教程：在 Azure Sentinel 中設(shè)置自動(dòng)威脅響應(yīng)

本教程可幫助你在Azure Sentinel中使用安全性playbook來(lái)對(duì)Azure Sentinel檢測(cè)到的安全相關(guān)問(wèn)題設(shè)置自動(dòng)威脅響應(yīng)。

·了解playbook

·創(chuàng)建playbook

·運(yùn)行playbook

·自動(dòng)響應(yīng)威脅

Azure Sentinel中的安全性playbook是指什么？

安全性playbook是在Azure Sentinel中運(yùn)行以響應(yīng)警報(bào)的一個(gè)流程集合。安全性playbook可幫助自動(dòng)處理和編排響應(yīng)，它可手動(dòng)運(yùn)行，也可設(shè)置為在觸發(fā)特定警報(bào)時(shí)自動(dòng)運(yùn)行。Azure Sentinel中的安全性playbook基于Azure邏輯應(yīng)用，這意味著你可獲得邏輯應(yīng)用的所有功能、自定義能力和內(nèi)置模板。每個(gè)playbook都是針對(duì)所選的特定訂閱創(chuàng)建的，但當(dāng)你查看Playbook頁(yè)面時(shí)，你將看到所有選定訂閱中的全部playbook。

備注

Playbook使用Azure邏輯應(yīng)用，因此要收費(fèi)。有關(guān)更多詳細(xì)信息，請(qǐng)?jiān)L問(wèn)Azure邏輯應(yīng)用定價(jià)頁(yè)。

例如，如果擔(dān)心惡意攻擊者會(huì)訪問(wèn)你的網(wǎng)絡(luò)資源，則可設(shè)置一條警報(bào)來(lái)監(jiān)視訪問(wèn)你的網(wǎng)絡(luò)的惡意IP地址。然后，可創(chuàng)建一個(gè)執(zhí)行以下操作的playbook：

1.觸發(fā)警報(bào)時(shí)，在ServiceNow或任意其他IT票證系統(tǒng)中的打開(kāi)一個(gè)票證。

2.向Microsoft Teams或Slack中的安全操作頻道發(fā)送一條消息，確保你的安全分析師注冊(cè)到此事件。

3.將警報(bào)中的所有信息發(fā)送給高級(jí)網(wǎng)絡(luò)管理員和安全管理員。該電子郵件中還包含“阻止”和“忽略”這兩個(gè)用戶選項(xiàng)按鈕。

4.在收到來(lái)自管理員的答復(fù)后，playbook繼續(xù)運(yùn)行。

5.如果管理員選擇“阻止”，則在防火墻中阻止該IP地址并在Azure AD中禁用該用戶。

6.如果管理員選擇“忽略”，則在Azure Sentinel中關(guān)閉此警報(bào)并在ServiceNow中關(guān)閉此事件。

安全性playbook既可手動(dòng)運(yùn)行，也可自動(dòng)運(yùn)行。手動(dòng)運(yùn)行是指在收到警報(bào)后，可選擇按需運(yùn)行playbook作為所選警報(bào)的響應(yīng)。自動(dòng)運(yùn)行是指在創(chuàng)建相關(guān)性規(guī)則時(shí)，將其設(shè)置為在觸發(fā)警報(bào)時(shí)自動(dòng)運(yùn)行一個(gè)或多個(gè)playbook。

創(chuàng)建安全性playbook

按照以下步驟在Azure Sentinel中創(chuàng)建新的安全性playbook：

1.打開(kāi)“Azure Sentinel”儀表板。

2.在“配置”下選擇“Playbook”。

3.在“Azure Sentinel-Playbook”頁(yè)中，單擊“添加”按鈕。

4.在“創(chuàng)建邏輯應(yīng)用”頁(yè)面上，鍵入所請(qǐng)求的信息以創(chuàng)建新的邏輯應(yīng)用，然后單擊“創(chuàng)建”。

5.在邏輯應(yīng)用設(shè)計(jì)器中，選擇要使用的模板。如果選擇必須使用憑據(jù)的模板，則必須提供憑據(jù)?；蛘?，可從頭開(kāi)始創(chuàng)建新的空白playbook。選擇“空白邏輯應(yīng)用”。

6.你將轉(zhuǎn)到邏輯應(yīng)用設(shè)計(jì)器，可在此處構(gòu)建新的模板或編輯模板。詳細(xì)了解如何使用邏輯應(yīng)用創(chuàng)建playbook。

7.若要?jiǎng)?chuàng)建空白playbook，請(qǐng)?jiān)凇八阉魉羞B接器和觸發(fā)器”字段中，鍵入Azure Sentinel，再選擇“當(dāng)觸發(fā)對(duì)Azure Sentinel警報(bào)的響應(yīng)時(shí)”。

8.創(chuàng)建后，新的playbook顯示在“Playbook”列表中。如果未顯示，請(qǐng)單擊“刷新”。

使用獲取實(shí)體函數(shù)，使你能夠從實(shí)體列表中獲取相關(guān)實(shí)體，例如帳戶、IP地址和主機(jī)。這使你可以對(duì)特定實(shí)體運(yùn)行操作。

9.現(xiàn)在可以定義觸發(fā)攻略時(shí)的響應(yīng)?？商砑硬僮?、邏輯條件、switch case條件或循環(huán)。

如何運(yùn)行安全性playbook

可按需運(yùn)行playbook。

要按需運(yùn)行playbook：

1.在“事件”頁(yè)中，選擇一個(gè)事件并單擊“查看完整詳細(xì)信息”。

2.在“警報(bào)”選項(xiàng)卡中，單擊要對(duì)其運(yùn)行playbook的警報(bào)，然后一直滾動(dòng)到右側(cè)，單擊“查看playbook”，再選擇要從訂閱上可用playbook列表運(yùn)行的playbook。

自動(dòng)響應(yīng)威脅

SIEM/SOC團(tuán)隊(duì)可能會(huì)定期收到海量的安全警報(bào)。生成的警報(bào)量如此之大，以致于現(xiàn)有的安全管理員不堪重負(fù)。這往往會(huì)導(dǎo)致以下情況：無(wú)法調(diào)查很多警報(bào)，使得組織易于在未注意到的情況下遭受攻擊。

這些警報(bào)中的許多（如果不是大多數(shù)）警報(bào)都符合定期模式，可通過(guò)特定的修正操作和定義的修正操作進(jìn)行處理。Azure Sentinel已允許在Playbook中定義修正操作。此外，還可以將實(shí)時(shí)自動(dòng)化設(shè)置為Playbook定義的一部分，以便能夠完全自動(dòng)化對(duì)特定安全警報(bào)的定義響應(yīng)。使用實(shí)時(shí)自動(dòng)化，響應(yīng)團(tuán)隊(duì)可以大幅減少其工作量，因?yàn)樗麄兛梢酝耆詣?dòng)化對(duì)重復(fù)出現(xiàn)的警報(bào)類型的常規(guī)響應(yīng)，從而讓你可以更專注于處理獨(dú)特警報(bào)，分析模式和搜尋威脅等活動(dòng)。

若要實(shí)現(xiàn)自動(dòng)響應(yīng)，請(qǐng)執(zhí)行以下操作：

1.選擇要對(duì)其實(shí)現(xiàn)自動(dòng)響應(yīng)的警報(bào)。

2.在“編輯警報(bào)規(guī)則”頁(yè)的“實(shí)時(shí)自動(dòng)化”下，選擇要在匹配此警報(bào)規(guī)則時(shí)運(yùn)行的“觸發(fā)的Playbook”。

3.選擇“保存”。