Dela via

Automatisering i Microsoft Sentinel: Säkerhetsorkestrering, automatisering och svar (SOAR)

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Säkerhetsinformations- och händelsehanteringsteam (SIEM) och SOC-team (Security Operations Center) översvämmas vanligtvis regelbundet av säkerhetsaviseringar och incidenter, på så stora volymer att tillgänglig personal överbelastas. Detta resulterar alltför ofta i situationer där många aviseringar ignoreras och många incidenter inte utreds, vilket gör organisationen sårbar för attacker som inte visas.

Microsoft Sentinel, förutom att vara ett SIEM-system, är också en plattform för säkerhetsorkestrering, automatisering och svar (SOAR). Ett av dess främsta syfte är att automatisera återkommande och förutsägbara beriknings-, svars- och reparationsuppgifter som ansvarar för ditt säkerhetsoperationscenter och din personal (SOC/SecOps), vilket frigör tid och resurser för mer djupgående undersökning av och jakt efter avancerade hot.

Den här artikeln beskriver Microsoft Sentinels SOAR-funktioner och visar hur användningen av automatiseringsregler och spelböcker som svar på säkerhetshot ökar SOC:s effektivitet och sparar tid och resurser.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Automatiseringsregler

Microsoft Sentinel använder automatiseringsregler för att tillåta användare att hantera automatisering av incidenthantering från en central plats. Använd automatiseringsregler för att:

  • Tilldela mer avancerad automatisering till incidenter och aviseringar med hjälp av spelböcker
  • Tagga, tilldela eller stänga incidenter automatiskt utan spelbok
  • Automatisera svar för flera analysregler samtidigt
  • Skapa listor över uppgifter som dina analytiker kan utföra när de sorterar, undersöker och åtgärdar incidenter
  • Kontrollera ordningen på åtgärder som körs

Vi rekommenderar att du tillämpar automatiseringsregler när incidenter skapas eller uppdateras för att ytterligare effektivisera automatiseringen och förenkla komplexa arbetsflöden för dina incidentorkestreringsprocesser.

Mer information finns i Automatisera hotsvar i Microsoft Sentinel med automatiseringsregler.

Spelböcker

En spelbok är en samling svars- och reparationsåtgärder och logik som kan köras från Microsoft Sentinel som en rutin. En spelbok kan:

  • Hjälp med att automatisera och samordna hotsvaret
  • Integrera med andra system, både interna och externa
  • Konfigureras för att köras automatiskt som svar på specifika aviseringar eller incidenter eller köras manuellt på begäran, till exempel som svar på nya aviseringar

I Microsoft Sentinel baseras spelböcker på arbetsflöden som skapats i Azure Logic Apps, en molntjänst som hjälper dig att schemalägga, automatisera och samordna uppgifter och arbetsflöden i hela företaget. Det innebär att spelböcker kan dra nytta av all kraft och anpassning av Logic Apps integrerings- och orkestreringsfunktioner och lätthanterade designverktyg samt skalbarhet, tillförlitlighet och servicenivå för en Azure-tjänst på nivå 1.

Mer information finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel.

Automatisering i Microsoft Defender-portalen

När du har registrerat din Microsoft Sentinel-arbetsyta på Defender-portalen bör du notera följande skillnader i hur automatisering fungerar på din arbetsyta:

Funktioner beskrivning
Automatiseringsregler med aviseringsutlösare I Defender-portalen fungerar automatiseringsregler med aviseringsutlösare endast på Microsoft Sentinel-aviseringar.

Mer information finns i Utlösare för aviseringsskapande.
Automatiseringsregler med incidentutlösare I både Azure Portal och Defender-portalen tas egenskapen För incidentproviderns villkor bort, eftersom alla incidenter har Microsoft Defender XDR som incidentprovider (värdet i fältet ProviderName).

Då körs alla befintliga automatiseringsregler på både Microsoft Sentinel- och Microsoft Defender XDR-incidenter, inklusive de där villkoret för incidentprovidern endast är inställt på Microsoft Sentinel eller Microsoft 365 Defender.

Automatiseringsregler som anger ett specifikt analysregelnamn körs dock endast på incidenter som innehåller aviseringar som har skapats av den angivna analysregeln. Det innebär att du kan definiera egenskapen Namn på analysregelnamn till en analysregel som bara finns i Microsoft Sentinel för att begränsa din regel så att den endast körs på incidenter i Microsoft Sentinel.

Mer information finns i Incidentutlösarvillkor.
Ändringar i befintliga incidentnamn Defender-portalen använder en unik motor för att korrelera incidenter och aviseringar. När du registrerar din arbetsyta på Defender-portalen kan befintliga incidentnamn ändras om korrelationen tillämpas. För att säkerställa att automatiseringsreglerna alltid körs korrekt rekommenderar vi därför att du undviker att använda incidenttitlar som villkorskriterier i dina automatiseringsregler, och föreslår i stället att du använder namnet på alla analysregler som skapat aviseringar som ingår i incidenten och taggar om mer specificitet krävs.
Uppdaterad efter fält
  • När du har registrerat din arbetsyta har fältet Uppdaterad av en ny uppsättning värden som stöds, som inte längre innehåller Microsoft 365 Defender. I befintliga automatiseringsregler ersätts Microsoft 365 Defender med värdet Annan efter registrering av din arbetsyta.

  • Om flera ändringar görs i samma incident under en period på 5–10 minuter skickas en enskild uppdatering till Microsoft Sentinel, med endast den senaste ändringen.

    Mer information finns i Utlösare för incidentuppdatering.
    		•
    Automatiseringsregler som lägger till incidentuppgifter Om en automatiseringsregel lägger till en incidentaktivitet visas uppgiften endast i Azure Portal.
    Regler för skapande av Microsoft-incidenter Microsofts regler för skapande av incidenter stöds inte i Defender-portalen.

    Mer information finns i Microsoft Defender XDR-incidenter och Regler för att skapa Microsoft-incidenter.
    Köra automatiseringsregler från Defender-portalen Det kan ta upp till 10 minuter från det att en avisering utlöses och en incident skapas eller uppdateras i Defender-portalen tills en automatiseringsregel körs. Den här tidsfördröjningen beror på att incidenten skapas i Defender-portalen och sedan vidarebefordras till Microsoft Sentinel för automatiseringsregeln.
    Fliken Aktiva spelböcker När du har registrerat dig på Defender-portalen visar fliken Aktiva spelböcker som standard ett fördefinierat filter med den registrerade arbetsytans prenumeration. I Azure Portal lägger du till data för andra prenumerationer med hjälp av prenumerationsfiltret.

    Mer information finns i Skapa och anpassa Microsoft Sentinel-spelböcker från innehållsmallar.
    Köra spelböcker manuellt på begäran Följande procedurer stöds för närvarande inte i Defender-portalen:
  • Köra en spelbok manuellt i en avisering
  • Köra en spelbok manuellt på en entitet
    		•
    Om du kör spelböcker på incidenter krävs Microsoft Sentinel-synkronisering Om du försöker köra en spelbok på en incident från Defender-portalen och ser meddelandet "Det går inte att komma åt data som är relaterade till den här åtgärden. Uppdatera skärmen om några minuter". innebär det att incidenten ännu inte har synkroniserats med Microsoft Sentinel.

    Uppdatera incidentsidan efter att incidenten har synkroniserats för att köra spelboken.
    Incidenter: Lägga till aviseringar till incidenter/
    Ta bort aviseringar från incidenter    		 Eftersom du inte kan lägga till aviseringar i eller ta bort aviseringar från incidenter när du har registrerat din arbetsyta i Defender-portalen, stöds inte heller dessa åtgärder inifrån spelböcker. Mer information finns i Kapacitetsskillnader mellan portaler.

    Relaterat innehåll