Automatisering van incidentreacties met draaiboeken in Azure Sentinel

Automatisering van incidentreacties met draaiboeken in Azure Sentinel

01/11/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het automatiseren van reacties op beveiligingsincidenten met behulp van Playbooks in Microsoft Sentinel. Playbooks, die zijn gebaseerd op Azure Logic Apps, vormen een kerncomponent van Sentinel's Security Orchestration, Automation, and Response (SOAR)-mogelijkheden, waardoor beveiligingsteams repetitieve taken kunnen automatiseren, complexe workflows kunnen orkestreren en sneller en consistenter op bedreigingen kunnen reageren [1].

Introductie

In een modern Security Operations Center (SOC) kan het aantal waarschuwingen en incidenten overweldigend zijn. Beveiligingsanalisten besteden een aanzienlijke hoeveelheid tijd aan handmatige, repetitieve taken zoals het beoordelen van waarschuwingen, het verrijken van gegevens, het informeren van belanghebbenden en het uitvoeren van basisherstelacties. Deze overhead vergroot niet alleen de gemiddelde time-to-respons (MTTR), maar leidt ook de aandacht van analisten af ​​van complexere bedreigingen en diepgaande onderzoeken. Microsoft Sentinel pakt deze uitdaging met zijn SOAR-mogelijkheden aan door automatisering van incidentrespons mogelijk te maken via Playbooks [2].

Deze praktische gids behandelt de fundamentele concepten van Playbooks en automatiseringsregels in Sentinel, het proces van het maken van een Playbook met behulp van Azure Logic Apps, het integreren van Playbooks met analyse- en automatiseringsregels, en praktische automatiseringsvoorbeelden zoals het verzenden van meldingen, het blokkeren van kwaadaardige IP-adressen en het isoleren van gecompromitteerde hosts. Er worden stapsgewijze instructies en voorbeeldworkflows gegeven, zodat de lezer de automatisering van incidentrespons kan implementeren en valideren, de beveiligingsoperaties kan optimaliseren en de verdedigingspositie van zijn organisatie kan versterken.

Waarom is automatisering met Playbooks in Sentinel cruciaal?

  • Reduced Response Time (MTTR): Automatiseert onmiddellijke herstelacties, zoals het blokkeren van een IP-adres of het uitschakelen van een gebruikersaccount, waardoor de tijd dat een bedreiging actief blijft, wordt verkort.
  • Verhoogde SOC-efficiëntie: bevrijdt beveiligingsanalisten van repetitieve taken, waardoor ze zich kunnen concentreren op complexe onderzoeken en het opsporen van bedreigingen.
  • Consistentie en standaardisatie: Zorgt ervoor dat reacties op incidenten een gestandaardiseerd en gedocumenteerd proces volgen, waardoor menselijke fouten worden verminderd en naleving wordt gegarandeerd.
  • Schaalbaarheid: Hiermee kan het SOC een toenemend aantal waarschuwingen afhandelen zonder dat het team proportioneel hoeft te worden uitgebreid.
  • Tool Orchestration: Integreert met een breed scala aan services en tools (Azure, Microsoft 365 en oplossingen van derden) om reacties in het hele beveiligingsecosysteem te orkestreren.
  • Gegevensverrijking: Automatiseert het verzamelen van contextuele informatie uit meerdere bronnen (bijvoorbeeld informatie over bedreigingen, gebruikersinformatie, apparaatgegevens) om de beoordeling en het onderzoek te versnellen.

Vereisten

Om antwoorden met Playbooks in Azure Sentinel te automatiseren, hebt u de volgende items nodig:

  1. Actieve Microsoft Sentinel-werkruimte: een Log Analytics-werkruimte waarin de Microsoft Sentinel-oplossing is ingeschakeld.
  2. Beheerderstoegang: een account met machtigingen om bronnen in Azure te maken en te beheren, inclusief Logic Apps, en met de rol van 'Microsoft Sentinel Contributor' of 'Microsoft Sentinel Responder' in de Sentinel-werkruimte [3].
  3. Geconfigureerde gegevensconnectoren: gegevensbronnen verbonden met Sentinel om waarschuwingen en incidenten te genereren (bijv. Azure Active Directory, Microsoft Defender for Cloud, enz.).
  4. Analyseregels ingeschakeld: analyseregels geconfigureerd om bedreigingen te detecteren en incidenten te creëren op basis van opgenomen gegevens.

Stap voor stap: antwoorden automatiseren met draaiboeken

Laten we een Playbook maken en automatiseren om te reageren op een beveiligingsincident.

1. Sentinel-automatiseringscomponenten begrijpen

  • Playbooks: dit zijn verzamelingen procedures die vanuit Microsoft Sentinel kunnen worden uitgevoerd als reactie op een waarschuwing of incident. Playbooks zijn bovenop Azure Logic Apps gebouwd en kunnen een reeks acties omvatten, zoals het verzenden van e-mails, het maken van tickets in ITSM-systemen, het blokkeren van IP-adressen in een firewall, enz. [4].
  • Automatiseringsregels: dit zijn regels waarmee u de automatisering van inci kunt beherentanden in de Sentinel. Ze kunnen worden gebruikt om incidenten toe te wijzen, de status ervan te wijzigen, tags toe te voegen en, belangrijker nog, Playbooks uit te voeren. Automatiseringsregels fungeren als de gecentraliseerde ‘trigger’ voor Playbooks [5].

2. Een draaiboek maken (Azure Logic-app)

Laten we een eenvoudig Playbook maken dat, wanneer geactiveerd door een Sentinel-incident, een e-mailmelding verzendt met de details van het incident.

  1. Open uw browser en navigeer naar de Azure-portal: https://portal.azure.com.
  2. Typ 'Logic Apps' in het bovenste zoekveld en selecteer deze uit de resultaten.
  3. Klik op +Toevoegen om een ​​nieuwe logische app te maken.

  4. Basisprincipes:

    • Abonnement: Selecteer uw abonnement.
    • Brongroep: Selecteer een brongroep (het wordt aanbevolen om dezelfde te gebruiken als in uw Sentinel-werkruimte).
    • Logische appnaam: geef uw Playbook een naam (bijvoorbeeld: NotifyIncidentSentinel).
    • Regio: Selecteer de regio.
    • Plantype: Selecteer 'Verbruik' voor een pay-as-you-go-model, ideaal voor de meeste Playbook-scenario's.

  5. Klik op 'Bekijken + aanmaken' en vervolgens op 'Maken'.

  6. Klik na de implementatie op 'Ga naar resource' om de Logic Apps Designer te openen.

3. Playbook-trigger en acties configureren

De Logic App Designer wordt geopend met een sjablonenscherm. Selecteer 'Lege logische app'.

  1. Configureer de trigger: typ in het zoekveld van de ontwerper 'Microsoft Sentinel' en selecteer de trigger 'Wanneer een Microsoft Sentinel-incident wordt gemaakt'.

  2. Verbinden met Sentinel: Als dit de eerste keer is, moet u een verbinding maken met uw Sentinel-werkruimte. Authenticeer met een account dat over de benodigde machtigingen beschikt.

  3. Een actie toevoegen (e-mail verzenden): Klik op + Nieuwe stap.

  4. Typ 'Een e-mail verzenden' in het zoekveld en selecteer de actie 'Een e-mail verzenden (V2)' uit de connector 'Office 365 Outlook' (of een andere e-mailprovider naar keuze).

  5. E-mailactie configureren: Vul de e-mailvelden in met behulp van de dynamische inhoud van de Sentinel-incidenttrigger:

    • Aan: voer het e-mailadres van de ontvanger in (bijvoorbeeld: [email protected]).
    • Onderwerp: Nieuw Sentinel-incident: en selecteer Incidenttitel uit de dynamische inhoud.
    • Body: Maak een informatieve e-mailtekst, inclusief incidentdetails:
      • Titel: (selecteer Incidenttitel)
      • Ernst: (selecteer Ernst van incident)
      • Beschrijving: (selecteer Incidentbeschrijving)
      • Link naar incident: (selecteer Incident-URL)

  6. Klik op Opslaan om het Playbook op te slaan.

4. Playbook-machtigingen verlenen

Voordat Playbook kan communiceren met Sentinel en andere bronnen, heeft het machtigingen nodig. De eenvoudigste manier om dit te doen is door de rol 'Microsoft Sentinel Contributor' toe te wijzen aan de beheerde identiteit van de Logic App.

  1. Navigeer in de Azure-portal naar uw Azure Sentinel-werkruimte.
  2. Selecteer in het linkernavigatievenster Toegangsbeheer (IAM).
  3. Klik op +Toevoegen > Roltoewijzing toevoegen.
  4. Rol: Selecteer Microsoft Sentinel Contributor.
  5. Leden: onder 'Toegang toewijzen aan' selecteert u 'Beheerde identiteit'.
  6. Klik op +Leden selecteren.

  7. Beheerde identiteit: Selecteer 'Logische app' en zoek naar uw Playbook ('NotifyIncidentSentinel'). Selecteer het en klik op 'Selecteren'.

  8. Klik op 'Bekijken + toewijzen' om te voltooien.

5. Een automatiseringsregel maken om het Playbook te activeren

Laten we nu een automatiseringsregel maken in Sentinel om het Playbook uit te voeren wanneer er een nieuw incident wordt gemaakt.

  1. Navigeer in de Azure-portal naar uw Azure Sentinel-werkruimte.
  2. Selecteer Automatisering in het linkernavigatievenster.
  3. Klik op + Maken > Automatiseringsregel.
  4. Naam automatiseringsregel: geef deze een naam (bijvoorbeeld: Meld nieuwe incidenten).
  5. Trigger: Selecteer Wanneer een incident is aangemaakt.
  6. Voorwaarden: u kunt voorwaarden toevoegen zodat de regel alleen wordt geactiveerd voor specifieke incidenten (bijvoorbeeld: 'Ernst' 'Gelijk aan' 'Hoog'). Voor dit voorbeeld voegen we geen voorwaarden toe, dus de regel is van toepassing op alle nieuwe incidenten.
  7. Acties: Onder Acties selecteert u Playbook uitvoeren.

  8. Selecteer in het vervolgkeuzemenu de Playbook dat u hebt gemaakt (NotifyIncidentSentinel).

  9. Volgorde: Definieer de uitvoeringsvolgorde van de regels (als er meerdere regels zijn).

  10. Regelvervaldatum: Bepaal of de regel op een gegeven moment moet verlopen.
  11. Klik op 'Toepassen' om de automatiseringsregel aan te maken.

Validatie en testen

Om de automatisering te valideren, moet u het aanmaken van een incident in Sentinel activeren.

1. Een testincident activeren

  1. Navigeer in de Azure-portal naar uw Azure Sentinel-werkruimte.
  2. Selecteer Incidenten in het linkernavigatievenster.
  3. Klik op '+ Incident aanmaken (voorbeeld)'.
  4. Vul de details van het testincident in (titel, beschrijving, ernst, etc.) en klik op 'Aanmaken'.

2. Uitvoering van Playbook verifiëren

  1. E-mail controleren: controleer de inbox van de ontvanger die u in Playbook heeft ingesteld. U ontvangt een e-mail met de details van het testincident dat u heeft aangemaakt.

  2. Controleer de uitvoeringsgeschiedenis van Playbook: navigeer in de Azure Portal naar uw logische app (NotifyIncidentSentinel).

  3. Selecteer in het linkernavigatievenster Overzicht en vervolgens het tabblad Geschiedenis uitvoeren.
  4. U zou een succesvolle uitvoering moeten zien die overeenkomt met het testincident. Klik erop om de details van elke stap (trigger en actie) te bekijken.

Geavanceerd praktijkvoorbeeld: blokkeer kwaadaardig IP-adres

Laten we een geavanceerder Playbook maken dat, bij ontvangst van een incident met een kwaadaardig IP-adres, dat IP-adres toevoegt aan een blokkeerregel in een Azure Network Security Group (NSG).

  1. Maak een nieuw Playbook: volg de stappen in sectie 2 om een ​​nieuwe logische app te maken (bijvoorbeeld: BloquearIPMalicioso).
  2. Configureer de trigger: gebruik de trigger 'Wanneer een Microsoft Sentinel-incident wordt gemaakt'.

  3. Actie toevoegen (Get Incident Entities): Voeg een nieuwe stap toe en zoek naar de actie 'Entiteiten - IP's ophalen' in de 'Microsoft Sentinel'-connector. Hierdoor worden de IP-adressen van het incident geëxtraheerd.

  4. Actie toevoegen (lus voor elk IP-adres): aangezien een incident meerdere IP-adressen kan hebben, voegt u een 'For Each'-besturingselement toe om de lijst met IP-adressen te herhalen die door de vorige actie zijn geretourneerd.

  5. Actie toevoegen (IP toevoegen aan NSG): Voeg binnen de 'Voor elke'-lus een 'Azure NSG'-connectoractie toe met de naam 'Een netwerkbeveiligingsgroep bijwerken'.

    • Resourcegroep: Selecteer de resourcegroep van uw NSG.
    • Netwerkbeveiligingsgroepnaam: Selecteer de NSG die u wilt bijwerken.
    • Beveiligingsregels: Voeg een nieuwe beveiligingsregel toe met de volgende eigenschappen:
      • Naam: BlockIP- (en voeg het dynamische IP-adres toe uit de lus For Each).
      • Prioriteit: stel een hoge prioriteit in (bijvoorbeeld: 100).
      • Richting: Invoer.
      • Toegang: Weigeren.
      • Protocol: Elke.
      • Bronpoortbereik: *.
      • Bestemmingspoortbereik: *.
      • Bronadres: Selecteer het dynamische IP-adres van de 'For Each'-lus.
      • Bestemmingsadressen: *.

  6. Opslaan en machtigingen verlenen: sla het Playbook op en verleen de benodigde machtigingen aan de door Logic App beheerde identiteit (bijvoorbeeld 'Netwerkbijdrager' in NSG-bereik).

  7. Maak automatiseringsregel: maak een nieuwe automatiseringsregel in Sentinel om dit Playbook te activeren wanneer een incident een kwaadaardig IP-adres bevat (bijvoorbeeld op basis van de naam van de analyseregel of tags).

Beveiligingstips en best practices

  • Gebruik beheerde identiteiten: gebruik altijd beheerde identiteiten om Playbooks te verifiëren in plaats van inloggegevens of API-sleutels op te slaan.
  • Privilege van minimale bevoegdheden voor Playbooks: Verleen Playbooks alleen de rechten die strikt noodzakelijk zijn om hun acties uit te voeren. Als een Playbook bijvoorbeeld alleen gegevens hoeft te lezen, geef dan geen schrijfrechten.
  • Test in ontwikkelomgeving: Voordat u Playbooks in productie implementeert, moet u ze grondig testen in een ontwikkelings- of testomgeving om onbedoelde gevolgen te voorkomen.
  • Playbooks-monitoring: controleer de uitvoeringsgeschiedenis van uw Playbooks om fouten of onverwachte uitvoeringen te detecteren. Configureer waarschuwingen voor Playbook-fouten.
  • Documentatie: documenteer duidelijk wat elk Playbook doet, welke rechten het heeft en hoe het wordt geactiveerd. Dit is van cruciaal belang voor onderhoud en auditing.
  • Versiebeheer: gebruik een versiebeheersysteemversie (bijvoorbeeld Git) om de broncode van uw Logic Apps te beheren (het ARM-model exporteren), waardoor het volgen van wijzigingen en samenwerking mogelijk wordt.
  • Menselijke goedkeuring voor destructieve acties: voor herstelacties die van invloed kunnen zijn op de productie (bijvoorbeeld het isoleren van een kritieke server), kunt u overwegen een menselijke goedkeuringsstap toe te voegen in Playbook (bijvoorbeeld een e-mail sturen met opties voor goedkeuren/afwijzen via adaptieve kaarten).

Algemene probleemoplossing

  • Playbook wordt niet geactiveerd: controleer de automatiseringsregel in Sentinel. Zorg ervoor dat door het incident aan de regelvoorwaarden wordt voldaan. Controleer of de Playbook-trigger correct is geconfigureerd.
  • Playbook kan niet worden uitgevoerd: controleer de uitvoeringsgeschiedenis van de logische app om de mislukte stap en het foutbericht te identificeren. Veelvoorkomende oorzaken zijn onvoldoende machtigingen, onjuiste parameters of verbindingsproblemen.
  • Permissiefout: Controleer of de beheerde identiteit van de Logic App de vereiste RBAC-machtigingen heeft voor de bron waartoe deze toegang probeert te krijgen (bijvoorbeeld Sentinel, NSG, Azure AD).
  • Oneindige lus: Zorg ervoor dat een Playbook geen actie uitvoert die op zijn beurt hetzelfde incident opnieuw activeert, waardoor een oneindige lus ontstaat. Gebruik voorwaarden in automatiseringsregels om dit te voorkomen.
  • Connectorproblemen: Controleer de documentatie voor de Logic App-connector die u gebruikt op bekende beperkingen of problemen. Controleer of de verbinding gezond is.

Conclusie

Het automatiseren van incidentrespons met Playbooks in Azure Sentinel is een transformerende mogelijkheid voor elk beveiligingsteam. Door repetitieve taken te automatiseren en herstelacties te orkestreren, kunnen organisaties de responstijd op bedreigingen drastisch verkorten, de SOC-efficiëntie verhogen en een consistente, gestandaardiseerde incidentrespons garanderen. Dankzij de flexibiliteit van Azure Logic Apps kunt u automatiseringsworkflows creëren, van eenvoudige meldingen tot complexe herstelketens voor meerdere tools. Met deze praktische gids zijn beveiligingsprofessionals goed toegerust om de kracht van SOAR in Microsoft Sentinel te benutten, waardoor hun beveiligingsoperaties flexibeler, effectiever en klaar voor de uitdagingen van een steeds evoluerend dreigingslandschap worden.

Referenties:

[1] Microsoft Leer. Automatiseer reactie op bedreigingen met automatiseringsregels in Microsoft Sentinel. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/sentinel/automate-incident-handling-with-automation-rules [2] Microsoft Leer. Wat is SOAR (beveiligingsorkestratie, automatisering en respons)?. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/sentinel/what-is-soar [3] Microsoft Leer. Machtigingen in Microsoft Sentinel. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/sentinel/roles [4] Microsoft Leer. Maak en beheer Microsoft Sentinel-playbooks. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/sentinel/automation/create-playbooks [5] Microsoft Leer. Maak en gebruik Azure Sentinel-automatiseringsregels om de respons te beheren. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/sentinel/create-manage-use-automation-rules