Vytváření a používání pravidel automatizace microsoft Sentinelu ke správě odpovědí
Tento článek vysvětluje, jak vytvářet a používat pravidla automatizace v Microsoft Sentinelu ke správě a orchestraci reakcí na hrozby, aby se maximalizovala efektivita a efektivita soC.
V tomto článku se dozvíte, jak definovat triggery a podmínky, které určí, kdy se pravidlo automatizace spustí, různé akce, které můžete pravidlo provést, a zbývající funkce a funkce.
Důležité
Funkce pravidel automatizace jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Návrh pravidla automatizace
Před vytvořením pravidla automatizace doporučujeme určit jeho rozsah a návrh, včetně triggeru, podmínek a akcí, které vaše pravidlo tvoří.
Určení oboru
Prvním krokem při návrhu a definování pravidla automatizace je zjištění incidentů nebo upozornění, na které se má použít. Toto rozhodnutí bude mít přímý vliv na to, jak pravidlo vytvoříte.
Chcete také určit váš případ použití. Čeho se snažíte s touto automatizací dosáhnout? Zvažte následující možnosti:
- Vytvořte pro analytiky úkoly, které budou sledovat při třídění, vyšetřování a odstraňování incidentů.
- Potlačit hlučné incidenty. (Alternativně můžete použít jiné metody pro zpracování falešně pozitivních výsledků v Microsoft Sentinelu.)
- Třídění nových incidentů změnou stavu Nové na Aktivní a přiřazením vlastníka
- Označte incidenty a klasifikujte je.
- Eskalujte incident přiřazením nového vlastníka.
- Zavření vyřešených incidentů, zadání důvodu a přidání komentářů
- Analyzujte obsah incidentu (výstrahy, entity a další vlastnosti) a proveďte další akce voláním playbooku.
- Zpracování výstrahy nebo reakce na ni bez přidruženého incidentu
Určení triggeru
Chcete tuto automatizaci aktivovat při vytváření nových incidentů nebo upozornění? Nebo se incident aktualizuje?
Pravidla automatizace se aktivují při vytvoření nebo aktualizaci incidentu nebo při vytvoření výstrahy. Vzpomeňte si, že incidenty zahrnují výstrahy a že výstrahy i incidenty je možné vytvořit pomocí analytických pravidel, z nichž existuje několik typů, jak je vysvětleno v tématu Detekce hrozeb pomocí integrovaných analytických pravidel v Microsoft Sentinelu.
Následující tabulka ukazuje různé možné scénáře, které způsobí spuštění pravidla automatizace.
Typ aktivační události | Události, které způsobují spuštění pravidla |
---|---|
Při vytvoření incidentu | Unified security operations platform in Microsoft Defender: Microsoft Sentinel není onboardovaný na sjednocenou platformu: |
Při aktualizaci incidentu | |
Při vytvoření výstrahy |
Vytvoření pravidla automatizace
Většina následujících pokynů platí pro všechny případy použití, pro které vytvoříte pravidla automatizace.
Pokud chcete potlačit hlučné incidenty, zkuste zpracovat falešně pozitivní výsledky.
Pokud chcete vytvořit pravidlo automatizace, které se použije pro konkrétní analytické pravidlo, přečtěte si téma Nastavení automatizovaných odpovědí a vytvoření pravidla.
Vytvoření pravidla automatizace:
Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation.
Na stránce Automation v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce vytvořit a zvolte pravidlo Automatizace.
Otevře se panel Vytvořit nové pravidlo automatizace. Do pole Název pravidla automation zadejte název pravidla.
Volba triggeru
V rozevíracím seznamu Aktivační událost vyberte odpovídající aktivační událost podle okolností, pro které vytváříte pravidlo automatizace – Při vytvoření incidentu, při aktualizaci incidentu nebo při vytvoření výstrahy.
Definování podmínek
Pomocí možností v oblasti Podmínky můžete definovat podmínky pro vaše pravidlo automatizace.
Pravidla, která vytvoříte pro vytvoření výstrahy, podporují pouze vlastnost Název analytického pravidla ve vaší podmínce. Vyberte, jestli má být pravidlo inkluzivní (obsahuje) nebo výhradní (neobsahuje) a pak v rozevíracím seznamu vyberte název analytického pravidla.
Hodnoty názvů analytických pravidel zahrnují pouze analytická pravidla a neobsahují jiné typy pravidel, jako jsou analýzy hrozeb nebo pravidla anomálií.
Pravidla, která vytvoříte pro vytvoření nebo aktualizaci incidentu, podporují širokou škálu podmínek v závislosti na vašem prostředí. Tyto možnosti začínají tím, jestli je váš pracovní prostor onboardován na sjednocenou platformu operací zabezpečení:
Pokud je váš pracovní prostor onboardovaný na sjednocenou platformu operací zabezpečení, začněte výběrem jednoho z následujících operátorů na portálu Azure nebo Defenderu:
AND: jednotlivé podmínky, které se vyhodnocují jako skupina Pravidlo se spustí, pokud jsou splněny všechny podmínky tohoto typu.
Pokud chcete pracovat s operátorem AND, vyberte rozbalovač + Přidat a v rozevíracím seznamu zvolte Podmínka (A). Seznam podmínek je naplněn vlastnostmi incidentu a poli vlastností entity.
OR (označované také jako skupiny podmínek): skupiny podmínek, z nichž každá se vyhodnocuje nezávisle. Pravidlo se spustí, pokud platí jedna nebo více skupin podmínek. Informace o tom, jak pracovat s těmito složitými typy podmínek, najdete v tématu Přidání rozšířených podmínek do pravidel automatizace.
Příklad:
Pokud jste jako trigger vybrali možnost Při aktualizaci incidentu, začněte definováním podmínek a přidáním dalších operátorů a hodnot podle potřeby.
Definování podmínek:
V prvním rozevíracím seznamu vlevo vyberte vlastnost. Do vyhledávacího pole můžete začít psát libovolnou část názvu vlastnosti, abyste mohli seznam dynamicky filtrovat, abyste rychle našli, co hledáte.
V dalším rozevíracím seznamu napravo vyberte operátor.
Seznam operátorů, ze které si můžete vybrat, se liší podle vybrané aktivační události a vlastnosti.
Podmínky dostupné pomocí triggeru pro vytvoření
Vlastnost Sada operátorů - Název
- Popis
– Všechny vlastnosti uvedené entity- Rovná se/Nerovná se
- Obsahuje/neobsahuje
- Začíná na/Nezačíná na
- Končí/Nekončí na- Značka (viz jednotlivé vs. kolekce) Každá jednotlivá značka:
- Rovná se/Nerovná se
- Obsahuje/neobsahuje
- Začíná na/Nezačíná na
- Končí/Nekončí na
Kolekce všech značek:
- Obsahuje/neobsahuje- Závažnost
- Stav
- Vlastní klíč podrobností- Rovná se/Nerovná se - Taktiky
- Názvy produktů upozornění
- Vlastní hodnota podrobností
- Název analytického pravidla- Obsahuje/neobsahuje Podmínky dostupné s triggerem aktualizace
Vlastnost Sada operátorů - Název
- Popis
– Všechny vlastnosti uvedené entity- Rovná se/Nerovná se
- Obsahuje/neobsahuje
- Začíná na/Nezačíná na
- Končí/Nekončí na- Značka (viz jednotlivé vs. kolekce) Každá jednotlivá značka:
- Rovná se/Nerovná se
- Obsahuje/neobsahuje
- Začíná na/Nezačíná na
- Končí/Nekončí na
Kolekce všech značek:
- Obsahuje/neobsahuje- Značka (kromě výše)
- Výstrahy
- Komentáře-Přidány - Závažnost
- Stav- Rovná se/Nerovná se
-Změnit
- Změněno z
- Změněno na- Vlastník -Změnit - Aktualizováno uživatelem
- Vlastní klíč podrobností- Rovná se/Nerovná se - Taktiky - Obsahuje/neobsahuje
-Přidány- Názvy produktů upozornění
- Vlastní hodnota podrobností
- Název analytického pravidla- Obsahuje/neobsahuje Podmínky dostupné s triggerem upozornění
Jedinou podmínkou, kterou můžou vyhodnotit pravidla na základě triggeru vytváření upozornění, je pravidlo analýzy Microsoft Sentinelu, které výstrahu vytvořilo.
Pravidla automatizace založená na triggeru upozornění se proto budou spouštět jenom u výstrah vytvořených službou Microsoft Sentinel.
Do pole vpravo zadejte hodnotu. V závislosti na zvolené vlastnosti to může být textové pole nebo rozevírací seznam, ve kterém vyberete ze seznamu uzavřených hodnot. Můžete také přidat několik hodnot tak, že vyberete ikonu kostky napravo od textového pole.
Opět platí, že pokud chcete nastavit složité podmínky nebo s různými poli, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace.
Podmínky založené na značkách
Na základě značek můžete vytvořit dva druhy podmínek:
- Podmínky s jednotlivými operátory značek vyhodnocují zadanou hodnotu pro každou značku v kolekci. Vyhodnocení platí, pokud podmínka splňuje alespoň jednu značku.
- Podmínky s kolekcí všech operátorů značek vyhodnocují zadanou hodnotu pro kolekci značek jako jednu jednotku. Vyhodnocení platí pouze v případě, že kolekce jako celek splňuje podmínku.
Pokud chcete přidat jednu z těchto podmínek na základě značek incidentu, proveďte následující kroky:
Vytvořte nové pravidlo automatizace, jak je popsáno výše.
Přidejte podmínku nebo skupinu podmínek.
V rozevíracím seznamu vlastností vyberte Možnost Značka .
Výběrem rozevíracího seznamu operátorů zobrazte dostupné operátory, ze které si můžete vybrat.
Podívejte se, jak jsou operátory rozdělené do dvou kategorií, jak je popsáno dříve. Na základě toho, jak chcete, aby se značky vyhodnocovaly, pečlivě zvolte operátor.
Další informace naleznete v tématu Tag property: individual vs. collection.
Podmínky založené na vlastních podrobnostech
Hodnotu vlastního detailu v incidentu můžete nastavit jako podmínku pravidla automatizace. Vzpomeňte si, že vlastní podrobnosti jsou datové body v nezpracovaných záznamech protokolu událostí, které se dají zobrazit a zobrazit v upozorněních a incidentech vygenerovaných z nich. Pomocí vlastních podrobností se můžete dostat ke skutečnému relevantnímu obsahu v upozorněních, aniž byste museli procházet výsledky dotazů.
Přidání podmínky na základě vlastních podrobností:
Vytvořte nové pravidlo automatizace, jak je popsáno výše.
Přidejte podmínku nebo skupinu podmínek.
V rozevíracím seznamu vlastností vyberte Klíč vlastních podrobností . V rozevíracím seznamu operátorů vyberte Rovná se nebo Nerovná se.
Pro podmínku vlastních podrobností pocházejí hodnoty v posledním rozevíracím seznamu z vlastních podrobností, které byly uvedeny ve všech analytických pravidlech uvedených v první podmínce. Vyberte vlastní podrobnosti, které chcete použít jako podmínku.
Zvolili jste pole, které chcete vyhodnotit pro tuto podmínku. Teď zadejte hodnotu, která se zobrazí v tomto poli, která tuto podmínku vyhodnotí jako true.
Vyberte + Přidat podmínku položky.Řádek podmínky hodnoty se zobrazí níže.
V rozevíracím seznamu operátorů vyberte Možnost Obsahuje nebo Neobsahuje . Do textového pole vpravo zadejte hodnotu, pro kterou má být podmínka vyhodnocena jako true.
V tomto příkladu, pokud má incident vlastní podrobnosti DestinationEmail a pokud je pwned@bad-botnet.com
hodnota tohoto detailu, akce definované v pravidle automatizace se spustí.
Přidání akcí
Zvolte akce, které má toto pravidlo automatizace provést. Mezi dostupné akce patří Přiřazení vlastníka, Změna stavu, Závažnost změn, Přidání značek a Playbook Spustit. Můžete přidat libovolný počet akcí.
Poznámka:
V pravidlech automatizace pomocí triggeru upozornění je k dispozici pouze akce run playbooku.
Podle toho, kterou akci zvolíte, vyplňte pole, která se zobrazí pro danou akci podle toho, co chcete udělat.
Pokud přidáte akci run playbooku, zobrazí se výzva k výběru z rozevíracího seznamu dostupných playbooků.
Pomocí jednoho z aktivačních událostí incidentu je možné spouštět pouze playbooky, které začínají triggerem incidentu, takže se zobrazí jenom v seznamu. Podobně jsou v pravidlech automatizace pomocí triggeru upozornění k dispozici pouze playbooky, které začínají triggerem upozornění.
Aby bylo možné spouštět playbooky, musí být službě Microsoft Sentinel udělena explicitní oprávnění. Pokud se playbook v rozevíracím seznamu zobrazí šedě, znamená to, že Sentinel nemá oprávnění k této skupině prostředků playbooku. Oprávnění můžete přiřadit výběrem odkazu Spravovat oprávnění playbooku.
Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.
Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění služby Microsoft Sentinel, a musíte mít roli Přispěvatel služby Microsoft Sentinel pro libovolnou skupinu prostředků obsahující playbooky, které chcete spustit.
Pokud ještě nemáte playbook, který provede akci, kterou máte na paměti, vytvořte nový playbook. Po vytvoření playbooku budete muset ukončit proces vytváření pravidel automatizace a restartovat ho.
Přesouvání akcí
Pořadí akcí v pravidle můžete změnit i po jejich přidání. Výběrem modrých šipek nahoru nebo dolů vedle každé akce ji posunete o krok nahoru nebo dolů.
Dokončení vytváření pravidla
Pokud chcete, aby platnost pravidla automatizace vypršela, nastavte datum vypršení platnosti (a volitelně čas). V opačném případě ponechte ho na neomezenou dobu.
Pole Objednávka je předem vyplněno dalším dostupným číslem pro typ triggeru pravidla. Toto číslo určuje, kde se bude toto pravidlo spouštět v posloupnosti pravidel automatizace (stejného typu triggeru). Číslo můžete změnit, pokud chcete toto pravidlo spustit před existujícím pravidlem.
Další informace najdete v poznámkách k pořadí provádění a prioritě .
Vyberte Použít. Už jste hotovi!
Aktivita pravidla automatizace auditu
Zjistěte, jaká pravidla automatizace mohla s daným incidentem provést. Máte k dispozici úplný záznam o incidentech v tabulce SecurityIncident na stránce Protokoly na webu Azure Portal nebo na stránce Rozšířené vyhledávání na portálu Defender. Pomocí následujícího dotazu zobrazíte všechny aktivity pravidel automatizace:
SecurityIncident
| where ModifiedBy contains "Automation"
Spouštění pravidel automatizace
Pravidla automatizace se spouští postupně podle pořadí, které určíte. Každé pravidlo automatizace se spustí poté, co předchozí pravidlo dokončí jeho spuštění. V rámci pravidla automatizace se všechny akce spouštějí postupně v pořadí, v jakém jsou definovány. Další informace najdete v poznámkách k pořadí provádění a prioritě .
Akce playbooku v rámci pravidla automatizace se můžou za určitých okolností zacházet odlišně podle následujících kritérií:
Čas běhu playbooku | Pravidlo automatizace přejde na další akci... |
---|---|
Méně než sekunda | Ihned po dokončení playbooku |
Méně než dvě minuty | Až dvě minuty po spuštění playbooku, ale po dokončení playbooku maximálně 10 sekund |
Více než dvě minuty | Dvě minuty po spuštění playbooku, bez ohledu na to, zda byl dokončen nebo nebyl dokončen |
Další kroky
V tomto dokumentu jste zjistili, jak pomocí pravidel automatizace centrálně spravovat automatizaci reakcí pro incidenty a výstrahy Microsoft Sentinelu.
- Pokud chcete zjistit, jak přidat pokročilé podmínky s
OR
operátory do pravidel automatizace, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace služby Microsoft Sentinel. - Další informace opravidlech
- Další informace o pokročilých možnostech automatizace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
- Informace o tom, jak pomocí pravidel automatizace přidávat úkoly do incidentů, najdete v tématu Vytváření úkolů incidentů v Microsoft Sentinelu pomocí pravidel automatizace.
- Pokud chcete migrovat playbooky aktivující výstrahy, které budou vyvolány pravidly automatizace, přečtěte si téma Migrace playbooků triggerů upozornění služby Microsoft Sentinel do pravidel automatizace.
- Nápovědu k implementaci pravidel automatizace a playbooků najdete v kurzu : Použití playbooků k automatizaci reakcí na hrozby v Microsoft Sentinelu.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro