Microsoft Sentinel 中的安全业务流程、自动化和响应 (SOAR)

本文介绍了 Microsoft Sentinel 中的安全业务流程、自动化和响应 (SOAR) 功能，并演示了如何使用自动化规则和 playbook 以响应安全威胁，从而提高 SOC 的有效性并节约时间和资源。

Microsoft Sentinel 作为 SOAR 解决方案

问题

SIEM/SOC 团队通常会定期收到大量的安全警报和事件，数量之多甚至超出了可用人员的处理能力。 因此频繁出现许多警报被忽视、许多事件未调查的窘境，导致组织很容易在未注意到的情况下受到攻击。

解决方案

除了作为安全信息和事件管理 (SIEM) 系统以外，Microsoft Sentinel 还是用于安全业务流程、自动化和响应 (SOAR) 的平台。 其主要目的之一就是自动执行任何定期的、可预测的扩充、响应和修正任务，减轻了原本负责这些任务的安全运营中心和人员 (SOC/SecOps) 的负担，以便将更多时间和资源用在更深入地调查和搜寻高级威胁方面。 Microsoft Sentinel 中的自动化分为若干种不同的形式，从集中管理自动化事件处理和响应的自动化规则到运行预先确定的操作序列，以对威胁响应任务提供强大而灵活的高级自动化的 playbook。

自动化规则

通过自动化规则，用户可以集中管理事件处理的自动化。 除了支持向事件和警报分配 playbook 外，自动化规则还支持一次性自动执行多个分析规则的响应，自动标记、分配或关闭事件而无需 playbook，创建供分析师在会审、调查和补救事件时执行的任务清单，并控制执行操作的顺序。 自动化规则还允许在事件更新时以及在创建事件时应用自动化。 这一新功能可进一步简化 Microsoft Sentinel 中的自动化使用，并能够简化事件业务流程进程的复杂工作流。

通过此处有关自动化规则的完整说明，了解更多详细信息。

攻略

playbook 是可以作为例程从 Microsoft Sentinel 运行的响应和修正操作以及逻辑的集合。 playbook 可以帮助自动执行和协调威胁响应，可以与内部和外部的其他系统相集成，并且可以设置为自动运行以响应特定警报或事件（当由分析规则或自动化规则触发时）。 为了响应警报，还可以从事件页中按需手动运行。

Microsoft Sentinel 中的 playbook 基于在 Azure 逻辑应用中构建的工作流，这是一项云服务，可帮助计划、自动执行和协调整个企业范围内系统中的任务和工作流。 这意味着 playbook 不仅可以利用逻辑应用的集成和业务流程功能以及易于使用的设计工具所具备的所有强大功能和可定制性，还具有第 1 层 Azure 服务的可伸缩性、可靠性和服务级别。

通过此处有关 playbook 的完整说明，了解更多详细信息。

后续步骤

本文档介绍了 Microsoft Sentinel 如何使用自动化来帮助提高 SOC 运行的有效性和高效性。

• 若要了解有关自动化事件处理的信息，请参阅 Microsoft Sentinel 中的自动事件处理。
• 有关高级自动化选项的详细信息，请参阅在 Microsoft Sentinel 中利用 playbook 自动执行威胁响应。
• 若要开始创建自动化规则，请参阅创建和使用 Microsoft Sentinel 自动化规则来管理事件
• 有关使用 playbook 实现高级自动化的帮助，请参阅教程：在 Microsoft Sentinel 中使用 playbook 自动完成威胁响应。