Automatizace reakcí na incidenty pomocí příruček v Azure Sentinel

Automatizace reakcí na incidenty pomocí příruček v Azure Sentinel

01/11/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při automatizaci reakcí na bezpečnostní incidenty pomocí Playbooks v Microsoft Sentinel. Příručky, které jsou založeny na Azure Logic Apps, jsou základní součástí funkce Security Orchestration, Automation and Response (SOAR) společnosti Sentinel, což bezpečnostním týmům umožňuje automatizovat opakující se úlohy, organizovat složité pracovní postupy a rychleji a konzistentněji reagovat na hrozby [1].

Úvod

V moderním bezpečnostním operačním centru (SOC) může být objem výstrah a incidentů ohromující. Bezpečnostní analytici tráví značné množství času manuálními, opakujícími se úkoly, jako je třídění výstrah, obohacování dat, upozorňování zúčastněných stran a provádění základních nápravných opatření. Tato režie nejen zvyšuje střední dobu odezvy (MTTR), ale také odvádí pozornost analytiků od složitějších hrozeb a hloubkového vyšetřování. Microsoft Sentinel se svými schopnostmi SOAR řeší tuto výzvu tím, že umožňuje automatizaci odezvy na incidenty prostřednictvím Playbooks [2].

Tato praktická příručka se bude zabývat základními koncepty příruček a pravidel automatizace v Sentinelu, procesem vytváření příručky pomocí Azure Logic Apps, integrací příruček s pravidly analýzy a automatizace a praktickými příklady automatizace, jako je odesílání oznámení, blokování škodlivých IP adres a izolace napadených hostitelů. Budou poskytnuty podrobné pokyny a příklady pracovních postupů, aby čtenář mohl implementovat a ověřit automatizaci reakce na incidenty, optimalizovat bezpečnostní operace a posílit obranné postavení své organizace.

Proč je automatizace s Playbooks v Sentinelu klíčová?

  • Snížená doba odezvy (MTTR): Automatizuje okamžité nápravné akce, jako je blokování IP adresy nebo deaktivace uživatelského účtu, čímž se zkracuje doba, po kterou je hrozba aktivní.
  • Zvýšená efektivita SOC: Osvobozuje bezpečnostní analytiky od opakujících se úkolů, což jim umožňuje soustředit se na komplexní vyšetřování a vyhledávání hrozeb.
  • Konzistence a standardizace: Zajišťuje, aby reakce na incidenty probíhaly podle standardizovaného a zdokumentovaného procesu, omezuje lidské chyby a zajišťuje shodu.
  • Škálovatelnost: Umožňuje SOC vypořádat se s rostoucím objemem výstrah, aniž by bylo nutné proporcionálně zvyšovat tým.
  • Tool Orchestration: Integruje se s širokou škálou služeb a nástrojů (Azure, Microsoft 365 a řešení třetích stran) pro koordinaci reakcí v celém bezpečnostním ekosystému.
  • Obohacení dat: Automatizuje shromažďování kontextových informací z více zdrojů (např. informace o hrozbách, informace o uživatelích, data zařízení) pro urychlení třídění a vyšetřování.

Předpoklady

Chcete-li automatizovat odpovědi pomocí příruček v Azure Sentinel, budete potřebovat následující položky:

  1. Active Microsoft Sentinel Workspace: Pracovní prostor Log Analytics s povoleným řešením Microsoft Sentinel.
  2. Administrativní přístup: Účet s oprávněními k vytváření a správě prostředků v Azure, včetně Logic Apps, a s rolí Microsoft Sentinel Contributor nebo Microsoft Sentinel Responder v pracovním prostoru Sentinel [3].
  3. Konfigurované datové konektory: Zdroje dat připojené k Sentinelu za účelem generování výstrah a incidentů (např. Azure Active Directory, Microsoft Defender for Cloud atd.).
  4. Povolena pravidla analýzy: Pravidla analýzy nakonfigurovaná k detekci hrozeb a vytváření incidentů ze zpracovaných dat.

Krok za krokem: Automatizace odpovědí pomocí příruček

Pojďme vytvořit a automatizovat Playbook, abychom mohli reagovat na bezpečnostní incident.

1. Pochopení Automatizačních komponent Sentinel

  • Příručky: Jedná se o soubory procedur, které lze spustit z Microsoft Sentinel v reakci na výstrahu nebo incident. Příručky jsou postaveny na Azure Logic Apps a mohou zahrnovat řadu akcí, jako je odesílání e-mailů, vytváření lístků v systémech ITSM, blokování IP adres ve bráně firewall atd. [4].
  • Pravidla automatizace: Toto jsou pravidla, která vám umožňují řídit automatizaci incizuby v Sentinelu. Lze je použít k přiřazování incidentů, změně jejich stavu, přidávání značek a hlavně ke spouštění Playbooků. Pravidla automatizace fungují jako centralizovaný „spouštěč“ pro Příručky [5].

2. Vytvoření příručky (Azure Logic App)

Vytvořme jednoduchou Playbook, která, když je spuštěna incidentem Sentinel, odešle e-mailové upozornění s podrobnostmi o incidentu.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Do horního vyhledávacího pole zadejte „Logic Apps“ a vyberte jej z výsledků.
  3. Klepnutím na +Přidat vytvoříte novou aplikaci Logic.

  4. Základy:

    • Předplatné: Vyberte své předplatné.
    • Skupina prostředků: Vyberte skupinu prostředků (doporučuje se použít stejnou jako ve vašem pracovním prostoru Sentinel).
    • Název logické aplikace: Pojmenujte svou příručku (např. „NotifyIncidentSentinel“).
    • Region: Vyberte region.
    • Typ plánu: Vyberte možnost „Spotřeba“ pro model s průběžnými platbami, který je ideální pro většinu scénářů Playbook.

  5. Klikněte na Zkontrolovat + vytvořit a poté na Vytvořit.

  6. Po nasazení klikněte na „Přejít na prostředek“ a otevřete Logic Apps Designer.

3. Konfigurace spouštění a akcí Playbook

Otevře se Návrhář aplikací Logic s obrazovkou šablon. Vyberte Prázdná logická aplikace.

  1. Nakonfigurujte spouštěč: Do vyhledávacího pole návrháře napište „Microsoft Sentinel“ a vyberte spouštěč „Když je vytvořen incident Microsoft Sentinel“.

  2. Připojit k Sentinel: Pokud je to poprvé, budete muset vytvořit připojení k vašemu pracovnímu prostoru Sentinel. Proveďte ověření pomocí účtu, který má potřebná oprávnění.

  3. Přidat akci (Odeslat e-mail): Klikněte na + Nový krok.

  4. Do vyhledávacího pole zadejte „Odeslat e-mail“ a vyberte akci „Odeslat e-mail (V2)“ z konektoru „Office 365 Outlook“ (nebo jiného poskytovatele e-mailu dle vašeho výběru).

  5. Konfigurace akce e-mailu: Vyplňte pole e-mailu pomocí dynamického obsahu ze spouštěče incidentu Sentinel:

    • Komu: Zadejte e-mailovou adresu příjemce (např.: [email protected]).
    • Předmět: New Sentinel Incident: a z dynamického obsahu vyberte Incident Title.
    • Body: Vytvořte informativní tělo e-mailu, včetně podrobností o incidentu:
      • Název: (vyberte Název incidentu)
      • Závažnost: (vyberte Závažnost incidentu)
      • Popis: (vyberte Popis incidentu)
      • Odkaz na incident: (vyberte Adresa URL incidentu)

  6. Klepnutím na Uložit Playbook uložíte.

4. Udělení oprávnění Playbook

Než bude Playbook moci komunikovat se Sentinelem a dalšími zdroji, potřebuje oprávnění. Nejjednodušší způsob, jak toho dosáhnout, je přiřadit roli Microsoft Sentinel Contributor identitě spravované aplikací Logic.

  1. Na webu Azure Portal přejděte do svého pracovního prostoru Azure Sentinel.
  2. V levém navigačním panelu vyberte Access Control (IAM).
  3. Klikněte na +Přidat > Přidat přiřazení role.
  4. Role: Vyberte Microsoft Sentinel Contributor.
  5. Členové: V části „Přiřadit přístup“ vyberte „Spravovaná identita“.
  6. Klikněte na +Vybrat členy.

  7. Spravovaná identita: Vyberte Logical App a vyhledejte svou příručku (NotifyIncidentSentinel). Vyberte jej a klikněte na „Vybrat“.

  8. Pro dokončení klikněte na Review + assign.

5. Vytvoření automatizačního pravidla pro spuštění Playbooku

Nyní vytvoříme v Sentinelu pravidlo automatizace, které spustí Playbook při každém vytvoření nového incidentu.

  1. Na webu Azure Portal přejděte do svého pracovního prostoru Azure Sentinel.
  2. V levém navigačním panelu vyberte Automatizace.
  3. Klikněte na + Vytvořit > Automatizační pravidlo.
  4. Název automatizačního pravidla: Pojmenujte jej (např.: „Upozorňovat na nové incidenty“).
  5. Spouštěč: Vyberte možnost „Když dojde k vytvoření incidentu“.
  6. Podmínky: Můžete přidat podmínky, aby se pravidlo spustilo pouze pro konkrétní incidenty (např. Závažnost Rovná se Vysoká). V tomto příkladu nebudeme přidávat podmínky, takže pravidlo bude platit pro všechny nové incidenty.
  7. Akce: V části „Akce“ vyberte „Spustit příručku“.

  8. Z rozevírací nabídky vyberte Pučebnici, kterou jste vytvořili (NotifyIncidentSentinel).

  9. Pořadí: Definujte pořadí provádění pravidel (pokud existuje několik pravidel).

  10. Platnost pravidla: Definujte, zda má pravidlo v určitém okamžiku vypršet.
  11. Kliknutím na „Použít“ vytvoříte pravidlo automatizace.

Validace a testování

Chcete-li ověřit automatizaci, musíte spustit vytvoření incidentu v Sentinelu.

1. Spuštění testovacího incidentu

  1. Na webu Azure Portal přejděte do svého pracovního prostoru Azure Sentinel.
  2. V levém navigačním panelu vyberte Incidents.
  3. Klikněte na + Vytvořit incident (Náhled).
  4. Vyplňte podrobnosti o testovacím incidentu (název, popis, závažnost atd.) a klikněte na „Vytvořit“.

2. Ověření provedení Příručky

  1. Zkontrolovat e-mail: Zkontrolujte doručenou poštu příjemce, kterou jste nastavili v Playbooku. Měli byste obdržet e-mail s podrobnostmi o testovacím incidentu, který jste vytvořili.

  2. Zkontrolujte historii spuštění příručky: Na portálu Azure přejděte do aplikace Logic (NotifyIncidentSentinel).

  3. V levém navigačním podokně vyberte Přehled a poté kartu „Historie spouštění“.
  4. Měli byste vidět úspěšné provedení odpovídající testovacímu incidentu. Kliknutím na něj zobrazíte podrobnosti o každém kroku (spouštěč a akce).

Pokročilý praktický příklad: Blokování škodlivé IP adresy

Pojďme vytvořit pokročilejší Playbook, který po obdržení incidentu se škodlivou IP adresou přidá tuto IP do blokovacího pravidla ve skupině Azure Network Security Group (NSG).

  1. Vytvoření nové příručky: Podle kroků v části 2 vytvořte novou aplikaci Logic (např. BloquearIPMalicioso).
  2. Konfigurace spouštěče: Použijte spouštěč „Když se vytvoří incident Microsoft Sentinel“.

  3. Přidat akci (Get Incident Entities): Přidejte nový krok a vyhledejte akci Entities – Get IPs z konektoru Microsoft Sentinel. Tím se extrahují IP adresy incidentu.

  4. Přidat akci (smyčka pro každou IP): Protože incident může mít více IP adres, přidejte ovládací prvek „Pro každou“, abyste mohli iterovat seznam IP vrácených předchozí akcí.

  5. Přidat akci (Přidat IP do NSG): Do smyčky „Pro každou“ přidejte akci konektoru „Azure NSG“ nazvanou „Aktualizovat skupinu zabezpečení sítě“.

    • Skupina prostředků: Vyberte skupinu prostředků vaší NSG.
    • Název skupiny zabezpečení sítě: Vyberte NSG, kterou chcete aktualizovat.
    • Pravidla zabezpečení: Přidejte nové pravidlo zabezpečení s následujícími vlastnostmi:
      • Název: BlockIP- (a přidejte dynamickou IP ze smyčky For every).
      • Priorita: Nastavte vysokou prioritu (např.: 100).
      • Směr: Vstup.
      • Přístup: „Odmítnout“.
      • Protokol: „Jakýkoli“.
      • Rozsah zdrojových portů: *.
      • Rozsah cílových portů: *.
      • Source Address: Vyberte dynamickou IP smyčku „For every“.
      • Cílové adresy: *.

  6. Uložit a udělit oprávnění: Uložte příručku a udělte potřebná oprávnění identitě spravované aplikací Logic (např. „Network Contributor“ v rozsahu NSG).

  7. Vytvořit pravidlo automatizace: Vytvořte v Sentinelu nové automatizační pravidlo, které spustí tuto příručku, když incident obsahuje škodlivou IP (např. na základě názvu nebo značek analytického pravidla).

Bezpečnostní tipy a doporučené postupy

  • Používejte spravované identity: Vždy používejte spravované identity k ověřování Playbooků, nikoli ukládání pověření nebo klíčů API.
  • Princip nejmenšího privilegia pro příručky: Příručkám udělujte pouze oprávnění nezbytně nutná k provádění jejich akcí. Pokud například Playbook potřebuje pouze číst data, neudělujte oprávnění k zápisu.
  • Test ve vývojovém prostředí: Před nasazením Playbooks do produkce je důkladně otestujte ve vývojovém nebo testovacím prostředí, abyste se vyhnuli nezamýšleným následkům.
  • Monitorování příruček: Sledujte historii spuštění svých příruček a zjistěte selhání nebo neočekávaná spuštění. Nakonfigurujte upozornění na selhání Příručky.
  • Dokumentace: Jasně zdokumentujte, co každá příručka dělá, jaká má oprávnění a jak se spouští. To je zásadní pro údržbu a audit.
  • Ovládání verzí: Použijte systém správy verzíverze (např. Git) ke správě zdrojového kódu vašich aplikací Logic (exportování modelu ARM), což umožňuje sledování změn a spolupráci.
  • Schvalování destruktivních akcí člověkem: U nápravných akcí, které mohou ovlivnit produkci (např. izolace kritického serveru), zvažte přidání kroku schvalování člověkem do Příručky (např. odeslání e-mailu s možnostmi schválení/odmítnutí prostřednictvím adaptivních karet).

Běžné odstraňování problémů

  • Příručka není spuštěna: Zkontrolujte pravidlo automatizace v aplikaci Sentinel. Ujistěte se, že incident splňuje podmínky pravidla. Ověřte, zda je spouštěč Playbook správně nakonfigurován.
  • Příručku nelze spustit: Zkontrolujte historii spouštění aplikace Logic a identifikujte neúspěšný krok a chybovou zprávu. Mezi běžné příčiny patří nedostatečná oprávnění, nesprávné parametry nebo problémy s připojením.
  • Chyba oprávnění: Ověřte, že identita spravovaná aplikací Logic má požadovaná oprávnění RBAC pro prostředek, ke kterému se pokouší získat přístup (např. Sentinel, NSG, Azure AD).
  • Nekonečná smyčka: Dávejte pozor, aby Playbook neprovedl akci, která zase spustí stejný incident znovu a vytvoří nekonečnou smyčku. Abyste tomu zabránili, použijte podmínky v pravidlech automatizace.
  • Problémy s konektorem: V dokumentaci ke konektoru Logic App, který používáte, vyhledejte známá omezení nebo problémy. Zkontrolujte, zda je připojení v pořádku.

Závěr

Automatizace odezvy na incidenty pomocí příruček v Azure Sentinel je transformační funkcí pro jakýkoli tým zabezpečení. Automatizací opakujících se úloh a organizováním nápravných akcí mohou organizace dramaticky zkrátit dobu odezvy na hrozby, zvýšit efektivitu SOC a zajistit konzistentní, standardizovanou reakci na incidenty. Flexibilita Azure Logic Apps vám umožňuje vytvářet pracovní postupy automatizace od jednoduchých oznámení až po složité řetězce nápravy napříč různými nástroji. S touto praktickou příručkou budou bezpečnostní profesionálové dobře vybaveni, aby mohli využít sílu SOAR v Microsoft Sentinel, díky čemuž budou jejich bezpečnostní operace agilnější, efektivnější a připravenější čelit výzvám neustále se vyvíjejícího prostředí hrozeb.

Reference:

[1] Microsoft Learn. Automatizujte reakci na hrozby pomocí pravidel automatizace v aplikaci Microsoft Sentinel. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/automate-incident-handling-with-automation-rules [2] Microsoft Learn. Co je SOAR (bezpečnostní orchestrace, automatizace a odezva)?. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/what-is-soar [3] Microsoft Learn. Oprávnění v Microsoft Sentinel. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/roles [4] Microsoft Learn. Vytvářejte a spravujte příručky Microsoft Sentinel. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/automation/create-playbooks [5] Microsoft Learn. Vytvářejte a používejte automatizační pravidla Azure Sentinel ke správě odezvy. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/create-manage-use-automation-rules