Přidání rozšířených podmínek do pravidel automatizace Microsoft Sentinel

Tento článek vysvětluje, jak do pravidel automatizace v Microsoft Sentinel přidat upřesňující podmínky "Or", které umožňují efektivnější třídění incidentů.

V části Podmínky pravidla automatizace přidejte podmínky "Or" ve formě skupin podmínek .

Skupiny podmínek můžou obsahovat dvě úrovně podmínek:

• Jednoduché: Alespoň dvě podmínky oddělené operátorem OR :

  • A OR B
  • A OR B OR C (viz příklad 1B níže).)
  • a tak dále.

• Složené: Více než dvě podmínky, s nejméně dvěma podmínkami na alespoň jedné straně operátoru OR :

  • (A and B) OR C
  • (A and B) OR (C and D)
  • (A and B) OR (C and D and E)
  • A and B ( OR C and D) OR (E and F)
  • a tak dále.

Je vidět, že tato funkce poskytuje velký výkon a flexibilitu při určování, kdy se budou pravidla spouštět. Může také výrazně zvýšit efektivitu tím, že vám umožní zkombinovat mnoho starých pravidel automatizace do jednoho nového pravidla.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Přidání skupiny podmínek

Vzhledem k tomu, že skupiny podmínek nabízejí mnohem větší výkon a flexibilitu při vytváření pravidel automatizace, nejlepší způsob, jak to udělat, je uvést několik příkladů.

Pojďme vytvořit pravidlo, které změní závažnost příchozího incidentu z jakéhokoli na vysokou, za předpokladu, že splňuje podmínky, které nastavíme.

1. Pro Microsoft Sentinel v Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Konfigurace>Automation.

2. Na stránce Automatizace na panelu tlačítek v horní části vyberte Vytvořit > pravidlo automatizace .

   Podrobnosti najdete v obecných pokynech k vytvoření pravidla automatizace .

3. Pojmenujte pravidlo: "Priorita: Změna závažnosti na vysokou"

4. Vyberte trigger Při vytvoření incidentu.

5. Pokud se v části Podmínky zobrazí podmínky pro poskytovatele incidentů a název pravidla analýzy , nechte je tak, jak jsou. Tyto podmínky nejsou k dispozici, pokud je váš pracovní prostor onboardovaný na portálu Microsoft Defender. V obou případech přidáme další podmínky později v tomto procesu.

6. V části Akce vyberte v rozevíracím seznamu Změnit závažnost .

7. V rozevíracím seznamu, který se zobrazí pod možností Změnit závažnost, vyberte Vysoká.

Například na následujících kartách se zobrazují ukázky z pracovního prostoru, který je onboardovaný na portálu Defender, na portálu Azure nebo Defenderu a v pracovním prostoru, který není:

Nasazené pracovní prostory

Pracovní prostory, které nejsou onboardované

Příklad 1: jednoduché podmínky

V tomto prvním příkladu vytvoříme jednoduchou skupinu podmínek: Pokud platí podmínka A nebo B, pravidlo se spustí a závažnost incidentu se nastaví na vysokou.

1. Vyberte rozbalovací tlačítko + Přidat a v rozevíracím seznamu zvolte Skupina podmínek (Nebo ).

   

2. Zobrazí se dvě sady polí podmínek oddělené operátorem OR . Jedná se o podmínky "A" a "B", které jsme zmínili výše: Pokud platí A nebo B, pravidlo se spustí.
   (Nenechte se zaměňovat všemi různými vrstvami odkazů Přidat – všechny budou vysvětleny.)

   

3. Pojďme se rozhodnout, jaké budou tyto podmínky. To znamená, jaké dvě různé podmínky způsobí, že se závažnost incidentu změní na Vysokou? Pojďme navrhnout následující:

   • Pokud incident přidružený k MITRE ATT&taktiky CK obsahuje některou ze čtyř, které jsme vybrali z rozevíracího seznamu (viz obrázek níže), měla by se závažnost zvýšit na Vysokou.

   • Pokud incident obsahuje entitu názvu hostitele s názvem "SUPER_SECURE_STATION", měla by se závažnost zvýšit na Vysokou.

   

   Pokud platí alespoň jedna z těchto podmínek, spustí se akce, které v pravidle definujeme, a závažnost incidentu se změní na Vysokou.

Příklad 1A: Přidání hodnoty OR do jedné podmínky

Řekněme, že nemáme jednu, ale dvě vysoce citlivé pracovní stanice, jejichž incidenty chceme udělat velmi závažné. K existující podmínce (pro všechny podmínky založené na vlastnostech entity) můžeme přidat další hodnotu tak, že vybereme ikonu kostky napravo od existující hodnoty a dole přidáme novou hodnotu.

Příklad 1B: Přidání dalších podmínek OR

Řekněme, že chceme, aby se toto pravidlo spustilo, pokud platí jedna ze TŘÍ (nebo více) podmínek. Pokud je hodnota A nebo B nebo C pravdivá, pravidlo se spustí.

1. Pamatujete si na všechny tyto odkazy Přidat? Pokud chcete přidat další podmínku OR, vyberte + Přidat připojený řádek k operátoru OR .

   

2. Teď vyplňte parametry a hodnoty této podmínky stejným způsobem jako u prvních dvou.

   

Příklad 2: složené podmínky

Teď se rozhodneme, že budeme trochu vybíravější. Na každou stranu původní podmínky OR chceme přidat další podmínky. To znamená, že chceme, aby se pravidlo spustilo, pokud jsou hodnoty A a B pravdivé , NEBO pokud platí C a D.

1. Pokud chcete přidat podmínku na jednu stranu skupiny podmínek NEBO, vyberte odkaz + Přidat hned pod existující podmínkou na stejné straně operátoru OR (ve stejné modré oblasti), do které chcete přidat novou podmínku.

   

   Uvidíte nový řádek přidaný pod existující podmínkou (ve stejné modře vystínované oblasti) a propojený s ním operátorem AND .

   

2. Parametry a hodnoty této podmínky vyplňte stejným způsobem jako ostatní.

   

3. Opakováním předchozích dvou kroků přidejte podmínku AND na obě strany skupiny podmínek OR.

   

A je to! To, co jste se zde naučili, můžete použít k přidání dalších podmínek a skupin podmínek pomocí různých kombinací operátorů a OR k vytvoření výkonnýchAND, flexibilních a efektivních automatizačních pravidel, která vašemu soc pomůžou hladce běžet a snížit dobu odezvy a řešení.

Další kroky

V tomto dokumentu jste se dozvěděli, jak přidat skupiny podmínek pomocí OR operátorů do pravidel automatizace.

• Pokyny k vytváření základních pravidel automatizace najdete v tématu Vytvoření a použití pravidel automatizace Microsoft Sentinel ke správě odpovědí.
• Další informace o pravidlech automatizace najdete v tématu Automatizace zpracování incidentů v Microsoft Sentinel pomocí pravidel automatizace.
• Další informace o pokročilých možnostech automatizace najdete v tématu Automatizace reakce na hrozby pomocí playbooků v Microsoft Sentinel.
• Nápovědu k implementaci pravidel automatizace a playbooků najdete v tématu Kurz: Použití playbooků k automatizaci reakcí na hrozby v Microsoft Sentinel.