תוכן זה כל הקסם Microsoft Sentinel
אחד העקרונות החשובים ביומיום של SIEM (או ליתר דיוק אנשים, תהליכים וטכנולוגיות) הוא ללא ספק תכנים, וככל שיהיו יותר תכנים, כך תמונת האבטחה תהיה רחבה יותר, מעמיקה יותר וכמובן ממוקדת. יצירת תוכן טומנת בחובה עולם ומלואו של הבנה, זיהוי וניטור בעיות אבטחה מתוך מקורות המידע שאנו אוספים.
מהי הכוונה תכנים בעולם הזה של SIEM? תכנים וליתר דיוק יצירת תכנים מביאים איתם סט רחב של אפשרויות, החל מהחלק המוכר של יצירת חוקי זיהוי, ניתוח תחזיות וסיכונים, אוטומציות, חיפושים מוגדרים מראש ועוד. אם נסתכל על מה שאנו צריכים לעשות ביומיום הזה של עולם התכנים אז אפשר למנות בין היתר את הנקודות הבאות:
- הזרמת נתונים מתוך מקורות מידע לפי פורמט מוגדר מראש
- דגימה והבנת המידע וכן אופי הנתונים שנכנסים למערכת
- תוכן מותאם המבוסס על אינטליגנציה של איומים
- בניית חוקים, וורבוקים ופלייבוקים המבוססים על אירוע (IR Playbook)
- התאמת הנתונים אל מול אפשרויות התוכן שניתן ליצור
כאמור, יצירת תכנים מלווה אותנו מהרגע הראשון שאנו מקימים SIEM, ולאחר מכן ביומיום בתרחישים שונים שבהם אנו צריכים ליצור תוכן חדש, למטב קיים, ולהסיר ישנים.
בשכבה של הקמה, תחזוקה ופיתוח יכולות במערכות SIEM השלב של SIEM Content Development היא פעולה שמלווה אותנו לאורך כל הדרך, כולל מקרים בהם אנו לא מוסיפים עוד מקורות מידע, אנו עדיין נמצא את עצמנו במצב של פיתוח תוכן לטובת האנליסטים, לטובת ניהול תגובה ואירוע, וכן חיפוש סיכונים ואיומים.
הערה: במקומות מסוימים ישנם תפקידים מסוימים לטובת יצירת תכנים כמו זה של SIEM Content Engineers. האם יש לך כזה בארגון? והאם צריך?
טיפ: במכלול הזה של אנשים, תהליכים וטכנולוגיות אנו צריכים לשים דגש על אנשים ולהנגיש את הטכנולוגיה בצורה המיטבית שתסייע לאנשים לעבוד עם הנתונים ובכדי שתסייע לזהות, לעצור ולתחקר בעיות אבטחה.
מי אתה Content Hub
אחד החוזקות של Microsoft Sentinel הוא האפשרות של יצירת תכנים בקלות רבה, בין אם זה לטובת חוקי אנליטיקות, אוטומציה כלשהיא או וורבוקים למינהם. לצד האפשרות של יצירת תכנים מגוונים Microsoft Sentinel מכיל תוכן מובנה שלעיתים התוכן המובנה מאוד שימושי, בטח כאשר מדובר על חיבור מקור מידע מסוים. לצד כל האפשרויות השונות של תכנים מכונים, האפשרות ליצוק תוכן אישי וכן האפשרות של יצירת תוכן על סמך Community, אנו יכולים לנצל את האפשרות החדשה שלקוחת את כל האפשרויות המוכרות שהיו עד כה וכן אפשרויות תוכן חדשות וליצור תוכן ברגע.
האפשרות החדשה – Content Hub לוקחת את כל מה שהיה עד כה וכן אפשרויות נוספות וחדשות, ומאפשרת בלחיצת כפתור יצירת תכנים שונים. Content Hub החדש כולל ערכות שונות כאשר כל ערכה מתבססת על מקור מידע מסוים במטרה לאפשר יצירת תוכן וערך מיידי. כלומר שלב הפריסה הראשוני הופך להיות פשוט עוד יותר.
האם יצירת תוכן הוא משהו פשוט לאורך זמן ??? 😜 👇
מרכז התוכן החדש מחליף את הגלריה שהיתה עד כה, וכוללת את כל התוכן שהיה בגלריה ותכנים נוספים, ולכן אותו Solution Gallery שהיה עד כה נכנס אל תוך Content Hub יחד עם כל התכנים.
התכון שקיים באפשרות החדשה של Content Hub מכיל סריה מרשימה של תכנים הכולל בין היתר:
- 90 פתרונות מובנים
- מעל 60 קונקטורים
- 250 חוקי אנליטיקות
- 100 פלייבוקים
- מעל 40 וורבוקים
- מאות שאילתות
אז מה אפשר לעשות עם התוכן הזה ואיך זה תוספ אותנו ביומיום?
- יצירת תוכן יכולה להיות לפי קטגוריות שונות (ברמה האפליקטיבית)
- תוכן out-of-the-box שמבוסס לפי מודלים שונים
- יצירה לפי מגזרים ותעשיות שונות
- הקמה מהירה של סוגי תכנים שונים
אפשרויות ותכנים
Content Hub מכיל Content Hub מגוונים וישנם פתרונות שונים עבור מקורות מידע מבוססים Microsoft וכן מקורות מידע צד שלישי, בין אם מדובר על מערכות בענן או מערכות מקומיות המחלוקים לפי קטגוריות שונות. הקטגוריות מחולקות לפי פתרונות ספציפיים:
פתרון מבוסס מוצר – פתרונות שמכילים שילוב של קונקטור אחד או יותר, אנליטיקות, וורבוקים, פלייבוקים, שאילתות ורשימות מעקב. המטרה שפתרונות כאלה היא למקסם את יצירת התוכן הראשוני ועדכונים לאחר מכן באופן מהיר. בפתרון אפשר להבחין ברשימה שמתבססת על הקטגוריות הבאות:
- Application/Storage/Platform
- Cloud Provider
- Compliance
- Devops
- Identity
- Identity
- Security
פתרון מבוסס דומיין שמכילים חוקי אנליטיקס, שאילתות, רשימות מערב וורקבוקים ולרוב יהיו פתרונות אגנוסטיים של מקורות המידע.
- Compliance
- Identity
- Security
בנוסף לכך ישנו פתרון המיועד ללמידה והבנה של Microsoft Sentinel.
מודלים
בנוסף לכך ישנם מדולים מסוימים המאפשרים יצירת תוכן מותאם ונחלקים למודלים הבאים:
מודל Microsoft – תוכן ופתרונות שבהם Microsoft היא ספקית הנתונים על סמך מקורות מידע של כלים ותשתיות כמו M365 או Azure. במצב כזה Microsoft אחראית לעדכון הפתרונות.
מודל שותפים – שמתבסס על MSSP, אינטגרטור (SI) וכן הלאה שיוטצרים את התוכן ומעדכנים את התוכן באופן שוטף.
מודל Community – שמתבסס על גורמים שאין להם קשר ישיר או אינטגרציה מול Micvrosoft Sentinel ומטרתם לפתח תוכן ופתרונות.
איך מגדירים
התקנה והגדרת פתרונות בתוך Content Hub הינה פעולה פשוטה למדיי ולעיתים, בפתרונות מסוימים אנו צריכים לבצע התאמה מסוימת של הפתרון לסביבה שלנו. בדוגמה שלפנינו נקח פתרון שותף והפעם את Crowdstrike. אפשר לשים לב שההתוכן שנקבל מתויג בפתרון עצמו, כלומר התוכן הוא Analytics Rule, Connector, Parser, Workbook.
לאחר שמתקינים את הפתרון אנו צריכים לבצע הגדרות, לרוב לא מדובר על הגדרות מיוחדות, למעט העובדה שהגדרות המכילות קונקטור או פלייבוק כמו זאת של Crowdstrike, שם אנו צריכים לחבר את הקונקטור עם הדרישות השונות של החלפת מזהים שונים (Key, Secret, ID) בין Crowdstrike לבין Azure Sentinel.
יתר ההגדרות הם פשוטות ומדובר על הגדרות ברמת התוכן, בין אם זה Logic App או שאילתות מסוימות, ומדובר על הגדרות שניתן לשנות לאחר מכן.
החלפת מזהים פסציפיים בין Crowdstrike לבין Azure Sentinel.
לאחר התקנה והגדרת הפתרון נוכל להסתכל מתחת למכסה ולראות את ההגדרות השונות שנוצרו. הגדרות נוספות אלה הן הגדרות מעבר לתוכן המוגדר בתוך Azure Sentinel עצמו כמו שאילתות לטובת אנליטיקות או Hunting.
מדובר על הגדרות של API או Logic App שניתן לראות או לשנות ברמת Resource Group. חשוב להדגיש התוכן ניתן לשינוי אך העדכונים של הפתרון עלולים לדרוס שינויים ולכן אפשר להעתיק תוכן מסוים כמו זה של Logic App ולעבוד על המקוסטם, או לחלופין ליצור חדש.
לסיכום, הקמה ויצירה של תכנים היא חשובה ואנו צריכים להמשיך ליצור תכנים בכל עת, הסיבה לכך היא מובנת מאליה, והיא בכדי שהמערכת תדע לזהות את הנדרש מול כל מקור מידע ומול הנתונים המוזרמים אליה. במקומות בהם ישנו גורם ישיר שאחראי על יצירת התוכן אפשר לראות מערכות מטויבות, מדוקיות באחוזים גבוהים וחשוב מכך מזהות בעיות.
