共用方式為

Microsoft Sentinel 中的自動化:安全性協調流程、自動化和回應 (SOAR)

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

安全性資訊與事件管理 (SIEM) 和安全性作業中心 (SOC) 小組常會週期性地面臨大量安全性警示和事件,其數量之大,讓可用人力疲於應付。 在許多警示經常遭到忽略且不少事件未經調查的情況下,使得組織更容易面臨未察覺的攻擊。

Microsoft Sentinel 除了是 SIEM 系統之外,也是安全性協調流程、自動化和回應的平台 (SOAR)。 其主要用途之一是將安全性作業中心和人員 (SOC/SecOps) 負責的任何週期性、可預測的擴充、回應和補救工作自動化、釋出時間和資源,以進行更深入的調查,以及搜捕進階威脅。

本文描述 Microsoft Sentinel 的 SOAR 功能,並說明如何使用自動化規則和劇本來回應安全性威脅,進而提升 SOC 的有效性,並節省您的時間和資源。

重要

Microsoft Sentinel 可做為 Microsoft Defender 入口網站中統一安全性作業平台的一部分。 現在支援 Defender 入口網站中的 Microsoft Sentinel 供實際執行環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

自動化規則

Microsoft Sentinel 會使用自動化規則,讓使用者從中央位置管理事件處理自動化。 使用自動化規則來:

  • 使用劇本將更進階的自動化指派給事件和警示
  • 不使用劇本自動標記、指派或關閉事件
  • 一次將多個分析規則的回應自動化
  • 建立分析人員在分級、調查和補救事件時所要執行的工作清單
  • 控制執行的動作順序

建議您在建立或更新事件時套用自動化規則,以進一步簡化自動化,並簡化事件協調流程的複雜工作流程。

如需詳細資訊,請參閱使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化

劇本

劇本集合了回應和補救動作,以及可從 Microsoft Sentinel 當作常式執行的邏輯。 劇本可以:

  • 協助協調並將威脅回應自動化
  • 與其他系統整合,包括內部和外部
  • 設定為自動執行以回應特定警示或事件,或視需要手動執行,例如回應新的警示

在 Microsoft Sentinel 中,劇本會以 Azure Logic Apps 內建的工作流程為基礎,這是一種雲端服務,可協助您跨整個企業的系統排程、自動化,以及協調工作和工作流程。 這表示,劇本可以利用 Logic Apps 整合和協調流程功能的所有能力和可自訂性,以及易於使用的設計工具,還有第 1 層 Azure 服務的可擴縮性、可靠性和服務層級。

如需詳細資訊,請參閱使用 Microsoft Sentinel 中的劇本將威脅回應自動化

使用整合安全性作業平台進行自動化

將 Microsoft Sentinel 工作區上線至整合安全性作業平台之後,請注意工作區中自動化功能的方式有下列差異:

功能 描述
具有警示觸發程序的自動化規則 在整合安全性作業平台中,具有警示觸發程序的自動化規則只會對 Microsoft Sentinel 警示採取動作。

如需詳細資訊,請參閱警示建立觸發程序
具有事件觸發程序的自動化規則 在 Azure 入口網站和整合安全性作業平台中,會移除 [事件提供者] 條件屬性,因為所有事件皆有 Microsoft Defender 全面偵測回應 做為事件提供者 (ProviderName 欄位中的值)。

此時,任何現有的自動化規則都會在 Microsoft sentinel 和 Microsoft Defender 全面偵測回應事件上執行,包括 [事件提供者] 條件設定為僅 Microsoft SentinelMicrosoft 365 Defender 的事件。

不過,指定特定分析規則名稱的自動化規則只會在指定分析規則所建立的事件上執行。 這表示您可以將 [分析規則名稱] 條件屬性定義為只存在於 Microsoft Sentinel 中的分析規則,以將您的規則限制為只在 Microsoft Sentinel 中執行。

如需詳細資訊,請參閱事件觸發條件
變更現有事件的名稱 在統一 SOC 作業平台中,Defender 入口網站會使用唯一的引擎來將事件和警示相互關聯。 將工作區上線至統一 SOC 作業平台時,如果套用了相互關聯,可能會變更現有的事件名稱。 為確保自動化規則一律正確執行,因此建議您避免在自動化規則中使用事件標題,並建議改用標籤。
[更新者] 欄位
  • 將工作區上線之後,[更新者] 欄位有一組新的支援值,其中不再包含 Microsoft 365 Defender。 在現有的自動化規則中,Microsoft 365 Defender 會在上線工作區之後,取代為 Other 的值。

  • 如果在 5-10 分鐘內對相同事件進行多個變更,則只會將單一更新傳送至 Microsoft Sentinel,且只有最新的變更。

    如需詳細資訊,請參閱事件更新觸發程序
    		•
    新增事件工作的自動化規則 如果自動化規則新增事件工作,則工作只會顯示在 Azure 入口網站中。
    Microsoft 事件建立規則 整合安全性作業平台不支援 Microsoft 事件建立規則。

    如需詳細資訊,請參閱 Microsoft Defender 全面偵測回應事件和 Microsoft 事件建立規則
    從 Defender 入口網站執行自動化規則 最多可能需要 10 分鐘的時間,觸發才會警示,並且當執行自動化規則時,在 Defender 入口網站中建立或更新事件。 這個時間延遲是因為事件是在 Defender 入口網站中建立,然後轉送至 Microsoft Defender 進行自動化規則。
    [使用中的劇本] 索引標籤 上線至整合安全性作業平台之後,根據預設,[作用中劇本] 索引標籤會顯示預先定義的篩選,其中包含已上線工作區的訂用帳戶。 在 Azure 入口網站中,使用訂用帳戶篩選來新增其他訂用帳戶的資料。

    如需詳細資訊,請參閱從內容範本建立及自訂 Microsoft Sentinel 劇本
    視需要手動執行劇本 整合安全性作業平台目前不支援下列程序:
  • 在警示上手動執行劇本
  • 以手動方式對實體執行劇本
    		•
    在事件上執行劇本需要 Microsoft Sentinel 同步處理 如果您嘗試從整合安全性作業平台在事件上執行劇本,並看到「無法存取與此動作相關的資料。在幾分鐘內重新整理畫面。」訊息,這表示事件尚未同步處理至 Microsoft Sentinel。

    在事件同步處理之後重新整理事件頁面,以順利執行劇本。
    事件:將警示新增至事件 /
    從事件中移除警示    		 將工作區上線至統一安全性作業平台之後,由於不支援將警示新增至事件或從事件中移除,因此劇本內也不支援這些動作。 如需詳細資訊,請參閱 入口網站之間的功能差異

    相關內容