Microsoft Sentinel 中的自动化:安全业务流程、自动化和响应 (SOAR)

安全信息和事件管理 (SIEM) 和安全运营中心 (SOC) 团队通常会定期收到大量的安全警报和事件,数量之多甚至超出了可用人员的处理能力。 因此频繁出现许多警报被忽视、许多事件未调查的窘境,导致组织很容易在未注意到的情况下受到攻击。

除了作为 SIEM 系统以外,Microsoft Sentinel 还是用于安全业务流程、自动化和响应 (SOAR) 的平台。 其主要用途之一是自动执行任何定期的、可预测的扩充、响应和修正任务,减轻原本负责这些任务的安全运营中心和人员 (SOC/SecOps) 的负担,让其将更多时间和资源用在更深入地调查和搜寻高级威胁方面。

本文介绍 Microsoft Sentinel 的 SOAR 功能,并演示如何使用自动化规则和 playbook 来响应安全威胁可以提高 SOC 的有效性并节省时间和资源。

自动化规则

Microsoft Sentinel 使用自动化规则,使用户可以从中心位置管理事件处理自动化。 将自动化规则用于:

  • 通过 playbook 为事件和警报分配更高级的自动化
  • 在没有 playbook 的情况下自动标记、分配或关闭事件
  • 一次自动完成多个分析规则的响应
  • 为分析师创建在会审、调查和修正事件时要执行的任务列表
  • 控制操作的执行顺序

建议在创建或更新事件时应用自动化规则,以进一步简化自动化并简化事件业务流程的复杂工作流。

有关详细信息,请参阅使用自动化规则在 Microsoft Sentinel 中自动响应威胁

攻略

Playbook 是可以作为例程从 Microsoft Sentinel 运行的响应和修正操作以及逻辑的集合。 playbook 可以:

  • 帮助自动执行和协调威胁响应
  • 与其他系统(内部和外部)集成
  • 配置为自动运行以响应特定警报或事件,或配置为按需(例如,需要响应新警报)手动运行

在 Microsoft Sentinel 中,playbook 基于在 Azure 逻辑应用中构建的工作流。Azure 逻辑应用是一项云服务,可帮助计划、自动执行和编排整个企业范围内系统中的任务和工作流。 这意味着 playbook 不仅可以利用逻辑应用的集成和业务流程功能以及易于使用的设计工具所具备的所有强大功能和可定制性,还具有第 1 层 Azure 服务的可伸缩性、可靠性和服务级别。

有关详细信息,请参阅使用 Microsoft Sentinel 中的 playbook 自动响应威胁