重要
注意:所有 Microsoft Sentinel 功能将根据 世纪互联发布的公告 于 2026年8月18日 在中国地区的 Azure 正式停用。
安全信息和事件管理 (SIEM) 和安全运营中心 (SOC) 团队通常会定期收到大量的安全警报和事件,数量之多甚至超出了可用人员的处理能力。 因此频繁出现许多警报被忽视、许多事件未调查的窘境,导致组织很容易在未注意到的情况下受到攻击。
除了作为 SIEM 系统之外,Microsoft Sentinel也是安全业务流程、自动化和响应(SOAR)的平台。 其主要用途之一是自动执行任何定期的、可预测的扩充、响应和修正任务,减轻原本负责这些任务的安全运营中心和人员 (SOC/SecOps) 的负担,让其将更多时间和资源用在更深入地调查和搜寻高级威胁方面。
本文介绍了Microsoft Sentinel的 SOAR 功能,并介绍了如何使用自动化规则和 playbook 来应对安全威胁,从而提高 SOC 的有效性,并节省时间和资源。
自动化规则
Microsoft Sentinel使用自动化规则允许用户从中心位置管理事件处理自动化。 将自动化规则用于:
- 通过 playbook 为事件和警报分配更高级的自动化
- 在无需操作手册的情况下自动标记、分配或关闭事件
- 自动化批处理多个分析规则的响应
- 为分析师创建在会审、调查和修正事件时要执行的任务列表
- 控制操作的执行顺序
建议在创建或更新事件时应用自动化规则,以进一步优化自动化并简化事件编排流程中的复杂工作流。
有关详细信息,请参阅使用自动化规则在 Microsoft Sentinel 中自动化威胁响应。
操作手册
playbook 是一组响应和修正操作及其逻辑,可以作为常规操作从 Microsoft Sentinel 中运行。 一本策略手册可以:
- 帮助自动执行和协调威胁响应
- 与其他系统(内部和外部)集成
- 配置为自动运行以响应特定警报或事件,或配置为按需(例如,需要响应新警报)手动运行
在 Microsoft Sentinel 中,剧本基于构建在 Azure Logic Apps 中的工作流,这是一项云服务,可帮助你计划、自动化和协调企业各系统之间的任务及工作流。 这意味着,运行手册可以利用 Logic Apps 的集成和编排功能、易于使用的设计工具,以及 Tier 1 Azure 服务的可伸缩性、可靠性和服务级别的所有强大功能和自定义性。
有关详细信息,请参阅 使用 Microsoft Sentinel 剧本自动化威胁响应。