Migrar a automação do Splunk SOAR para o Microsoft Sentinel
O Microsoft Sentinel fornece recursos SOAR (Orquestração de Segurança, Automação e Resposta) com regras de automação e guias estratégicos. As regras de automação facilitam o tratamento simples de incidentes e a resposta, enquanto os guias estratégicos executam sequências de ações mais complexas para responder e corrigir ameaças. Este artigo mostra como identificar casos de uso do SOAR e migrar sua automação do Splunk SOAR para as regras e guias estratégicos do Microsoft Sentinel.
Para obter mais informações sobre as diferenças entre regras de automação e guias estratégicos, consulte os seguintes artigos:
- Automatizar a resposta a ameaças com regras de automação
- Automatizar a resposta a ameaças com guias estratégicos
Identificar casos de uso do SOAR
Confira o que você precisa considerar ao migrar casos de uso do SOAR do Splunk.
- Qualidade do caso de uso. Escolha casos de uso de automação baseados em procedimentos claramente definidos, com variação mínima e uma taxa de falso positivo baixa.
- Intervenção manual. As respostas automatizadas podem ter efeitos abrangentes. Automações de alto impacto devem ter a confirmação de um humano antes que ações de grande impacto sejam executadas.
- Critérios binários. Para aumentar o sucesso da resposta, os pontos de decisão dentro de um fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Quando há apenas duas variáveis na tomada de decisão automatizada, a necessidade de intervenção humana é reduzida e a previsibilidade dos resultados é aprimorada.
- Alertas ou dados precisos. As ações de resposta dependem da precisão de sinais, como alertas. Alertas e fontes de enriquecimento devem ser confiáveis. Recursos do Microsoft Sentinel, como watchlists e inteligência contra ameaças com altas classificações de confiança, aumentam a confiabilidade.
- Função do analista. Embora a automação seja excelente, reserve as tarefas mais complexas para os analistas. Ofereça a eles a oportunidade de contribuir com opiniões em fluxos de trabalho que exigem validação. Resumindo, a automação de resposta deve aumentar e estender os recursos de analistas.
Migrar fluxo de trabalho do SOAR
Esta seção mostra como os principais conceitos do SOAR no Splunk se traduzem em componentes do Microsoft Sentinel e fornece diretrizes gerais sobre como migrar cada etapa ou componente no fluxo de trabalho do SOAR.
| Etapa (no diagrama) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | Ingerir eventos no índice principal. | Ingerir eventos no workspace do Log Analytics. |
| 2 | Crie contêineres. | Marcar incidentes usando o recurso de detalhes personalizados. |
| 3 | Criar casos. | O Microsoft Sentinel pode agrupar incidentes automaticamente de acordo com critérios definidos pelo usuário, como entidades compartilhadas ou gravidade. Esses alertas geram incidentes. |
| 4 | Criar guias estratégicos. | Aplicativos Lógicos do Azure usa vários conectores para orquestrar atividades no Microsoft Sentinel, no Azure, em ambientes de nuvem híbrida e de terceiros. |
| 4 | Criar pastas de trabalho. | O Microsoft Sentinel executa guias estratégicos isoladamente ou como parte de uma regra de automação ordenada. Você também pode executar guias estratégicos manualmente contra alertas ou incidentes, de acordo com um procedimento predefinido da Central de Operações de Segurança (SOC). |
Mapear componentes do SOAR
Examine quais recursos do Microsoft Sentinel ou dos Aplicativos Lógicos do Azure mapeiam para os principais componentes do Splunk SOAR.
| Splunk | Microsoft Sentinel/Aplicativos Lógicos do Azure |
|---|---|
| Editor do guia estratégico | Designer de Aplicativos Lógicos |
| Gatilho | Gatilho |
| • Conectores • Aplicativo • Agente de automação |
• Conector • Hybrid Runbook Worker |
| Blocos de ação | Ação |
| Agente de conectividade | Hybrid Runbook Worker |
| Comunidade | • Guia Automação > Modelos • Catálogo do hub de conteúdo • GitHub |
| Decisão | Controle condicional |
| Código | Conector do Azure Function |
| Prompt | Enviar email de aprovação |
| Formatar | Operações de dados |
| Guias estratégicos de entrada | Obter entradas variáveis de resultados de etapas executadas anteriormente ou variáveis explicitamente declaradas |
| Definir parâmetros com o utilitário da API de bloco do Utilitário | Gerenciar incidentes com a API |
Operacionalizar guias estratégicos e regras de automação no Microsoft Sentinel
A maioria dos guias estratégicos que você usa com o Microsoft Sentinel estão disponíveis na guia Automação > Modelos, no Catálogo do hub de conteúdo ou no GitHub. No entanto, em alguns casos talvez seja necessário criar guias estratégicos do zero ou de modelos existentes.
Normalmente, você cria seu aplicativo lógico personalizado usando o recurso Designer do Aplicativo Lógico do Azure. O código de aplicativos lógicos é baseado em modelos do ARM (Azure Resource Manager), que facilitam o desenvolvimento, a implantação e a portabilidade dos Aplicativos Lógicos do Azure em vários ambientes. Para converter seu guia estratégico personalizado em um modelo do ARM portátil, você poderá usar o gerador de modelo do ARM.
Use esses recursos para casos em que você precisa criar seus próprios guias estratégicos do zero ou de modelos existentes.
- Automatizar o tratamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
- Tutorial: Usar guias estratégicos com regras de automação no Microsoft Sentinel
- Como usar o Microsoft Sentinel em respostas a incidentes, orquestração e automação
- Cartões Adaptáveis para aprimorar a resposta a incidentes no Microsoft Sentinel
Melhores práticas pós-migração do SOAR
Aqui estão as melhores práticas que você deve levar em consideração após a migração do SOAR:
- Depois de migrar seus guias estratégicos, teste-os extensivamente para garantir que as ações migradas funcionem conforme o esperado.
- Examine periodicamente suas automações para explorar maneiras de simplificar ou aprimorar ainda mais o SOAR. O Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das implementações de resposta atuais.
- Monitore o desempenho dos guias estratégicos usando a Pasta de trabalho de monitoramento de integridade dos guias estratégicos.
- Use identidades gerenciadas e entidades de serviço: autentique-se em vários serviços do Azure nos Aplicativos Lógicos, armazene os segredos no Azure Key Vault e obscureça a saída da execução do fluxo. Também recomendamos que você monitore as atividades dessas entidades de serviço.
Próximas etapas
Neste artigo, você aprendeu a mapear a automação do SOAR do Splunk para o Microsoft Sentinel.