Splunk SOAR otomasyonlarını Microsoft Sentinel'e geçirme
Microsoft Sentinel, otomasyon kuralları ve playbook'lar ile Güvenlik Düzenlemesi, Otomasyon ve Yanıt (SOAR) özellikleri sağlar. Otomasyon kuralları basit olay işlemeyi ve yanıtlamayı kolaylaştırırken playbook'lar tehditleri yanıtlamak ve düzeltmek için daha karmaşık eylem dizileri çalıştırır. Bu makalede SOAR kullanım örneklerini belirleme ve Splunk SOAR otomasyonunuzu Microsoft Sentinel otomasyon kuralları ve playbook'larına geçirme işlemleri açıklanır.
Otomasyon kuralları ve playbook'lar arasındaki farklar hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Otomasyon kurallarıyla tehdit yanıtlarını otomatikleştirme
- Playbook'larla tehdit yanıtlarını otomatikleştirme
SOAR kullanım örneklerini tanımlama
SoAR kullanım örneklerini Splunk'tan geçirirken düşünmeniz gerekenler şunlardır.
- Kullanım örneği kalitesi. Minimum varyasyon ve düşük hatalı pozitif oranıyla açıkça tanımlanmış yordamlara göre otomasyon kullanım örneklerini seçin.
- El ile müdahale. Otomatik yanıtların çok çeşitli etkileri olabilir. Yüksek etkili otomasyonlar, alınmadan önce yüksek etkili eylemleri onaylamak için insan girişi içermelidir.
- İkili ölçütler. Yanıt başarısını artırmak için, otomatik bir iş akışındaki karar noktaları ikili ölçütlerle mümkün olduğunca sınırlı olmalıdır. Otomatik karar alma sürecinde yalnızca iki değişken olduğunda insan müdahalesi gereksinimi azalır ve sonuç tahmin edilebilirliği artırılır.
- Doğru uyarılar veya veriler. Yanıt eylemleri, uyarılar gibi sinyallerin doğruluğuna bağlıdır. Uyarılar ve zenginleştirme kaynakları güvenilir olmalıdır. İzleme listeleri ve yüksek güvenilirlik derecelendirmelerine sahip tehdit bilgileri gibi Microsoft Sentinel kaynakları güvenilirliği artırır.
- Analist rolü. Otomasyon harika olsa da, analistler için en karmaşık görevleri ayırın. Doğrulama gerektiren iş akışlarına giriş yapma fırsatı sağlayın. Kısacası, yanıt otomasyonu analist özelliklerini geliştirmeli ve genişletmelidir.
SOAR iş akışını geçirme
Bu bölümde, önemli Splunk SOAR kavramlarının Microsoft Sentinel bileşenlerine nasıl çevrildiği gösterilir ve SOAR iş akışındaki her adımın veya bileşenin nasıl geçirileceğine ilişkin genel yönergeler sağlanır.
| Adım (diyagramda) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Olayları ana dizine alın. | Olayları Log Analytics çalışma alanına alın. |
| 2 | Kapsayıcılar oluşturun. | Özel ayrıntılar özelliğini kullanarak olayları etiketleyin. |
| 3 | Servis talepleri oluşturun. | Microsoft Sentinel, paylaşılan varlıklar veya önem derecesi gibi kullanıcı tanımlı ölçütlere göre olayları otomatik olarak gruplandırabilir. Bu uyarılar daha sonra olaylar oluşturur. |
| 4 | Playbook'lar oluşturun. | Azure Logic Apps, Microsoft Sentinel, Azure, üçüncü taraf ve hibrit bulut ortamlarında etkinlikleri yönetmek için çeşitli bağlayıcılar kullanır. |
| 4 | Çalışma kitapları oluşturun. | Microsoft Sentinel playbook'ları yalıtarak veya sıralı otomasyon kuralının bir parçası olarak yürütür. Önceden tanımlanmış bir Güvenlik İşlemleri Merkezi (SOC) yordamına göre playbook'ları uyarılara veya olaylara karşı el ile de yürütebilirsiniz. |
SOAR bileşenlerini eşleme
Ana Splunk SOAR bileşenleriyle eşleşen Microsoft Sentinel veya Azure Logic Apps özelliklerini gözden geçirin.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Playbook düzenleyicisi | Mantıksal Uygulama tasarımcısı |
| Tetikle | Tetikleyici |
| •Bağlayıcı •App • Otomasyon aracısı |
• Bağlayıcı • Karma Runbook Çalışanı |
| Eylem blokları | Eylem |
| Bağlantı aracısı | Karma Runbook Çalışanı |
| Topluluk | • Otomasyon > Şablonları sekmesi • İçerik hub'ı kataloğu • GitHub |
| Karar | Koşullu denetim |
| Kod | Azure İşlevi bağlayıcısı |
| İstem | Onay e-postası gönder |
| Biçimlendir | Veri işlemleri |
| Playbook'ları giriş | Önceden yürütülen adımların veya açıkça bildirilen değişkenlerin sonuçlarından değişken girişleri alma |
| Yardımcı Program blok API'si yardımcı programı ile parametreleri ayarlama | API ile Olayları Yönetme |
Microsoft Sentinel'de playbook'ları ve otomasyon kurallarını kullanıma hazır hale getirme
Microsoft Sentinel ile kullandığınız playbook'ların çoğu Otomasyon > Şablonları sekmesinde, İçerik hub'ı kataloğunda veya GitHub'da kullanılabilir. Ancak bazı durumlarda sıfırdan veya mevcut şablonlardan playbook'lar oluşturmanız gerekebilir.
Özel mantıksal uygulamanızı genellikle Azure Logic App Designer özelliğini kullanarak oluşturursunuz. Logic Apps kodu, Azure Logic Apps'in birden çok ortamda geliştirilmesini, dağıtımını ve taşınabilirliğini kolaylaştıran Azure Resource Manager (ARM) şablonlarını temel alır. Özel playbook'unuzu taşınabilir ARM şablonuna dönüştürmek için ARM şablon oluşturucuyu kullanabilirsiniz.
Sıfırdan veya mevcut şablonlardan kendi playbook'larınızı oluşturmanız gereken durumlar için bu kaynakları kullanın.
- Microsoft Sentinel'de olay işlemeyi otomatikleştirme
- Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme
- Öğretici: Microsoft Sentinel'de playbook'ları otomasyon kurallarıyla kullanma
- Olay Yanıtı, Düzenleme ve Otomasyon için Microsoft Sentinel'i kullanma
- Microsoft Sentinel'de olay yanıtlarını geliştirmek için Uyarlamalı Kartlar
GEÇIŞ sonrası en iyi SOAR uygulamaları
SOAR geçişinizden sonra dikkate almanız gereken en iyi yöntemler şunlardır:
- Playbook'larınızı geçirdikten sonra, geçirilen eylemlerin beklendiği gibi çalıştığından emin olmak için playbook'ları kapsamlı bir şekilde test edin.
- SOAR'ınızı daha da basitleştirmenin veya geliştirmenin yollarını keşfetmek için otomasyonlarınızı düzenli aralıklarla gözden geçirin. Microsoft Sentinel, geçerli yanıt uygulamalarınızın verimliliğini daha da basitleştirmenize veya artırmanıza yardımcı olabilecek yeni bağlayıcılar ve eylemler ekler.
- Playbook'larınızın sistem durumunu izleme çalışma kitabını kullanarak playbook'larınızın performansını izleyin.
- Yönetilen kimlikleri ve hizmet sorumlularını kullanma: Logic Apps'inizdeki çeşitli Azure hizmetlerinde kimlik doğrulaması gerçekleştirin, gizli dizileri Azure Key Vault'ta depolayın ve akış yürütme çıktısını gizleyin. Ayrıca bu hizmet sorumlularının etkinliklerini izlemenizi öneririz.
Sonraki adımlar
Bu makalede, SOAR otomasyonunuzu Splunk'tan Microsoft Sentinel'e eşlemeyi öğrendiniz.