Outomatisering van voorvalreaksies met Playbooks in Azure Sentinel

Outomatisering van voorvalreaksies met Playbooks in Azure Sentinel

01/11/2024

Hierdie tegniese en opvoedkundige artikel is daarop gemik om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die outomatisering van sekuriteitsinsidentreaksies deur Playbooks in Microsoft Sentinel te gebruik. Playbooks, wat gebaseer is op Azure Logic Apps, is 'n kernkomponent van Sentinel se sekuriteitsorkeer-, outomatisering- en reaksievermoë (SOAR), wat sekuriteitspanne in staat stel om herhalende take te outomatiseer, komplekse werkvloeie te orkestreer en vinniger en meer konsekwent op bedreigings te reageer [1].

Inleiding

In 'n moderne Security Operations Centre (SOC) kan die hoeveelheid waarskuwings en voorvalle oorweldigend wees. Sekuriteitsontleders bestee 'n aansienlike hoeveelheid tyd aan handmatige, herhalende take soos triaging waarskuwings, verryking van data, stel belanghebbendes in kennis, en die uitvoering van basiese remediëringsaksies. Hierdie bokoste verhoog nie net die gemiddelde tyd tot reaksie (MTTR) nie, maar lei ook ontleders se aandag af van meer komplekse dreigemente en in-diepte ondersoeke. Microsoft Sentinel, met sy SOAR-vermoëns, spreek hierdie uitdaging aan deur insidentreaksie-outomatisering deur Playbooks [2] moontlik te maak.

Hierdie praktiese gids sal die fundamentele konsepte van Playbooks en outomatiseringsreëls in Sentinel dek, die proses om 'n Playbook te skep deur Azure Logic Apps te gebruik, Playbooks te integreer met analitiese en outomatiseringsreëls, en praktiese outomatiseringsvoorbeelde soos die stuur van kennisgewings, die blokkering van kwaadwillige IP-adresse en die isolering van gekompromitteerde gashere. Stap-vir-stap-instruksies en voorbeeld-werkvloeie sal verskaf word sodat die leser insidentreaksie-outomatisering kan implementeer en valideer, die optimalisering van sekuriteitsbedrywighede en die versterking van hul organisasie se verdedigingsposisie.

Waarom is outomatisering met Playbooks in Sentinel van kardinale belang?

  • Verminderde reaksietyd (MTTR): Outomatiseer onmiddellike herstelaksies, soos om 'n IP te blokkeer of 'n gebruikersrekening te deaktiveer, wat die tyd wat 'n bedreiging aktief bly, verminder.
  • Verhoogde SOC-doeltreffendheid: Bevry sekuriteitsontleders van herhalende take, wat hulle in staat stel om op komplekse ondersoeke en bedreigingjag te fokus.
  • Konsekwentheid en Standaardisering: Verseker dat insidentreaksies 'n gestandaardiseerde en gedokumenteerde proses volg, wat menslike foute verminder en voldoening verseker.
  • Skaalbaarheid: Laat die SOC toe om 'n toenemende hoeveelheid waarskuwings te hanteer sonder dat dit nodig is om die span proporsioneel te vergroot.
  • Tool Orchestration: Integreer met 'n wye reeks dienste en nutsmiddels (Azure, Microsoft 365 en derdeparty-oplossings) om reaksies oor die hele sekuriteit-ekosisteem te orkestreer.
  • Dataverryking: Outomatiseer die versameling van kontekstuele inligting uit verskeie bronne (bv. bedreigingsintelligensie, gebruikerinligting, toesteldata) om triage en ondersoek te versnel.

Voorvereistes

Om antwoorde met Playbooks in Azure Sentinel te outomatiseer, sal jy die volgende items benodig:

  1. Active Microsoft Sentinel Workspace: 'n Log Analytics-werkspasie met die Microsoft Sentinel-oplossing geaktiveer.
  2. Administratiewe toegang: 'n Rekening met toestemmings om hulpbronne in Azure te skep en te bestuur, insluitend Logic Apps, en met die rol van Microsoft Sentinel Contributor of Microsoft Sentinel Responder in die Sentinel-werkspasie [3].
  3. Gekonfigureerde dataverbindings: Databronne wat aan Sentinel gekoppel is om waarskuwings en voorvalle te genereer (bv. Azure Active Directory, Microsoft Defender for Cloud, ens.).
  4. ** Ontledingsreëls geaktiveer**: Ontledingsreëls wat opgestel is om bedreigings op te spoor en insidente te skep uit ingeneemde data.

Stap vir stap: Outomatisering van antwoorde met Playbooks

Kom ons skep en outomatiseer 'n Playbook om op 'n sekuriteitsvoorval te reageer.

1. Verstaan Sentinel Automation Components

  • Speelboeke: Dit is versamelings prosedures wat vanaf Microsoft Sentinel uitgevoer kan word in reaksie op 'n waarskuwing of voorval. Playbooks word bo-op Azure Logic Apps gebou en kan 'n reeks aksies insluit soos die stuur van e-pos, die skep van kaartjies in ITSM-stelsels, die blokkering van IP's in 'n firewall, ens. [4].
  • Outomatiseringsreëls: Dit is reëls wat jou toelaat om die outomatisering van inci te bestuurtande in die Sentinel. Hulle kan gebruik word om insidente toe te wys, hul status te verander, etikette by te voeg, en bowenal, Playbooks te laat loop. Outomatiseringsreëls dien as die gesentraliseerde "sneller" vir Playbooks [5].

2. Skep 'n Playbook (Azure Logic App)

Kom ons skep 'n eenvoudige Playbook wat, wanneer dit veroorsaak word deur 'n Sentinel-voorval, 'n e-poskennisgewing stuur met die besonderhede van die voorval.

  1. Maak jou blaaier oop en navigeer na die Azure-portaal: https://portal.azure.com.
  2. Tik Logic Apps in die boonste soekveld en kies dit uit die resultate.
  3. Klik +Voeg by om 'n nuwe Logic App te skep.

  4. Basies:

    • Intekening: Kies jou intekening.
    • Hulpbrongroep: Kies 'n hulpbrongroep (dit word aanbeveel om dieselfde een as in jou Sentinel-werkspasie te gebruik).
    • Logical App Name: Gee jou Playbook 'n naam (bv: NotifyIncidentSentinel).
    • Streek: Kies die streek.
    • Plantipe: Kies Verbruik vir 'n betaal-soos-jy-gaan-model, ideaal vir die meeste Playbook-scenario's.

  5. Klik Hersien + skep en dan Skep.

  6. Na ontplooiing, klik Gaan na hulpbron om die Logic Apps Designer oop te maak.

3. Konfigureer Playbook-sneller en aksies

Die Logic App Designer sal oopmaak met 'n sjabloonskerm. Kies Blank Logic App.

  1. Konfigureer die sneller: In die ontwerpersoektogveld, tik Microsoft Sentinel en kies die When a Microsoft Sentinel incident is created sneller.

  2. Koppel aan Sentinel: As dit jou eerste keer is, sal jy 'n verbinding met jou Sentinel-werkspasie moet skep. Staaf met 'n rekening wat die nodige toestemmings het.

  3. Voeg 'n handeling by (Stuur e-pos): Klik op + Nuwe stap.

  4. In die soekveld, tik Stuur 'n e-pos en kies die Stuur 'n e-pos (V2)-aksie van die Office 365 Outlook-koppelaar (of 'n ander e-posverskaffer van jou keuse).

  5. Konfigureer e-posaksie: Vul die e-posvelde in deur die dinamiese inhoud van die Sentinel-voorvalsneller te gebruik:

    • Aan: Voer die ontvanger se e-posadres in (byvoorbeeld: [email protected]).
    • Onderwerp: Nuwe Sentinel Incident: en kies Insident Title uit die dinamiese inhoud.
    • Liggaam: Skep 'n insiggewende e-posliggaam, insluitend voorvalbesonderhede:
      • Titel: (kies Insident Titel)
      • Erns: (kies Insident Severity)
      • Beskrywing: (kies Insidentbeskrywing)
      • Skakel na voorval: (kies Insident URL)

  6. Klik Stoor om die Playbook te stoor.

4. Toekenning van Playbook-toestemmings

Voordat Playbook met Sentinel en ander hulpbronne kan kommunikeer, het dit toestemmings nodig. Die maklikste manier om dit te doen is om die Microsoft Sentinel Contributor-rol toe te wys aan die Logic App-bestuurde identiteit.

  1. In die Azure-portaal, navigeer na jou Azure Sentinel-werkspasie.
  2. Kies Toegangsbeheer (IAM) in die linkernavigasiepaneel.
  3. Klik +Voeg by > Voeg roltoewysing by.
  4. Rol: Kies Microsoft Sentinel Contributor.
  5. Lede: Onder Ken toegang toe aan, kies Bestuurde identiteit.
  6. Klik +Kies lede.

  7. Bestuurde identiteit: Kies Logical App en soek vir jou Playbook (NotifyIncidentSentinel). Kies dit en klik op Kies.

  8. Klik Review + assign om te voltooi.

5. Skep 'n outomatiseringsreël om die Playbook te aktiveer

Kom ons skep nou 'n outomatiseringsreël in Sentinel om die Playbook te laat loop wanneer 'n nuwe voorval geskep word.

  1. In die Azure-portaal, navigeer na jou Azure Sentinel-werkspasie.
  2. Kies Outomatisering in die linkernavigasiepaneel.
  3. Klik + Skep > Outomatiseringsreël.
  4. Outomatiseringsreëlnaam: Gee dit 'n naam (byvoorbeeld: Stel nuwe voorvalle in kennis).
  5. Sneller: Kies Wanneer insident geskep word.
  6. Voorwaardes: Jy kan voorwaardes byvoeg sodat die reël net vir spesifieke voorvalle geaktiveer word (bv.: Erns Gelyk aan Hoog). Vir hierdie voorbeeld sal ons nie voorwaardes byvoeg nie, so die reël sal op alle nuwe voorvalle van toepassing wees.
  7. Actions: Onder 'Actions', kies 'Run playbook'.

  8. Van die aftrekkieslys, kies die Playbook wat jy geskep het (NotifyIncidentSentinel).

  9. Orde: Definieer die reëluitvoeringsbevel (indien daar verskeie reëls is).

  10. Reël verval: Definieer of die reël op 'n sekere punt moet verval.
  11. Klik Pas toe om die outomatiseringsreël te skep.

Bekragtiging en toetsing

Om die outomatisering te bekragtig, moet jy die skepping van 'n voorval in Sentinel aktiveer.

1. Ontwikkel 'n toetsinsident

  1. In die Azure-portaal, navigeer na jou Azure Sentinel-werkspasie.
  2. Kies Insidente in die linkernavigasiepaneel.
  3. Klik + Skep voorval (voorskou).
  4. Vul die toetsvoorvalbesonderhede in (titel, beskrywing, erns, ens.) en klik Skep.

2. Verifieer Playbook-uitvoering

  1. Gaan e-pos na: Gaan die ontvanger se inkassie na wat jy in Playbook opgestel het. Jy behoort 'n e-pos te ontvang met die besonderhede van die toetsvoorval wat jy geskep het.

  2. Gaan Playbook-uitvoeringsgeskiedenis na: Navigeer in die Azure-portaal na jou Logic-toepassing (NotifyIncidentSentinel).

  3. In die linkernavigasievenster, kies Oorsig en dan die Laat geskiedenis-oortjie.
  4. Jy behoort 'n suksesvolle uitvoering te sien wat ooreenstem met die toetsinsident. Klik daarop om die besonderhede van elke stap (sneller en aksie) te sien.

Gevorderde praktiese voorbeeld: Blokkeer kwaadwillige IP

Kom ons skep 'n meer gevorderde Playbook wat, wanneer ons 'n voorval met 'n kwaadwillige IP-adres ontvang, daardie IP by 'n blokkeerreël in 'n Azure Network Security Group (NSG) voeg.

  1. Skep 'n nuwe Playbook: Volg die stappe in afdeling 2 om 'n nuwe Logic-toepassing te skep (byvoorbeeld: BloquearIPMalicioso).
  2. Konfigureer die sneller: Gebruik die 'Wanneer 'n Microsoft Sentinel-voorval geskep word'-sneller.

  3. Voeg aksie by (Kry Insident-entiteite): Voeg 'n nuwe stap by en soek die 'Entiteite - Kry IP's'-aksie vanaf die 'Microsoft Sentinel'-koppelaar. Dit sal die voorval se IP-adresse onttrek.

  4. Voeg aksie by (lus vir elke IP): Aangesien 'n insident veelvuldige IP's kan hê, voeg 'n `Vir elke' kontrole by om te herhaal oor die lys IP's wat deur die vorige aksie teruggestuur is.

  5. Voeg aksie by (Voeg IP by NSG): Binne die Vir elke-lus, voeg 'n Azure NSG-koppelaksie genaamd Dateern netwerksekuriteitsgroep op` by.

    • Hulpbrongroep: Kies die hulpbrongroep van jou NSG.
    • Netwerksekuriteitgroepnaam: Kies die NSG wat jy wil opdateer.
    • Sekuriteitsreëls: Voeg 'n nuwe sekuriteitsreël by met die volgende eienskappe:
      • Naam: BlockIP- (en voeg die dinamiese IP by vanaf die Vir elke lus).
      • Prioriteit: Stel 'n hoë prioriteit (bv: 100).
      • Rigting: Invoer.
      • Toegang: 'Weer'.
      • Protokol: Enige.
      • Bronpoortreeks: *.
      • Bestemming hawereeks: *.
      • Bronadres: Kies die dinamiese IP van die Vir elke lus.
      • Bestemmingsadresse: *.

  6. Stoor en gee toestemmings: Stoor die Playbook en verleen die nodige toestemmings aan die Logic App-bestuurde identiteit (bv. Netwerkbydraer in NSG-omvang).

  7. Skep outomatiseringsreël: Skep 'n nuwe outomatiseringsreël in Sentinel om hierdie Playbook te aktiveer wanneer 'n voorval 'n kwaadwillige IP bevat (bv. gebaseer op ontledingsreëlnaam of -etikette).

Sekuriteitswenke en beste praktyke

  • Gebruik bestuurde identiteite: Gebruik altyd bestuurde identiteite om Playbooks te staaf eerder as om geloofsbriewe of API-sleutels te stoor.
  • Beginsel van die minste voorreg vir Playbooks: Gee Playbooks slegs die toestemmings wat streng nodig is om hul handelinge uit te voer. Byvoorbeeld, as 'n Playbook net data hoef te lees, moenie skryftoestemmings verleen nie.
  • Toets in ontwikkelingsomgewing: Voordat Playbooks in produksie ontplooi word, toets hulle deeglik in 'n ontwikkeling- of toetsomgewing om onbedoelde gevolge te vermy.
  • Playbooks-monitering: Monitor die loopgeskiedenis van jou Playbooks om mislukkings of onverwagte lopies op te spoor. Stel waarskuwings op vir Playbook-mislukkings.
  • Dokumentasie: Dokumenteer duidelik wat elke Playbook doen, watter toestemmings dit het en hoe dit geaktiveer word. Dit is noodsaaklik vir instandhouding en ouditering.
  • Weergawebeheer: Gebruik 'n weergawebeheerstelselweergawe (bv. Git) om die bronkode van jou Logic Apps te bestuur (wat die ARM-model uitvoer), wat veranderingsnasporing en samewerking moontlik maak.
  • Menslike goedkeuring vir vernietigende aksies: Vir remediëringsaksies wat produksie kan beïnvloed (bv. om 'n kritieke bediener te isoleer), oorweeg dit om 'n menslike goedkeuringstap in Playbook by te voeg (bv. stuur 'n e-pos met goedkeur-/verwerpopsies via Adaptive Cards).

Algemene probleemoplossing

  • Speelboek word nie geaktiveer nie: Gaan outomatiseringsreël in Sentinel na. Maak seker dat die reëlvoorwaardes deur die voorval nagekom word. Verifieer dat die Playbook-sneller korrek opgestel is.
  • Playbook kan nie loop nie: Gaan die Logic App-loopgeskiedenis na om die mislukte stap en die foutboodskap te identifiseer. Algemene oorsake sluit in onvoldoende toestemmings, verkeerde parameters of verbindingskwessies.
  • Toestemmingsfout: Verifieer dat die Logic App-bestuurde identiteit die vereiste RBAC-toestemmings het op die hulpbron waartoe dit probeer toegang kry (bv. Sentinel, NSG, Azure AD).
  • Oneindige lus: Wees versigtig dat 'n Playbook nie 'n aksie uitvoer wat weer dieselfde insident veroorsaak, wat 'n oneindige lus skep nie. Gebruik voorwaardes in outomatiseringsreëls om dit te voorkom.
  • Konneksiekwessies: Gaan die dokumentasie vir die Logic App-koppelaar wat jy gebruik na vir enige bekende beperkings of kwessies. Kyk of die verbinding gesond is.

Gevolgtrekking

Die outomatisering van insidentreaksie met Playbooks in Azure Sentinel is 'n transformerende vermoë vir enige sekuriteitspan. Deur herhalende take te outomatiseer en regstellingsaksies te orkestreer, kan organisasies bedreigingsreaksietyd dramaties verminder, SOC-doeltreffendheid verhoog en 'n konsekwente, gestandaardiseerde insidentreaksie verseker. Die buigsaamheid van Azure Logic Apps laat jou toe om outomatiseringswerkvloeie te skep van eenvoudige kennisgewings tot komplekse remediëringkettings oor verskeie nutsgoed. Met hierdie praktiese gids sal sekuriteitspersoneel goed toegerus wees om die krag van SOAR in Microsoft Sentinel te benut, wat hul sekuriteitsbedrywighede meer rats, doeltreffend en gereed maak om die uitdagings van 'n voortdurend ontwikkelende bedreigingslandskap die hoof te bied.

Verwysings:

[1] Microsoft Learn. Outomatiseer bedreigingsreaksie met outomatiseringsreëls in Microsoft Sentinel. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/sentinel/automate-incident-handling-with-automation-rules [2] Microsoft Learn. Wat is SOAR (sekuriteitsorkestrasie, outomatisering en reaksie)?. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/sentinel/what-is-soar [3] Microsoft Learn. Toestemmings in Microsoft Sentinel. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/sentinel/roles [4] Microsoft Learn. Skep en bestuur Microsoft Sentinel-speelboeke. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/sentinel/automation/create-playbooks [5] Microsoft Learn. Skep en gebruik Azure Sentinel-outomatiseringsreëls om reaksie te bestuur. Beskikbaar by: https://learn.microsoft.com/pt-br/azure/sentinel/create-manage-use-automation-rules