MICROSOFT LOGO
MICROSOFT LOGO
קורס Azure

קורס Azure – אוטומציות Microsoft Sentinel

carmel website
carmel-website
carmel-website
אוטומציות לובשות מספר צורות שונות ב- Microsoft Sentinel. החל מכללי אוטומציה המנהלים באופן מרוכז את האוטומציה של הטיפול בתקריות והתגובה, וכלה בספרי הפעלה המפעילים רצפים קבועים מראש של פעולות כדי לספק אוטומציה מתקדמת רבת עוצמה וגמישה למשימות התגובה לאיומים של הארגון.

כללי אוטומציה

כללי אוטומציה מאפשרים למשתמשים לנהל באופן מרוכז את האוטומציה של הטיפול באירועים. כללי אוטומציה גם מאפשרים לך להפוך תגובות לאוטומטיות עבור כללי ניתוח מרובים בו-זמנית. תיוג, הקצאה או סגירת אירועים באופן אוטומטי ללא צורך בספרי הדרכה, שליטה בסדר הפעולות המבוצעות. כללי אוטומציה ייעלו את השימוש באוטומציה ב- Microsoft Sentinel ויאפשרו לפשט זרימות עבודה מורכבות עבור תהליכי תיאום האירועים.

ספרי משחק (Play books)

אוסף של פעולות תגובה, תיקון ואוטומציה שניתן להפעיל מ- Microsoft Sentinel באופן אוטומטי. השילוב עם מערכות אחרות הן פנימיות והן חיצוניות הניתנות להגדרה לפעולה אוטומטית בתגובה להתראות או תקריות ספציפיות, כאשר הוא מופעל על ידי כללי ניתוח או כללי אוטומציה, בהתאמה. ניתן גם להפעיל אותו באופן ידני לפי דרישה, בתגובה להתראות, מדף התקריות.

ספרי הפעלה ב- Microsoft Sentinel מבוססים על זרימות עבודה המוכללות ב- Azure Logic Apps, שירות ענן שעוזר לך לתזמן, להפוך משימות וזרימות עבודה לאוטומטיות ולתאם אותן במערכות שונות ברחבי הארגון.

יצירת כללי אוטומציה

כללי אוטומציה הם דרך לנהל באופן מרכזי את האוטומציה של טיפול באירועים, ומאפשרים לבצע משימות אוטומציה פשוטות מבלי להשתמש בספרי הדרכה (Play books) לדוגמה, כללי אוטומציה מאפשרים להקצות אירועים באופן אוטומטי לאנשי הצוות המתאימים, לתייג אירועים כדי לסווג אותם, לשנות את מצב האירועים ולסגור אותם. כללי אוטומציה יכולים גם להפוך תגובות לאוטומטיות עבור כללי ניתוח מרובים בו-זמנית, לשלוט בסדר הפעולות המבוצעות ולהפעיל ספרי הפעלה עבור אותם מקרים שבהם יש צורך במשימות אוטומטיות מורכבות יותר.

להב אוטומציה

ניתן לנהל את כללי האוטומציה תחת הכרטיסיה כללי אוטומציה. ניתן לייצור ליצור כללי אוטומציה חדשים ולערוך את הקיימים. ניתן גם לגרור כללי אוטומציה כדי לשנות את סדר הביצוע ולהפוך אותם לזמינים או ללא זמינים.

בחלון האוטומציה נמצאים כל הכללים המוגדרים בסביבת העבודה, יחד עם המצב שלהם (זמין/לא זמין) ועל אילו כללי ניתוח הם מוכלים.

אשף כללי ניתוח

בכרטיסיה תגובה אוטומטית של אשף כללי הניתוח, באפשרותך לראות, לנהל וליצור כללי אוטומציה החלים על כלל הניתוח המסוים שנוצר או נערך באשף.

לחיצה על צור אוטומציה תאפשר לבחור אחד מסוגי הכללים (כלל שאילתה מתוזמנת או כלל יצירת אירועים של Microsoft) מהתפריט העליון בחלון ה- Analytics, או אם תבחר כלל ניתוח קיים ותבחר ערוך, תפתח את אשף הכללים. כאשר תבחר בכרטיסיה תגובה אוטומטית, תראה מקטע בשם אוטומציה של תקריות, שתחתיו יוצגו כללי האוטומציה החלים כעת על כלל זה. באפשרותך לבחור כלל אוטומציה קיים לעריכה.

חלון התקריות

ניתן גם ליצור כלל אוטומציה מחלון התקריות, כדי להגיב לאירוע יחיד שחוזר על עצמו. אפשרות זו שימושית בעת יצירת כלל לסגירה אוטומטית של אירועים "רועשים – False positive". בחירת אירוע מהתור ובחירת צור כלל אוטומציה מהתפריט העליון.

תבחין שהחלונית צור כלל אוטומציה חדשה אכלסה את כל השדות בערכים מהאירוע. הוא מכנה את הכלל באותו שם כמו האירוע, מחיל אותו על כלל הניתוח שיצר את האירוע, ומשתמש בכל הישויות הזמינות באירוע כתנאי לכלל. הוא גם מציע פעולת דיכוי (סגירה) כברירת מחדל, ומציע תאריך תפוגה לכלל. באפשרותך להוסיף או להסיר תנאים ופעולות, ולשנות את תאריך התפוגה, כרצונך.

רכיבים של כללי האוטומציה

כללי אוטומציה מורכבים ממספר רכיבים:

  • טריגר: כללי האוטומציה שמופעלים על ידי יצירת אירוע.

לסקירה – אירועים נוצרים מהתראות על-ידי כללי ניתוח, קיימים מספר סוגים של ארועים.

  • תנאים: ניתן להגדיר קבוצות מורכבות של תנאים כדי לקבוע מתי יש להפעיל פעולות. תנאים אלה מבוססים בדרך כלל על המצבים או הערכים של תכונות האירועים והישויות שלהם, והם יכולים לכלול אופרטורים AND/OR/NOT/CONTAIN .
  • פעולות: ניתן להגדיר פעולות שיפעלו כאשר התנאים מתקיימים. באפשרותך להגדיר פעולות רבות בכלל, ובאפשרותך לבחור את הסדר שבו הן יפעלו. ניתן להגדיר את הפעולות הבאות באמצעות כללי אוטומציה, ללא צורך בפונקציונליות המתקדמת של מדריך:
    • שינוי המצב של אירוע, שמירה על עדכניות זרימת העבודה של הארגון.

בעת שינוי ל"סגור", ציון סיבת הסגירה והוספת הערה. זה עוזר לך לעקוב אחר הביצועים והיעילות של הארגון, ולכוונן כדי להפחית תוצאות חיוביות שגויות.

  • שינוי חומרת האירוע – באפשרותך להעריך מחדש את האירוע ולערוך אותו מחדש בהתבסס על נוכחות, היעדרות, ערכים או תכונות של ישויות המעורבות באירוע.
  • הקצאת אירוע לצוות – זה עוזר לך לכוון סוגים של תקריות לצוות המתאים ביותר לטפל בהם, או לאנשי הצוות הזמינים ביותר.
  • הוספת תג לתקרית – אפשרות זו שימושית לסיווג אירועים לפי נושא, לפי תוקף או לפי כל מכנה משותף אחר.

ספרי הפעלה המשתמשים באחת מגרסאות של ה-Logic Apps שיהיו זמינים להפעלה מכללי האוטומציה.

  • תאריך תפוגה: באפשרותך להגדיר תאריך תפוגה בכללי אוטומציה.
  • סדר: הגדרת הסדר שבו כללי אוטומציה יפעלו. כללי אוטומציה מאוחרים יותר יעריכו את תנאי האירוע ובהתאם למצבו, לאחר שהופעל על ידי כללי אוטומציה הקודמים.

לדוגמה, אם "כלל האוטומציה הראשון" שינה את חומרת האירוע מ'בינוני' ל'נמוך', ו'כלל האוטומציה השני' מוגדר לפעול רק באירועים בדרגת חומרה בינונית ומעלה, הוא לא יפעל בתקרית זו.

מעצב יישומי אוטומציה

Microsoft Sentinel יוצר את יישום האוטומציה ולאחר מכן ישנה הפניה לדף מעצב יישומי האוטומציה.

מעצב יישומי האוטומציה מספק תבנית עריכה שבו אנו משתמשים כדי להוסיף גורמים שמפעילים פעולות לזרימת העבודה. לדוגמה, באפשרותך לקבוע את תצורת הגורם המפעיל כך שמקורו בקונקטור של Microsoft Sentinel בעת יצירת אירוע אבטחה חדש. הדף מעצב יישומי אוטומציה מספק תבניות מוגדרות מראש רבות שבהן באפשרותך להשתמש. עם זאת, כדי לעצב מדריך חדש, עליך להתחיל עם התבנית Blank Logic App.

הפעילות האוטומטית במדריך מופעלת על-ידי הגורם המפעיל של Microsoft Sentinel. באפשרותך לחפש את הגורם המפעיל של Microsoft Sentinel בתיבת החיפוש של תבנית העיצוב ולאחר מכן לבחור אחד משני הגורמים המפעילים הזמינים הבאים:

  • כאשר תגובה להתראה של Microsoft Sentinel מופעלת
  • כאשר כלל יצירת תקריות של Microsoft Sentinel הופעל

פתיחת קונקטור Microsoft Sentinel בפעם הראשונה מבקשת ממך להיכנס לארגון באמצעות חשבון משתמש מ- Azure Active Directory (Azure AD) או באמצעות מנהל שירות (service principle). פעולה זו יוצרת חיבור API ל- Azure AD של הארגון. חיבורי ה- API מאחסנים משתנים ואסימונים הדרושים כדי לגשת ל- API עבור החיבור, כגון Azure AD, Office 365 או דומה.

כל מדריך מתחיל עם טריגר ואחריו פעולות המגדירות את התגובה האוטומטית לאירוע אבטחה. באפשרותך לשלב פעולות  הקונקטור של Microsoft Sentinel עם פעולות אחרות מהקונקטורים של יישומי אוטומציה אחרים.

לדוגמה, באפשרותך להוסיף את הגורם המפעיל מקונקטור Microsoft Sentinel  כאשר אירוע מופעל, לבצע אותו עם פעולה המזהה את הישויות מההתראה של Microsoft Sentinel ולאחר מכן פעולה אחרת השולחת דואר אלקטרוני לחשבון דואר אלקטרוני של Office 365. Microsoft Sentinel יוצר כל פעולה כשלב חדש ומגדיר את הפעילות שאתה מוסיף באפליקציית האוטומציה.

צילום המסך הבא מציג את האירוע שהופעל על-ידי קונקטור Microsoft Sentinel, המזהה חשבון חשוד ושולח דואר אלקטרוני למנהל המערכת.

כל שלב בעיצוב זרימת העבודה כולל שדות שונים שעליך למלא. לדוגמה, הפעולה ישויות – קבל חשבונות מחייבת אותך לספק את רשימת הישויות מהתראה של Microsoft Sentinel. יתרון השימוש ביישומי אוטומציה של Azure הוא שבאפשרותך לספק קלט זה מרשימת התוכן הדינאמי, המאוכלסת בפלטים של השלב הקודם. לדוגמה, הגורם המפעיל של קונקטור  Microsoft Sentinel כאשר תגובה להתראת Microsoft Sentinel מופעלת  מספק מאפיינים דינאמיים כגון ישויות, שם תצוגה של התראה, שבהם באפשרותך להשתמש כדי למלא את הקלטים.

באפשרותך גם להוסיף קבוצת פעולות בקרה המאפשרת ליישום האוטומציה של הארגון לקבל החלטות. קבוצת פעולות הבקרה יכולה לכלול תנאים לוגיים, תנאי מקרה מתג או לולאות.

פעולת תנאי היא משפט if המאפשר ליישום של הארגון לבצע פעולות שונות בהתבסס על הנתונים שאתה מעבד. הוא מורכב מביטוי בוליאני ושתי פעולות. בזמן ריצה, מנגנון הביצוע מעריך את הביטוי ובוחר פעולה בהתבסס על השאלה אם הביטוי הוא true או false. לדוגמה, הארגון מקבל כמות גדולה של התראות, רבות מהן עם דפוסים חוזרים, שלא ניתן לעבד או לחקור. באמצעות אוטומציה בזמן אמת, צוותי הארגון SecOps יכולים להפחית באופן משמעותי את עומס העבודה שלהם על-ידי אוטומציה מלאה של התגובות השגרתיות לסוגי התראות חוזרים. צילום המסך הבא מציג מצב דומה, שבו בהתבסס על קלט המשתמש, המדריך יכול לשנות את מצב ההתראה. פעולת הבקרה מיירטת את קלט המשתמש, ואם הביטוי מוערך כמשפט אמיתי, המדריך משנה את מצב ההתראה. במקרה שפעולת הבקרה מעריכה את הביטוי כ- false, המדריך יכול להפעיל פעילויות אחרות, כגון שליחת דואר אלקטרוני כמתואר בצילום המסך הבא.

לאחר שתספק את כל השלבים במעצב יישומי האוטומציה, שמור את יישום האוטומציה כדי ליצור מדריך ב- Microsoft Sentinel.

 

 

 

 

תוכן עניינים

מלאו פרטים ונחזור אליכם בהקדם
למדו מהמומחים שלנו

קורסים נוספים

למה לבחור בכרמל הדרכה?
אנחנו מציעים פתרונות איכותיים להדרכות מקצועיות שחוסכות לכם זמן ומשאבים, ומספקים לכם את הכלים לקחת את הכישורים שלכם צעד קדימה!
carmel website
מרצים מובילים

בעלי ניסיון הדרכתי
ומעשי עשיר

carmel website
מגיעים אליכם

אתם קובעים את
מיקום הקורס והמועד

carmel website
תאוריה ותרגול

חומרי לימוד ומעבדות
רשמיות של מיקרוסופט הזמינים בענן

carmel website
תוכנית מותאמת

התאמה מלאה ואישית
לדרישות ולצרכי הארגון