Автоматизация реагирования на инциденты с помощью сборников сценариев в Azure Sentinel

Автоматизация реагирования на инциденты с помощью сборников сценариев в Azure Sentinel

11.01.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам автоматизировать реагирование на инциденты безопасности с помощью Playbooks в Microsoft Sentinel. Playbooks, основанные на Azure Logic Apps, являются основным компонентом возможностей Sentinel по оркестрации, автоматизации и реагированию (SOAR), позволяющим командам безопасности автоматизировать повторяющиеся задачи, организовывать сложные рабочие процессы и реагировать на угрозы быстрее и более последовательно [1].

Введение

В современном центре управления безопасностью (SOC) объем предупреждений и инцидентов может быть огромным. Аналитики безопасности тратят значительное количество времени на повторяющиеся задачи, выполняемые вручную, такие как сортировка предупреждений, пополнение данных, уведомление заинтересованных сторон и выполнение основных действий по исправлению ситуации. Эти накладные расходы не только увеличивают среднее время ответа (MTTR), но и отвлекают внимание аналитиков от более сложных угроз и углубленных расследований. Microsoft Sentinel со своими возможностями SOAR решает эту проблему, обеспечивая автоматизацию реагирования на инциденты с помощью Playbooks [2].

В этом практическом руководстве будут рассмотрены фундаментальные концепции Playbooks и правил автоматизации в Sentinel, процесс создания Playbook с помощью Azure Logic Apps, интеграция Playbooks с правилами аналитики и автоматизации, а также практические примеры автоматизации, такие как отправка уведомлений, блокировка вредоносных IP-адресов и изоляция скомпрометированных узлов. Будут предоставлены пошаговые инструкции и примеры рабочих процессов, чтобы читатель мог реализовать и проверить автоматизацию реагирования на инциденты, оптимизируя операции по обеспечению безопасности и укрепляя обороноспособность своей организации.

Почему автоматизация с помощью Playbooks в Sentinel так важна?

  • Сокращенное время отклика (MTTR): автоматизирует немедленные действия по исправлению ситуации, такие как блокировка IP-адреса или отключение учетной записи пользователя, сокращая время, в течение которого угроза остается активной.
  • Повышенная эффективность SOC: освобождает аналитиков безопасности от повторяющихся задач, позволяя им сосредоточиться на сложных расследованиях и поиске угроз.
  • Последовательность и стандартизация: гарантирует, что реагирование на инциденты осуществляется в соответствии со стандартизированным и документированным процессом, что снижает количество человеческих ошибок и обеспечивает соответствие требованиям.
  • Масштабируемость: позволяет SOC справляться с растущим объемом предупреждений без необходимости пропорционального увеличения команды.
  • Оркестрация инструментов: интегрируется с широким спектром служб и инструментов (Azure, Microsoft 365 и сторонних решений) для координации реагирования во всей экосистеме безопасности.
  • Обогащение данных: автоматизирует сбор контекстной информации из нескольких источников (например, аналитика угроз, информация о пользователях, данные об устройствах) для ускорения сортировки и расследования.

Предварительные условия

Чтобы автоматизировать ответы с помощью Playbooks в Azure Sentinel, вам потребуются следующие элементы:

  1. Активная рабочая область Microsoft Sentinel: рабочая область Log Analytics с включенным решением Microsoft Sentinel.
  2. Административный доступ: учетная запись с разрешениями на создание и управление ресурсами в Azure, включая приложения Logic Apps, а также с ролью «Microsoft Sentinel Contributor» или «Microsoft Sentinel Responder» в рабочей области Sentinel [3].
  3. Настроенные соединители данных: источники данных, подключенные к Sentinel для создания оповещений и инцидентов (например, Azure Active Directory, Microsoft Defender для облака и т. д.).
  4. Правила анализа включены: правила анализа настроены для обнаружения угроз и создания инцидентов на основе полученных данных.

Шаг за шагом: автоматизация ответов с помощью учебных пособий

Давайте создадим и автоматизируем Playbook для реагирования на инциденты безопасности.

1. Понимание компонентов автоматизации Sentinel

  • Сборники: это наборы процедур, которые можно запустить из Microsoft Sentinel в ответ на предупреждение или инцидент. Книги построены на основе Azure Logic Apps и могут включать в себя ряд действий, таких как отправка электронных писем, создание заявок в системах ITSM, блокировка IP-адресов в брандмауэре и т. д. [4].
  • Правила автоматизации: это правила, которые позволяют вам управлять автоматизацией процессов.зубы в Sentinel. Их можно использовать для назначения инцидентов, изменения их статуса, добавления тегов и, самое главное, для запуска Playbooks. Правила автоматизации действуют как централизованный «триггер» для Playbooks [5].

2. Создание книги сценариев (приложение Azure Logic)

Давайте создадим простую книгу, которая при срабатывании инцидента Sentinel отправляет уведомление по электронной почте с подробностями инцидента.

  1. Откройте браузер и перейдите на портал Azure: https://portal.azure.com.
  2. В верхнем поле поиска введите «Logic Apps» и выберите его из результатов.
  3. Нажмите «+Добавить», чтобы создать новое приложение логики.

  4. Основы:

    • Подписка: выберите подписку.
    • Группа ресурсов: выберите группу ресурсов (рекомендуется использовать ту же, что и в рабочей области Sentinel).
    • Логическое имя приложения. Присвойте Playbook имя (например: NotifyIncidentSentinel).
    • Регион: выберите регион.
    • Тип плана: выберите «Потребление» для модели с оплатой по мере использования, которая идеально подходит для большинства сценариев Playbook.

  5. Нажмите «Просмотр + создать», а затем «Создать».

  6. После развертывания нажмите «Перейти к ресурсу», чтобы открыть конструктор Logic Apps.

3. Настройка триггера и действий Playbook

Откроется конструктор приложений логики с экраном шаблонов. Выберите «Пустое приложение логики».

  1. Настройте триггер. В поле поиска дизайнера введите «Microsoft Sentinel» и выберите триггер «При создании инцидента Microsoft Sentinel».

  2. Подключение к Sentinel. Если вы делаете это впервые, вам потребуется создать подключение к рабочей области Sentinel. Выполните аутентификацию с помощью учетной записи, имеющей необходимые разрешения.

  3. Добавить действие (отправить электронное письмо): нажмите «+ Новый шаг».

  4. В поле поиска введите «Отправить электронное письмо» и выберите действие «Отправить электронное письмо (V2)» из соединителя Office 365 Outlook (или другого поставщика электронной почты по вашему выбору).

  5. Настроить действие по электронной почте. Заполните поля электронной почты, используя динамическое содержимое из триггера инцидента Sentinel:

    • Кому: введите адрес электронной почты получателя (например: [email protected]).
    • Тема: «Новый инцидент Sentinel:» и выберите «Название инцидента» в динамическом контенте.
    • Тело. Создайте информативное тело электронного письма, включая сведения об инциденте:
      • Название: (выберите Название инцидента)
      • «Серьезность:» (выберите «Серьезность инцидента»)
      • Описание: (выберите Описание инцидента)
      • Ссылка на инцидент: (выберите URL инцидента)

  6. Нажмите Сохранить, чтобы сохранить Playbook.

4. Предоставление разрешений Playbook

Прежде чем Playbook сможет взаимодействовать с Sentinel и другими ресурсами, ему необходимы разрешения. Самый простой способ сделать это — назначить роль «Microsoft Sentinel Contributor» управляемому удостоверению Logic App.

  1. На портале Azure перейдите в рабочую область Azure Sentinel.
  2. На левой панели навигации выберите Контроль доступа (IAM).
  3. Нажмите «+Добавить» > «Добавить назначение роли».
  4. Роль: выберите «Участник Microsoft Sentinel».
  5. Участники: в разделе «Назначить доступ» выберите «Управляемое удостоверение».
  6. Нажмите «+Выбрать участников».

  7. Управляемая идентификация: выберите «Логическое приложение» и найдите свою книгу игр («NotifyIncidentSentinel»). Выберите его и нажмите «Выбрать».

  8. Нажмите «Просмотр + назначение», чтобы завершить.

5. Создание правила автоматизации для запуска Playbook

Теперь давайте создадим правило автоматизации в Sentinel, чтобы запускать Playbook при каждом создании нового инцидента.

  1. На портале Azure перейдите в рабочую область Azure Sentinel.
  2. На левой панели навигации выберите Автоматизация.
  3. Нажмите + Создать > Правило автоматизации.
  4. Имя правила автоматизации: дайте ему имя (например: «Уведомлять о новых инцидентах»).
  5. Триггер: выберите «При создании инцидента».
  6. Условия. Вы можете добавить условия, чтобы правило срабатывало только для определенных инцидентов (например: «Серьезность», «Равно», «Высокая»). В этом примере мы не будем добавлять условия, поэтому правило будет применяться ко всем новым инцидентам.
  7. Действия. В разделе «Действия» выберите «Запустить playbook».

  8. В раскрывающемся меню выберите P.созданный вами блокнот («NotifyIncidentSentinel»).

  9. Порядок: определите порядок выполнения правил (если правил несколько).

  10. Срок действия правила: укажите, должен ли срок действия правила в какой-то момент истечь.
  11. Нажмите «Применить», чтобы создать правило автоматизации.

Проверка и тестирование

Чтобы проверить автоматизацию, вам необходимо инициировать создание инцидента в Sentinel.

1. Запуск тестового инцидента

  1. На портале Azure перейдите в рабочую область Azure Sentinel.
  2. На левой панели навигации выберите Инциденты.
  3. Нажмите «+ Создать инцидент (предварительный просмотр)».
  4. Заполните сведения о тестовом инциденте (название, описание, серьезность и т. д.) и нажмите «Создать».

2. Проверка выполнения Playbook

  1. Проверить электронную почту: проверьте почтовый ящик получателя, который вы настроили в Playbook. Вы должны получить электронное письмо с подробной информацией о созданном вами тестовом инциденте.

  2. Проверьте историю выполнения Playbook. На портале Azure перейдите к своему приложению логики («NotifyIncidentSentinel»).

  3. На левой панели навигации выберите Обзор, а затем вкладку «История выполнения».
  4. Вы должны увидеть успешное выполнение, соответствующее тестовому инциденту. Нажмите на него, чтобы просмотреть подробную информацию о каждом шаге (триггер и действие).

Расширенный практический пример: блокировка вредоносного IP-адреса

Давайте создадим более продвинутый сценарий, который при получении инцидента с вредоносным IP-адресом добавляет этот IP-адрес в правило блокировки в группе безопасности сети Azure (NSG).

  1. Создайте новый Playbook. Выполните действия, описанные в разделе 2, чтобы создать новое приложение логики (например: «BloquearIPMalicioso»).
  2. Настройте триггер: используйте триггер «При создании инцидента Microsoft Sentinel».

  3. Добавить действие (Получить объекты инцидента). Добавьте новый шаг и найдите действие «Объекты — Получить IP-адреса» в соединителе «Microsoft Sentinel». Это позволит извлечь инцидентные IP-адреса.

  4. Добавить действие (цикл для каждого IP-адреса). Поскольку инцидент может иметь несколько IP-адресов, добавьте элемент управления «Для каждого», чтобы перебирать список IP-адресов, возвращенный предыдущим действием.

  5. Добавить действие (добавить IP-адрес в NSG). В цикле «Для каждого» добавьте действие соединителя «Azure NSG» под названием «Обновить группу безопасности сети».

    • Группа ресурсов: выберите группу ресурсов вашей группы безопасности сети.
    • Имя группы сетевой безопасности: выберите группу безопасности сети, которую хотите обновить.
    • Правила безопасности: добавьте новое правило безопасности со следующими свойствами:
      • Имя: BlockIP- (и добавьте динамический IP-адрес из цикла Для каждого).
      • Приоритет: установите высокий приоритет (например, 100).
      • Направление: Вход.
      • Доступ: «Запретить».
      • Протокол: Любой.
      • Диапазон исходных портов: *.
      • Диапазон портов назначения: *.
      • Адрес источника: выберите динамический IP-адрес цикла «Для каждого».
      • Адреса назначения: *.

  6. Сохранить и предоставить разрешения. Сохраните Playbook и предоставьте необходимые разрешения управляемому удостоверению Logic App (например, «Сетевой участник» в области NSG).

  7. Создать правило автоматизации. Создайте новое правило автоматизации в Sentinel, чтобы активировать этот Playbook, когда инцидент содержит вредоносный IP-адрес (например, на основе имени или тегов правила анализа).

Советы и рекомендации по безопасности

  • Использовать управляемые удостоверения: всегда используйте управляемые удостоверения для аутентификации Playbooks, а не для хранения учетных данных или ключей API.
  • Принцип минимальных привилегий для Playbooks: предоставляйте Playbooks только те разрешения, которые строго необходимы для выполнения их действий. Например, если Playbook нужно только читать данные, не предоставляйте разрешения на запись.
  • Тестирование в среде разработки. Прежде чем развертывать Playbooks в рабочей среде, тщательно протестируйте их в среде разработки или тестирования, чтобы избежать непредвиденных последствий.
  • Мониторинг Playbooks: отслеживайте историю запуска ваших Playbooks, чтобы обнаружить сбои или неожиданные запуски. Настройте оповещения о сбоях Playbook.
  • Документация. Четко документируйте, что делает каждый Playbook, какие у него есть разрешения и как он запускается. Это имеет решающее значение для обслуживания и аудита.
  • Контроль версий: используйте систему контроля версий.версию (например, Git) для управления исходным кодом ваших приложений логики (экспорт модели ARM), что позволяет отслеживать изменения и сотрудничать.
  • Одобрение деструктивных действий человеком. Для действий по исправлению ситуации, которые могут повлиять на производительность (например, изоляция критического сервера), рассмотрите возможность добавления в Playbook этапа одобрения человеком (например, отправка электронного письма с вариантами одобрения/отклонения через адаптивные карты).

Распространенное устранение неполадок

  • Playbook не запускается: проверьте правило автоматизации в Sentinel. Убедитесь, что инцидент соответствует условиям правила. Убедитесь, что триггер Playbook настроен правильно.
  • Не удалось запустить Playbook: проверьте историю запусков приложения логики, чтобы определить неудачный шаг и сообщение об ошибке. Общие причины включают недостаточные разрешения, неверные параметры или проблемы с подключением.
  • Ошибка разрешений. Убедитесь, что управляемое удостоверение Logic App имеет необходимые разрешения RBAC для ресурса, к которому оно пытается получить доступ (например, Sentinel, NSG, Azure AD).
  • Бесконечный цикл: будьте осторожны, чтобы Playbook не выполнял действие, которое, в свою очередь, снова запускает тот же инцидент, создавая бесконечный цикл. Чтобы предотвратить это, используйте условия в правилах автоматизации.
  • Проблемы с соединителем. Проверьте документацию по используемому вами соединителю Logic App на наличие известных ограничений или проблем. Проверьте, исправно ли соединение.

Заключение

Автоматизация реагирования на инциденты с помощью Playbooks в Azure Sentinel — это возможность преобразования для любой группы безопасности. Автоматизируя повторяющиеся задачи и организуя действия по устранению, организации могут значительно сократить время реагирования на угрозы, повысить эффективность SOC и обеспечить последовательное стандартизированное реагирование на инциденты. Гибкость Azure Logic Apps позволяет создавать рабочие процессы автоматизации — от простых уведомлений до сложных цепочек исправлений с помощью нескольких инструментов. Благодаря этому практическому руководству специалисты по безопасности будут хорошо подготовлены к использованию возможностей SOAR в Microsoft Sentinel, что сделает их операции по обеспечению безопасности более гибкими, эффективными и готовыми к решению проблем постоянно меняющегося ландшафта угроз.

Ссылки:

[1] Microsoft Learn. Автоматизируйте реагирование на угрозы с помощью правил автоматизации в Microsoft Sentinel. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/sentinel/automate-incident-handling-with-automation-rules [2] Microsoft Learn. Что такое SOAR (организация безопасности, автоматизация и реагирование)?. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/sentinel/what-is-soar [3] Microsoft Learn. Разрешения в Microsoft Sentinel. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/sentinel/roles. [4] Microsoft Learn. Создавайте сборники сценариев Microsoft Sentinel и управляйте ими. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/sentinel/automation/create-playbooks [5] Microsoft Learn. Создавайте и используйте правила автоматизации Azure Sentinel для управления ответами. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/sentinel/create-manage-use-automation-rules.