-feldolgozó |
| Műveletblokkok | Művelet |
| Kapcsolatközvetítő | hibrid runbook-feldolgozó |
| Közösség | • Automation > Templates tab • Tartalomközpont katalógusa • GitHub |
| Döntés | Feltételes vezérlés |
| Kód | Azure-függvény-összekötő |
| Felszólítás | Jóváhagyási e-mail küldése |
| Formátum | Adatműveletek |
| Beviteli forgatókönyvek | Változó bemeneteinek lekérése a korábban végrehajtott lépések vagy explicit módon deklarált változók eredményeiből |
| Paraméterek beállítása a Utility block API segédprogrammal | Incidensek kezelése az API-val |
Forgatókönyvek és automatizálási szabályok üzemeltetése a Microsoft Sentinelben
A Microsoft Sentinelrel használt forgatókönyvek többsége az Automation Templates lapon, a Content Hub katalógusában vagy a GitHubon érhető el.> Bizonyos esetekben azonban szükség lehet forgatókönyvek létrehozására az alapoktól vagy a meglévő sablonokból.
Az egyéni logikai alkalmazást általában az Azure Logic App Designer szolgáltatással hozhatja létre. A logic apps-kód Azure Resource Manager-sablonokon (ARM) alapul, amelyek megkönnyítik az Azure Logic Apps fejlesztését, üzembe helyezését és hordozhatóságát több környezetben. Az egyéni forgatókönyv hordozható ARM-sablonlá alakításához használhatja az ARM-sablongenerátort.
Ezeket az erőforrásokat olyan esetekben használhatja, amikor saját forgatókönyveket kell készítenie akár az alapoktól, akár a meglévő sablonokból.
- Incidenskezelés automatizálása a Microsoft Sentinelben
- Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben
- Oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben
- A Microsoft Sentinel használata incidenskezeléshez, vezényléshez és automatizáláshoz
- Adaptív kártyák az incidensek elhárításának javítására a Microsoft Sentinelben
A migrálás után ajánlott eljárások a SOAR-ra
Az alábbi ajánlott eljárásokat érdemes figyelembe venni a szárnyalás utáni migrálás után:
- A forgatókönyvek migrálása után alaposan tesztelje a forgatókönyveket, hogy a migrált műveletek a várt módon működjenek.
- Rendszeresen tekintse át az automatizálásokat, hogy megismerje a szárnyalásának további egyszerűsítésének vagy javításának módjait. A Microsoft Sentinel folyamatosan új összekötőket és műveleteket ad hozzá, amelyek segíthetnek a jelenlegi válasz implementációk hatékonyságának további egyszerűsítésében vagy hatékonyságának növelésében.
- A forgatókönyvek teljesítményének monitorozása a Forgatókönyvek állapotmonitorozási munkafüzetével.
- Felügyelt identitások és szolgáltatásnevek használata: Hitelesítés a Logic Apps különböző Azure-szolgáltatásain, a titkos kulcsok tárolása az Azure Key Vaultban, és a folyamatvégrehajtás kimenetének elrejtése. Azt is javasoljuk, hogy figyelje ezeknek a szolgáltatásneveknek a tevékenységeit.
Következő lépések
Ebben a cikkben megtanulta, hogyan képezheti le a SOAR automatizálását a Splunktól a Microsoft Sentinelig.