MS Sentinel的自動化

Dec 24, 2024

Microsoft Sentinel 除了是SIEM(Security Information and Event Management)系統之外，也是SOAR(Security Orchestration, Automation, and Response)的平台。其主要目的之一是自動執行由 SOC/SecOps 負責的任何重複性和可預測的加料、回應和修復任務。

自動化選項

Microsoft Sentinel 中的自動化採用了幾種不同的形式。從集中管理事故處理和回應自動化的自動化規則，到執行預定作業序列的playbook，為威脅回應任務提供強大且靈活的進階自動化。

自動化規則

自動化規則允許使用者集中管理事故處理的自動化。自動化規則還允許同時自動回應多個分析規則。無需Playbook即可自動標記、指派或關閉事故，並控制執行操作的順序。自動化規則將簡化 Microsoft Sentinel 中的自動化運用，並能夠簡化事故編排流程的複雜作業。

Playbooks

Playbooks是回應和補救操作以及邏輯的集合，可以作為一個routine從 Microsoft Sentinel 運行。Playbooks可以幫助自動化和協調威脅回應。它可以與內部和外部的其他系統整合，並且可以設定為在分別由分析規則或自動化規則觸發時自動運行，以回響特定的告警或事故。它還可以根據需要從事故頁面手動運行，以回響警報。

Microsoft Sentinel 中的 Playbook 是基於 Azure Logic Apps內建的工作流程，Azure Logic Apps是一種雲端服務，可跨整個企業的系統排程、自動化和編排任務和工作流程。這意味著 Playbook 可以利用邏輯應用的整合和編排功能以及易於使用的設計工具的所有功能和可自訂性，以及Tier 1 Azure 服務的可擴展性、可靠性和服務等級。

建立自動化規則

可以根據特定需求和用例，從 Microsoft Sentinel 體驗中的不同點建立和管理自動化規則。

Automation blade

自動化規則可以在Automation rules頁籤下的new Automation blade（取代了 Playbooks 側邊欄標籤）中進行集中管理。（也可以在此側邊欄標籤的「Playbooks」頁籤下管理 Playbook。）從那裡，可以建立新的自動化規則並編輯現有規則。也可以拖曳自動化規則來變更執行順序，並啟用或停用它們。

在Automation blade中，可以看到工作區中定義的所有規則及其狀態（啟用/停用）以及它們套用到的分析規則。

當需要適用於許多分析規則的自動化規則時，直接在Automation blade中建立它。從頂部選單中，選擇“Create and Add new rule”，這將開啟“ Create new automation rule”面板。可以將其應用於任何分析規則（包括未來的規則）並定義最廣泛的條件和操作。

Analytics rule wizard

在分析規則精靈的Automated response頁籤中，我們可以檢視、管理和建立適用於在精靈中建立或編輯的特定分析規則的自動化規則。

當您從「Analytics blade」的頂部功能表中選擇「Create」和一種規則類型（Scheduled query rule or Microsoft incident creation rule）時，或選擇現有分析規則並選擇「編輯」時，將開啟規則精靈。當選擇「Automated response」頁籤時，將看到一個名為「Incident automation」的部分，在該部分下將顯示目前應用於此規則的自動化規則。可以選擇現有的自動化規則進行編輯，或選擇「新增規則」來建立新規則。

我們會看到，當從此處建立自動化規則時，建立新的自動化規則面板會將分析規則條件顯示為不可用，因為該規則已設定為僅套用於我們在精靈中編輯的分析規則。所有其他配置選項仍然可供您使用。

Incidents blade

也可以從「Incidents blade」頁籤建立自動化規則，以回應單一重複發生的事故。在建立自動關閉「noisy」事故的抑制規則時，這非常有用。從佇列中選擇一個事故，然後從頂部選單中選擇建立自動化規則。

我們會注意到「Create new automation rule」面板已使用事故中的值填入所有欄位。它將規則命名為與事故相同的名稱，將其應用於產生事故的分析規則，並使用事故中的所有可用實體作為規則的條件。它還建議預設採取抑制（關閉）操作，並建議規則的到期日期。可以根據需要新增或刪除條件和操作，並變更到期日期。

自動規則的組件

觸發器(Trigger)：
自動化規則是由事故的建立所觸發的。

回顧事故是透過分析規則根據告警創建的，其中有多種類型，如使用 Microsoft Sentinel 中的內建分析規則偵測威脅中所述。

條件(Conditions)：
可以定義複雜的條件集來控制何時運行操作。這些條件通常是基於事故及其實體的屬性的狀態或值，並且它們可以包括 AND/OR/NOT/CONTAINS operators。

行動(Actions)：
可以定義在滿足條件時執行的操作。可以在規則中定義許多操作，並且可以選擇它們的運行順序。可以使用自動化規則定義以下操作，而不需要Palybook的進階功能：

變更事故的狀態，使工作流程保持最新狀態。
變更為「關閉」時，說明關閉原因並新增註解。這可以幫助追蹤效能和有效性，並進行微調以減少誤報。
變更事故的嚴重性 — 可以根據事故中涉及的實體的存在、不存在、值或屬性來重新評估並重新確定優先順序。
將事故分配給所有者 — 這有助於將事故類型分配給最適合處理事件的人員或最有空的人員。
為事故新增標籤 — 這對於按主題、攻擊者或任何其他共同點對事故進行分類非常有用。

此外，還可以定義一個行動來運行Playbook，以便採取更複雜的回應操作，包括任何涉及外部系統的操作。只有由事故觸發器啟動的Playbook才可用於自動化規則。可以定義一個行動以包含多個 playbook，或 playbook 和其他操作的組合，以及它們的運作順序。

使用任一版本的Logic Apps (Standard or Consumption)的 Playbook 將可以根據自動化規則運行。

到期日期：
可以定義自動化規則的到期日。該規則將在該日期之後被禁用。這對於處理（即關閉）由計劃的、有時間限制的活動（例如滲透測試）引起的「噪noise」事故非常有用。

順序(Order)：
可以定義自動化規則的運作順序。後續的自動化規則將根據先前的自動化規則執行後的狀態來評估事故的條件。

例如，如果「第一自動化規則」將事故的嚴重性從中更改為低，並且「第二自動化規則」定義為僅對中或更高嚴重性的事故運行，則它不會對該事故運行。