使用 Microsoft Sentinel 自动执行威胁响应
本单元描述了一个示例场景,展示如何使用操作手册和自动化规则来自动化事件响应和缓解安全威胁。 自动化规则有助于在 Microsoft Sentinel 中对事件进行分类和排序,并且用于运行操作手册来响应事件和警报。 有关详细信息,请参阅 Microsoft Sentinel 中的自动化:安全编排、自动化和响应(SOAR)。
本文中描述的示例场景展示了如何使用自动化规则和操作手册在创建事件时阻止可能被入侵的用户。
注意
由于 playbook 使用 Azure 逻辑应用,因此可能会收取额外的费用。 有关更多详细信息,请访问 Azure 逻辑应用 定价页。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户下的 Microsoft 统一安全运营平台中全面推出。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
先决条件
以下角色需要使用 Azure 逻辑应用程序在 Microsoft Sentinel 中创建和运行剧本。
| 角色 | 描述 |
|---|---|
| 所有者 | 允许你授予对资源组中 playbook 的访问权限。 |
| Microsoft Sentinel 参与者 | 允许你将 playbook 附加到分析或自动化规则中。 |
| Microsoft Sentinel 响应方 | 允许你访问事件以手动运行 playbook,但不允许运行 playbook。 |
| Microsoft Sentinel Playbook 操作员 | 允许你手动运行 playbook。 |
| Microsoft Sentinel 自动化参与者 | 允许自动化规则运行 playbook。 此角色不用于任何其他目的。 |
下表根据你是选择使用消耗逻辑应用还是标准逻辑应用创建 playbook 来描述所需的角色:
| 逻辑应用 | Azure 角色 | 描述 |
|---|---|---|
| 消耗 | Logic App 贡献者 | 编辑和管理逻辑应用。 运行 playbook。 不允许你授予对 playbook 的访问权限。 |
| 消耗 | 逻辑应用操作员 | 读取、启用和禁用逻辑应用。 不允许编辑或更新逻辑应用。 |
| 标准 | 逻辑应用标准运算符 | 在逻辑应用中启用、重新提交和禁用工作流。 |
| 标准 | 逻辑应用标准开发人员 | 创建和编辑逻辑应用。 |
| 标准 | Logic Apps Standard 贡献者 | 管理逻辑应用的各个方面。 |
“自动化”页上的“活动策略集”选项卡显示所有选定订阅中可用的活动策略集。 默认情况下,playbook 只能在其所属的订阅中使用,除非专门向 playbook 的资源组授予Microsoft Sentinel 权限。
在事件中运行 playbook 需要额外的权限
Microsoft Sentinel 使用服务帐户在事件上运行 playbook,以增加安全性并启用自动化规则 API 来支持 CI/CD 用例。 此服务帐户用于事件触发的 playbook,或者在特定事件上手动运行 playbook 时使用。
除了自己的角色和权限之外,此 Microsoft Sentinel 服务帐户还必须对 playbook 所在的资源组拥有自己的一组权限,以 Microsoft Sentinel 自动化参与者角色的形式。 一旦 Microsoft Sentinel 具有此角色,它就可以手动或通过自动化规则运行相关资源组中的任何 playbook。
为了向 Microsoft Sentinel 授予所需的权限,您必须具有所有者或用户访问管理员角色。 若要运行 playbook,还需要包含要运行的 playbook 的资源组上的 逻辑应用 Contributor 角色。
停止可能遭到入侵的用户
SOC 团队希望确保可能遭到入侵的用户无法绕过其网络并窃取信息。 我们建议您为由检测被攻陷用户的规则生成的事件创建自动化、多方面的响应,以处理这类情况。
配置自动化规则和 playbook 以使用以下流:
为可能受到威胁的用户创建事件,并触发自动化规则来调用 playbook。
该 playbook 会在 IT 工单系统(例如 ServiceNow)中开具一份工单。
该 playbook 还会向 Microsoft Teams 或 Slack 中的安全操作通道发送一条消息,以确保安全分析师了解该事件。
该 playbook 还会将事件中的所有信息通过电子邮件发送给高级网络管理员和安全管理员。电子邮件中包含“阻止”和“忽略用户”选项按钮。
playbook 等待管理员的响应,然后执行后续步骤。
- 如果管理员选择“阻止”,playbook 会将命令发送到Microsoft Entra ID 以禁用用户,并向防火墙发送一个命令来阻止 IP 地址。
- 如果管理员选择“忽略”,playbook 将关闭 Microsoft Sentinel 中的事件,并关闭 ServiceNow 中的工单。
以下屏幕截图显示了在创建此示例 playbook 时要添加的操作和条件:
