Azure Sentinel'de Playbook'larla Olay Yanıtlarını Otomatikleştirme

Azure Sentinel'de Playbook'larla Olay Yanıtlarını Otomatikleştirme

01/11/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, Microsoft Sentinel'deki Playbook'ları kullanarak güvenlik olaylarına yanıt verme işlemini otomatikleştirme konusunda rehberlik etmeyi amaçlamaktadır. Azure Logic Apps tabanlı Playbook'lar, Sentinel'in Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) özelliğinin temel bir bileşeni olup, güvenlik ekiplerinin tekrarlanan görevleri otomatikleştirmesine, karmaşık iş akışlarını düzenlemesine ve tehditlere daha hızlı ve daha tutarlı yanıt vermesine olanak tanır [1].

Giriş

Modern bir Güvenlik Operasyon Merkezinde (SOC), uyarıların ve olayların hacmi çok yüksek olabilir. Güvenlik analistleri, uyarıların önceliklendirilmesi, verilerin zenginleştirilmesi, paydaşların bilgilendirilmesi ve temel iyileştirme eylemlerinin gerçekleştirilmesi gibi manuel, tekrarlanan görevlere önemli miktarda zaman harcıyor. Bu ek yük yalnızca ortalama yanıt süresini (MTTR) artırmakla kalmaz, aynı zamanda analistlerin dikkatini daha karmaşık tehditlerden ve derinlemesine araştırmalardan uzaklaştırır. Microsoft Sentinel, SOAR yetenekleriyle, Playbook'lar [2] aracılığıyla olay müdahale otomasyonunu etkinleştirerek bu zorluğun üstesinden gelir.

Bu pratik kılavuz, Sentinel'deki Playbook'ların ve otomasyon kurallarının temel kavramlarını, Azure Logic Apps kullanarak Playbook oluşturma sürecini, Playbook'ları analiz ve otomasyon kurallarıyla tümleştirmeyi ve bildirim gönderme, kötü amaçlı IP adreslerini engelleme ve güvenliği ihlal edilmiş ana bilgisayarları izole etme gibi pratik otomasyon örneklerini kapsayacaktır. Okuyucunun olay müdahale otomasyonunu uygulayabilmesi ve doğrulayabilmesi, güvenlik operasyonlarını optimize edebilmesi ve kuruluşun savunma duruşunu güçlendirebilmesi için adım adım talimatlar ve örnek iş akışları sağlanacaktır.

Sentinel'de Playbook'larla Otomasyon neden önemlidir?

  • Daha Az Yanıt Süresi (MTTR): Bir IP'nin engellenmesi veya bir kullanıcı hesabının devre dışı bırakılması gibi acil düzeltme eylemlerini otomatikleştirerek tehdidin etkin kalma süresini azaltır.
  • Artırılmış SOC Verimliliği: Güvenlik analistlerini tekrar eden görevlerden kurtararak karmaşık araştırmalara ve tehdit avcılığına odaklanmalarına olanak tanır.
  • Tutarlılık ve Standardizasyon: Olay müdahalelerinin standartlaştırılmış ve belgelenmiş bir süreci takip etmesini sağlayarak insan hatalarını azaltır ve uyumluluk sağlar.
  • Ölçeklenebilirlik: SOC'nin, ekibi orantılı olarak artırmaya gerek kalmadan artan miktardaki uyarılarla başa çıkmasına olanak tanır.
  • Araç Düzenleme: Tüm güvenlik ekosistemindeki yanıtları düzenlemek için çok çeşitli hizmet ve araçlarla (Azure, Microsoft 365 ve üçüncü taraf çözümler) entegre olur.
  • Veri Zenginleştirme: Öncelik belirleme ve araştırmayı hızlandırmak için birden fazla kaynaktan (ör. tehdit istihbaratı, kullanıcı bilgileri, cihaz verileri) bağlamsal bilgilerin toplanmasını otomatikleştirir.

Önkoşullar

Azure Sentinel'de Playbooks ile yanıtları otomatikleştirmek için aşağıdaki öğelere ihtiyacınız olacak:

  1. Etkin Microsoft Sentinel Çalışma Alanı: Microsoft Sentinel çözümünün etkin olduğu bir Log Analytics çalışma alanı.
  2. Yönetim Erişimi: Logic Apps dahil olmak üzere Azure'da kaynak oluşturma ve yönetme izinlerine ve Sentinel çalışma alanında "Microsoft Sentinel Katılımcısı" veya "Microsoft Sentinel Yanıtlayıcısı" rolüne sahip bir hesap [3].
  3. Yapılandırılmış Veri Bağlayıcıları: Uyarılar ve olaylar oluşturmak için Sentinel'e bağlı veri kaynakları (ör. Azure Active Directory, Bulut için Microsoft Defender vb.).
  4. Analiz Kuralları Etkin: Tehditleri tespit etmek ve alınan verilerden olaylar oluşturmak için yapılandırılmış analiz kuralları.

Adım Adım: Yanıtları Başucu Kitaplarıyla Otomatikleştirme

Bir güvenlik olayına müdahale etmek için bir Başucu Kitabı oluşturalım ve otomatikleştirelim.

1. Sentinel Otomasyon Bileşenlerini Anlamak

  • Başucu Kitapları: Bunlar, bir uyarı veya olaya yanıt olarak Microsoft Sentinel'den çalıştırılabilecek prosedürler topluluğudur. Playbook'lar, Azure Logic Apps temel alınarak oluşturulmuştur ve e-posta gönderme, ITSM sistemlerinde destek bildirimleri oluşturma, güvenlik duvarında IP'leri engelleme vb. gibi bir dizi eylemi içerebilir. [4].
  • Otomasyon Kuralları: Bunlar inci'nin otomasyonunu yönetmenizi sağlayan kurallardır.Sentinel'deki dişler. Olayları atamak, durumlarını değiştirmek, etiket eklemek ve en önemlisi Playbook'ları çalıştırmak için kullanılabilirler. Otomasyon kuralları, Playbook'lar için merkezi "tetikleyici" görevi görür [5].

2. Başucu Kitabı Oluşturma (Azure Logic Uygulaması)

Bir Sentinel olayı tarafından tetiklendiğinde olayın ayrıntılarını içeren bir e-posta bildirimi gönderen basit bir Başucu Kitabı oluşturalım.

  1. Tarayıcınızı açın ve Azure portalına gidin: https://portal.azure.com.
  2. Üstteki arama alanına 'Logic Apps' yazın ve sonuçlardan seçin.
  3. Yeni bir Mantıksal Uygulama oluşturmak için '+Ekle'ye tıklayın.

  4. Temel Bilgiler:

    • Abonelik: Aboneliğinizi seçin.
    • Kaynak Grubu: Bir kaynak grubu seçin (Sentinel çalışma alanınızdakiyle aynı olanı kullanmanız önerilir).
    • Mantıksal Uygulama Adı: Başucu Kitabınıza bir ad verin (ör. NotifyIncidentSentinel).
    • Bölge: Bölgeyi seçin.
    • Plan Türü: Çoğu Başucu Kitabı senaryosu için ideal olan kullandıkça öde modeli için "Tüketim"i seçin.

  5. 'İncele + oluştur'u ve ardından 'Oluştur'u tıklayın.

  6. Dağıtımdan sonra Logic Apps Designer'ı açmak için 'Kaynağa git' seçeneğine tıklayın.

3. Başucu Kitabı Tetikleyicisini ve Eylemlerini Yapılandırma

Mantıksal Uygulama Tasarımcısı bir şablon ekranıyla açılacaktır. 'Boş Mantık Uygulaması'nı seçin.

  1. Tetikleyiciyi Yapılandırın: Tasarımcı arama alanına "Microsoft Sentinel" yazın ve "Microsoft Sentinel olayı oluşturulduğunda" tetikleyicisini seçin.

  2. Sentinel'e bağlanın: Bu ilk seferinizse, Sentinel çalışma alanınızla bir bağlantı oluşturmanız gerekecektir. Gerekli izinlere sahip bir hesapla kimlik doğrulaması yapın.

  3. Eylem Ekle (E-posta Gönder): '+ Yeni adım'a tıklayın.

  4. Arama alanına 'E-posta gönder' yazın ve 'Office 365 Outlook' bağlayıcısından (veya seçtiğiniz başka bir e-posta sağlayıcısından) 'E-posta gönder (V2)' eylemini seçin.

  5. E-posta Eylemini Yapılandır: Sentinel olay tetikleyicisinden gelen dinamik içeriği kullanarak e-posta alanlarını doldurun:

    • Kime: Alıcının e-posta adresini girin (ör. [email protected]).
    • Konu: Yeni Sentinel Olayı: ve dinamik içerikten `Olay Başlığı'nı seçin.
    • Gövde: Olay ayrıntılarını içeren bilgilendirici bir e-posta metni oluşturun:
      • Başlık: (Olay Başlığını seçin)
      • Önem Derecesi: (Olayın Önem Derecesini seçin)
      • Açıklama: (Olay Açıklamasını seçin)
      • Olay bağlantısı: (Olay URL'sini seçin)

  6. Başucu Kitabı'nı kaydetmek için Kaydet'i tıklayın.

4. Başucu Kitabı İzinlerini Verme

Playbook'un Sentinel ve diğer kaynaklarla etkileşime girebilmesi için izinlere ihtiyacı var. Bunu yapmanın en kolay yolu, Logic App tarafından yönetilen kimliğe 'Microsoft Sentinel Contributor' rolünü atamaktır.

  1. Azure portalında Azure Sentinel çalışma alanınıza gidin.
  2. Sol gezinme bölmesinde Erişim Kontrolü (IAM) seçeneğini seçin.
  3. "+Ekle" > "Rol ataması ekle"yi tıklayın.
  4. Rol: 'Microsoft Sentinel Contributor'u seçin.
  5. Üyeler: "Erişim ata"nın altında "Yönetilen Kimlik"i seçin.
  6. '+Üyeleri Seç'i tıklayın.

  7. Yönetilen kimlik: "Mantıksal Uygulama"yı seçin ve Başucu Kitabınızı ("NotifyIncidentSentinel") arayın. Onu seçin ve 'Seç'i tıklayın.

  8. Bitirmek için 'İncele + Ata'yı tıklayın.

5. Başucu Kitabı'nı Tetiklemek için Otomasyon Kuralı Oluşturma

Şimdi, yeni bir olay oluşturulduğunda Başucu Kitabı'nı çalıştırmak için Sentinel'de bir otomasyon kuralı oluşturalım.

  1. Azure portalında Azure Sentinel çalışma alanınıza gidin.
  2. Sol gezinme bölmesinde Otomasyon'u seçin.
  3. '+ Oluştur' > 'Otomasyon kuralı'nı tıklayın.
  4. Otomasyon kuralı adı: Buna bir ad verin (ör. "Yeni Olayları Bildir").
  5. Tetikleyici: 'Olay oluşturulduğunda' seçeneğini seçin.
  6. Koşullar: Kuralın yalnızca belirli olaylar için tetiklenmesini sağlayacak koşullar ekleyebilirsiniz (ör. "Önem Derecesi" "Eşittir" "Yüksek"). Bu örnekte koşul eklemeyeceğiz, dolayısıyla kural tüm yeni olaylara uygulanacaktır.
  7. Eylemler: "Eylemler"in altında "Çalışma kitabını çalıştır"ı seçin.

  8. Açılır menüden P'yi seçin.oluşturduğunuz çalışma kitabı (NotifyIncidentSentinel).

  9. Sıra: Kural yürütme sırasını tanımlayın (birden fazla kural varsa).

  10. Kuralın sona ermesi: Kuralın bir noktada süresinin dolması gerekip gerekmediğini tanımlayın.
  11. Otomasyon kuralını oluşturmak için 'Uygula'ya tıklayın.

Doğrulama ve Test Etme

Otomasyonu doğrulamak için Sentinel'de bir olayın oluşturulmasını tetiklemeniz gerekir.

1. Test Olayını Tetiklemek

  1. Azure portalında Azure Sentinel çalışma alanınıza gidin.
  2. Sol gezinme bölmesinde Olaylar'ı seçin.
  3. + Olay Oluştur (Önizleme) seçeneğini tıklayın.
  4. Test olayı ayrıntılarını (başlık, açıklama, önem derecesi vb.) doldurun ve 'Oluştur'u tıklayın.

2. Başucu Kitabının Yürütülmesini Doğrulama

  1. E-postayı Kontrol Et: Alıcının Playbook'ta ayarladığınız gelen kutusunu kontrol edin. Oluşturduğunuz test olayının ayrıntılarını içeren bir e-posta alacaksınız.

  2. Playbook Yürütme Geçmişini Kontrol Edin: Azure portalında Mantık Uygulamanıza ("NotifyIncidentSentinel") gidin.

  3. Sol gezinme bölmesinde Genel Bakış'ı ve ardından 'Çalıştırma Geçmişi' sekmesini seçin.
  4. Test olayına karşılık gelen başarılı bir yürütme görmelisiniz. Her adımın ayrıntılarını (tetikleyici ve eylem) görmek için üzerine tıklayın.

İleri Düzey Pratik Örnek: Kötü Amaçlı IP'yi Engelleyin

Kötü amaçlı bir IP adresine sahip bir olay alındığında bu IP'yi bir Azure Ağ Güvenlik Grubundaki (NSG) bir engelleme kuralına ekleyen daha gelişmiş bir Başucu Kitabı oluşturalım.

  1. Yeni bir Başucu Kitabı oluşturun: Yeni bir Logic Uygulaması (ör. BloquearIPMalicioso) oluşturmak için bölüm 2'deki adımları izleyin.
  2. Tetikleyiciyi Yapılandırın: "Microsoft Sentinel olayı oluşturulduğunda" tetikleyicisini kullanın.

  3. Eylem Ekle (Olay Varlıklarını Al): Yeni bir adım ekleyin ve "Microsoft Sentinel" bağlayıcısından "Varlıklar - IP'leri Al" eylemini arayın. Bu, olay IP adreslerini çıkaracaktır.

  4. Eylem Ekle (Her IP için döngü): Bir olayın birden fazla IP'si olabileceğinden, önceki eylemin döndürdüğü IP'lerin listesini yinelemek için bir "Her biri için" kontrolü ekleyin.

  5. Eylem Ekle (NSG'ye IP Ekle): "Her biri için" döngüsünün içine, "Bir ağ güvenlik grubunu güncelle" adı verilen bir "Azure NSG" bağlayıcı eylemi ekleyin.

    • Kaynak Grubu: NSG'nizin kaynak grubunu seçin.
    • Ağ Güvenliği Grup Adı: Güncellemek istediğiniz NSG'yi seçin.
    • Güvenlik Kuralları: Aşağıdaki özelliklere sahip yeni bir güvenlik kuralı ekleyin:
      • Ad: "BlockIP-" (ve "Her biri için" döngüsünden dinamik IP'yi ekleyin).
      • Öncelik: Yüksek bir öncelik ayarlayın (ör. 100).
      • Yön: 'Giriş'.
      • Erişim: 'Reddet'.
      • Protokol: "Herhangi biri".
      • Kaynak Bağlantı Noktası Aralığı: *.
      • Hedef Bağlantı Noktası Aralığı: *.
      • Kaynak Adresi: "Her biri için" döngüsünün dinamik IP'sini seçin.
      • Hedef Adresler: *.

  6. İzinleri Kaydetme ve Verme: Başucu Kitabı'nı kaydedin ve Logic App tarafından yönetilen kimliğe gerekli izinleri verin (örneğin, NSG kapsamındaki 'Ağ Katılımcısı').

  7. Otomasyon Kuralı Oluşturun: Bir olay kötü amaçlı bir IP içerdiğinde (ör. analiz kuralı adı veya etiketlerine dayalı olarak) bu Başucu Kitabı'nı tetiklemek için Sentinel'de yeni bir otomasyon kuralı oluşturun.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Yönetilen Kimlikleri Kullan: Playbook'ların kimliğini doğrulamak için kimlik bilgilerini veya API anahtarlarını depolamak yerine her zaman yönetilen kimlikleri kullanın.
  • Başucu Kitapları için En Az Ayrıcalık İlkesi: Başucu Kitaplarına yalnızca eylemlerini gerçekleştirmek için kesinlikle gerekli olan izinleri verin. Örneğin, bir Başucu Kitabının yalnızca veri okuması gerekiyorsa yazma izni vermeyin.
  • Geliştirme Ortamında Test: Başucu Kitaplarını üretimde dağıtmadan önce, istenmeyen sonuçlardan kaçınmak için bunları bir geliştirme veya test ortamında kapsamlı bir şekilde test edin.
  • Playbooks İzleme: Arızaları veya beklenmeyen çalıştırmaları tespit etmek için Playbook'larınızın çalıştırma geçmişini izleyin. Playbook hataları için uyarıları yapılandırın.
  • Belgeleme: Her Başucu Kitabının ne yaptığını, hangi izinlere sahip olduğunu ve nasıl tetiklendiğini açıkça belgeleyin. Bu, bakım ve denetim açısından çok önemlidir.
  • Sürüm Kontrolü: Bir sürüm kontrol sistemi kullanınMantıksal Uygulamalarınızın kaynak kodunu yönetmek (ARM modelini dışa aktarmak) için değişiklik izleme ve işbirliğine olanak tanıyan sürüm (örn. Git).
  • Yıkıcı Eylemler için İnsan Onayı: Üretimi etkileyebilecek iyileştirme eylemleri için (ör. kritik bir sunucuyu izole etmek), Başucu Kitabı'na bir insan onayı adımı eklemeyi düşünün (ör. Uyarlanabilir Kartlar aracılığıyla onaylama/reddetme seçeneklerini içeren bir e-posta göndermek).

Genel Sorun Giderme

  • Playbook tetiklenmiyor: Sentinel'deki otomasyon kuralını kontrol edin. Olay tarafından kural koşullarının karşılandığından emin olun. Playbook tetikleyicisinin doğru şekilde yapılandırıldığını doğrulayın.
  • Playbook çalışmıyor: Başarısız adımı ve hata mesajını belirlemek için Logic App çalıştırma geçmişini kontrol edin. Yaygın nedenler arasında yetersiz izinler, yanlış parametreler veya bağlantı sorunları yer alır.
  • İzin hatası: Mantıksal Uygulama tarafından yönetilen kimliğin, erişmeye çalıştığı kaynakta (ör. Sentinel, NSG, Azure AD) gerekli RBAC izinlerine sahip olduğunu doğrulayın.
  • Sonsuz döngü: Başucu Kitabının aynı olayı tekrar tetikleyerek sonsuz bir döngü oluşturacak bir eylem gerçekleştirmemesine dikkat edin. Bunu önlemek için otomasyon kurallarındaki koşulları kullanın.
  • Bağlayıcı Sorunları: Bilinen sınırlamalar veya sorunlar için kullandığınız Logic App bağlayıcının belgelerine bakın. Bağlantının sağlıklı olup olmadığını kontrol edin.

Sonuç

Azure Sentinel'deki Playbook'larla olaylara müdahaleyi otomatikleştirmek, her güvenlik ekibi için dönüştürücü bir özelliktir. Kuruluşlar, tekrarlanan görevleri otomatikleştirerek ve iyileştirme eylemlerini düzenleyerek, tehdit yanıt süresini önemli ölçüde azaltabilir, SOC verimliliğini artırabilir ve tutarlı, standartlaştırılmış bir olay yanıtı sağlayabilir. Azure Logic Apps'in esnekliği, basit bildirimlerden birden çok araçtaki karmaşık iyileştirme zincirlerine kadar otomasyon iş akışları oluşturmanıza olanak tanır. Bu pratik kılavuzla güvenlik profesyonelleri, Microsoft Sentinel'deki SOAR'ın gücünden yararlanmak için iyi bir donanıma sahip olacak, böylece güvenlik operasyonlarını daha çevik, etkili ve sürekli gelişen tehdit ortamının zorluklarıyla başa çıkmaya hazır hale getirecekler.

Referanslar:

[1] Microsoft Learn. Microsoft Sentinel'deki otomasyon kurallarıyla tehdit yanıtını otomatikleştirin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/automate-incident-handling-with-automation-rules [2] Microsoft Learn. SOAR nedir (güvenlik düzenlemesi, otomasyon ve yanıt)?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/what-is-soar [3] Microsoft Learn. Microsoft Sentinel'deki izinler. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/roles [4] Microsoft Learn. Microsoft Sentinel oyun kitaplarını oluşturun ve yönetin. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/automation/create-playbooks [5] Microsoft Learn. Yanıtı yönetmek için Azure Sentinel otomasyon kuralları oluşturun ve kullanın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/azure/sentinel/create-manage-use-automation-rules