Migrar a automatização SOAR do ArcSight para o Microsoft Sentinel
O Microsoft Sentinel fornece capacidades de Orquestração de Segurança, Automatização e Resposta (SOAR) com regras de automatização e manuais de procedimentos. As regras de automatização automatizam o processamento e a resposta de incidentes e os manuais de procedimentos executam sequências pré-determinadas de ações para responder e remediar ameaças. Este artigo aborda como identificar casos de utilização soar e como migrar a automatização do ArcSight SOAR para o Microsoft Sentinel.
As regras de automatização simplificam os fluxos de trabalho complexos para os seus processos de orquestração de incidentes e permitem-lhe gerir centralmente a automatização de processamento de incidentes.
Com as regras de automatização, pode:
- Executar tarefas de automatização simples sem utilizar necessariamente manuais de procedimentos. Por exemplo, pode atribuir, etiquetar incidentes, alterar o estado e fechar incidentes.
- Automatizar respostas para múltiplas regras de análise ao mesmo tempo.
- Controlar a ordem das ações executadas.
- Execute manuais de procedimentos para os casos em que são necessárias tarefas de automatização mais complexas.
Identificar casos de utilização soar
Eis o que precisa de pensar ao migrar casos de utilização SOAR do ArcSight.
- Utilize a qualidade das maiúsculas/minúsculas. Escolha casos de utilização adequados para automatização. Os casos de utilização devem basear-se em procedimentos claramente definidos, com uma variação mínima e uma taxa de falsos positivos baixa. A automatização deve funcionar com casos de utilização eficientes.
- Intervenção manual. A resposta automatizada pode ter efeitos abrangentes e automatizações de alto impacto devem ter entrada humana para confirmar as ações de alto impacto antes de serem tomadas.
- Critérios binários. Para aumentar o sucesso da resposta, os pontos de decisão num fluxo de trabalho automatizado devem ser o mais limitados possível, com critérios binários. Os critérios binários reduzem a necessidade de intervenção humana e melhoram a previsibilidade dos resultados.
- Alertas ou dados precisos. As ações de resposta dependem da precisão dos sinais, como alertas. Os alertas e as origens de melhoramento devem ser fiáveis. Os recursos do Microsoft Sentinel, como listas de observação e informações fiáveis sobre ameaças, podem melhorar a fiabilidade.
- Função de analista. Embora a automatização sempre que possível seja ótima, reserve tarefas mais complexas para analistas e dê-lhes a oportunidade de introduzir em fluxos de trabalho que requerem validação. Resumindo, a automatização de respostas deve aumentar e expandir as capacidades dos analistas.
Migrar fluxo de trabalho SOAR
Esta secção mostra como os principais conceitos soar no ArcSight se traduzem para componentes do Microsoft Sentinel e fornece diretrizes gerais sobre como migrar cada passo ou componente no fluxo de trabalho SOAR.
| Passo (no diagrama) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | Ingerir eventos no Enterprise Security Manager (ESM) e acionar eventos de correlação. | Ingerir eventos na área de trabalho do Log Analytics. |
| 2 | Filtre automaticamente alertas para a criação de casos. | Utilize regras de análise para acionar alertas. Melhore os alertas com a funcionalidade de detalhes personalizados para criar nomes de incidentes dinâmicos. |
| 3 | Classificar casos. | Utilize regras de automatização. Com as regras de automatização, o Microsoft Sentinel trata os incidentes de acordo com a regra de análise que acionou o incidente e as propriedades do incidente que correspondem aos critérios definidos. |
| 4 | Consolidar casos. | Pode consolidar vários alertas para um único incidente de acordo com propriedades como entidades correspondentes, detalhes de alertas ou período de tempo de criação, utilizando a funcionalidade de agrupamento de alertas. |
| 5 | Casos de distribuição. | Atribua incidentes a analistas específicos através de uma integração entre o Microsoft Teams, o Azure Logic Apps e as regras de automatização do Microsoft Sentinel. |
Mapear componentes SOAR
Reveja as funcionalidades do Microsoft Sentinel ou do Azure Logic Apps que mapeiam para os principais componentes soar do ArcSight.
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| Acionador | Acionador |
| Bit de automatização | Conector de Funções do Azure |
| Ação | Ação |
| Manuais de procedimentos agendados | Manuais de procedimentos iniciados pelo acionador de periodicidade |
| Manuais de procedimentos de fluxo de trabalho | Manuais de procedimentos iniciados automaticamente por alertas do Microsoft Sentinel ou acionadores de incidentes |
| Marketplace | • Separador Modelos de Automatização > • Catálogo do hub de conteúdos • GitHub |
Operacionalizar manuais de procedimentos e regras de automatização no Microsoft Sentinel
A maioria dos manuais de procedimentos que utiliza com o Microsoft Sentinel estão disponíveis no separador Modelos de Automatização>, no catálogo do Hub de conteúdos ou no GitHub. No entanto, em alguns casos, poderá ter de criar manuais de procedimentos de raiz ou a partir de modelos existentes.
Normalmente, cria a sua aplicação lógica personalizada com a funcionalidade Designer do Azure Logic App. O código das aplicações lógicas baseia-se em modelos do Azure Resource Manager (ARM), que facilitam o desenvolvimento, implementação e portabilidade do Azure Logic Apps em vários ambientes. Para converter o seu manual de procedimentos personalizado num modelo portátil do ARM, pode utilizar o gerador de modelos arm.
Utilize estes recursos para casos em que precisa de criar os seus próprios manuais de procedimentos do zero ou de modelos existentes.
- Automatizar o processamento de incidentes no Microsoft Sentinel
- Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel
- Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel
- Como utilizar o Microsoft Sentinel para Resposta a Incidentes, Orquestração e Automatização
- Cartões Adaptáveis para melhorar a resposta a incidentes no Microsoft Sentinel
Soar após as melhores práticas de migração
Seguem-se as melhores práticas que deve ter em conta após a migração soar:
- Depois de migrar os manuais de procedimentos, teste os manuais de procedimentos extensivamente para garantir que as ações migradas funcionam conforme esperado.
- Reveja periodicamente as automatizações para explorar formas de simplificar ou melhorar ainda mais o SOAR. O Microsoft Sentinel adiciona constantemente novos conectores e ações que podem ajudá-lo a simplificar ou aumentar ainda mais a eficácia das implementações de resposta atuais.
- Monitorize o desempenho dos seus manuais de procedimentos com o livro de monitorização do estado de funcionamento dos Manuais de Procedimentos.
- Utilize identidades geridas e principais de serviço: autentique-se em vários serviços do Azure no Logic Apps, armazene os segredos no Azure Key Vault e obscureça a saída da execução do fluxo. Também recomendamos que monitorize as atividades destes principais de serviço.
Passos seguintes
Neste artigo, aprendeu a mapear a automatização SOAR do ArcSight para o Microsoft Sentinel.