Migrar a automação do SOAR do QRadar do IBM Security para o Microsoft Sentinel
O Microsoft Sentinel fornece recursos SOAR (Orquestração de Segurança, Automação e Resposta) com regras de automação e guias estratégicos. As regras de automação automatizam o tratamento e a resposta de incidentes, e os guias estratégicos executam sequências predeterminadas de ações para responder e corrigir ameaças. Este artigo mostra como identificar casos de uso do SOAR e migrar sua automação do QRadar SOAR do IBM Security para o Microsoft Sentinel.
As regras de automação simplificam fluxos de trabalho complexos para seus processos de orquestração de incidentes e permitem que você gerencie centralmente a automação de tratamento de incidentes.
Com as regras de automação, você pode:
- Executar tarefas de automação simples sem necessariamente usar guias estratégicos. Por exemplo, você pode atribuir, marcar incidentes, alterar status e fechar incidentes.
- Automatizar as respostas para várias regras de análise ao mesmo tempo.
- Controlar a ordem das ações executadas.
- Executar guias estratégicos para os casos em que tarefas de automação mais complexas são necessárias.
Identificar casos de uso do SOAR
Confira o que você precisa pensar ao migrar casos de uso do SOAR do QRadar.
- Qualidade do caso de uso. Escolha bons casos de uso para automação. Os casos de uso devem ser baseados em procedimentos claramente definidos, com variação mínima e uma taxa de falso positivo baixa. A automação deve funcionar com casos de uso eficientes.
- Intervenção manual. A resposta automatizada pode ter efeitos amplos, e automações de alto impacto devem ser feitas manualmente para confirmar ações de alto impacto antes de serem executadas.
- Critérios binários. Para aumentar o sucesso da resposta, os pontos de decisão dentro de um fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Os critérios binários reduzem a necessidade de intervenção humana e aprimoram a previsibilidade de resultados.
- Alertas ou dados precisos. As ações de resposta dependem da precisão de sinais, como alertas. Alertas e fontes de enriquecimento devem ser confiáveis. Os recursos do Microsoft Sentinel, como watchlists e inteligência confiável contra ameaças, podem aumentar a confiabilidade.
- Função do analista. Embora usar da automação sempre que possível seja ótimo, reserve tarefas mais complexas para analistas e forneça a eles a oportunidade de entrada em fluxos de trabalho que exigem validação. Resumindo, a automação de resposta deve aumentar e estender os recursos de analistas.
Migrar fluxo de trabalho do SOAR
Esta seção mostra como os principais conceitos do SOAR do QRadar do IBM Security se traduzem em componentes do Microsoft Sentinel. A seção também fornece diretrizes gerais sobre como migrar cada etapa ou componente no fluxo de trabalho SOAR.
| Etapa (no diagrama) | SOAR do QRadar do IBM Security | Microsoft Sentinel |
|---|---|---|
| 1 | Defina regras e condições. | Defina regras de automação. |
| 2 | Execute atividades ordenadas. | Execute regras de automação que contenham vários guias estratégicos. |
| 3 | Execute fluxos de trabalho selecionados. | Execute outros guias estratégicos de acordo com as marcas aplicadas por guias estratégicos executados anteriormente. |
| 4 | Poste os dados em destinos de mensagens. | Execute snippets de código usando ações embutidas nos Aplicativos Lógicos. |
Mapear componentes do SOAR
Examine quais recursos do Microsoft Sentinel ou dos Aplicativos Lógicos do Azure mapeiam para os principais componentes do SOAR do QRadar.
| QRadar | Microsoft Sentinel/Aplicativos Lógicos do Azure |
|---|---|
| Regras | Regras de análise anexadas a guias estratégicos ou regras de automação |
| Gateway | Controle de condição |
| Scripts | Código em linha |
| Processadores de ação personalizados | Chamadas de API personalizadas nos Aplicativos Lógicos do Azure ou conectores de terceiros |
| Funções | Conector de função do Azure |
| Destinos de mensagens | Aplicativos Lógicos do Azure com o Barramento de Serviço do Azure |
| IBM X-Force Exchange | • Guia Automação > Modelos • Catálogo do hub de conteúdo • GitHub |
Operacionalizar guias estratégicos e regras de automação no Microsoft Sentinel
A maioria dos guias estratégicos que você usa com o Microsoft Sentinel estão disponíveis na guia Automação > Modelos, no Catálogo do hub de conteúdo ou no GitHub. No entanto, em alguns casos talvez seja necessário criar guias estratégicos do zero ou de modelos existentes.
Normalmente, você cria seu aplicativo lógico personalizado usando o recurso Designer do Aplicativo Lógico do Azure. O código de aplicativos lógicos é baseado em modelos do ARM (Azure Resource Manager), que facilitam o desenvolvimento, a implantação e a portabilidade dos Aplicativos Lógicos do Azure em vários ambientes. Para converter seu guia estratégico personalizado em um modelo do ARM portátil, você poderá usar o gerador de modelo do ARM.
Use esses recursos para casos em que você precisa criar seus próprios guias estratégicos do zero ou de modelos existentes.
- Automatizar o tratamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
- Tutorial: Usar guias estratégicos com regras de automação no Microsoft Sentinel
- Como usar o Microsoft Sentinel em respostas a incidentes, orquestração e automação
- Cartões Adaptáveis para aprimorar a resposta a incidentes no Microsoft Sentinel
Melhores práticas pós-migração do SOAR
Aqui estão as melhores práticas que você deve levar em consideração após a migração do SOAR:
- Depois de migrar seus guias estratégicos, teste-os extensivamente para garantir que as ações migradas funcionem conforme o esperado.
- Examine periodicamente suas automações para explorar maneiras de simplificar ou aprimorar ainda mais o SOAR. O Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das implementações de resposta atuais.
- Monitore o desempenho dos guias estratégicos usando a pasta de trabalho de monitoramento de integridade dos guias estratégicos.
- Use identidades gerenciadas e entidades de serviço: autentique-se em vários serviços do Azure nos Aplicativos Lógicos, armazene os segredos no Azure Key Vault e obscureça a saída da execução do fluxo. Também recomendamos que você monitore as atividades dessas entidades de serviço.
Próximas etapas
Neste artigo, você aprendeu a mapear a automação do SOAR do QRadar do IBM Security para o Microsoft Sentinel.