Vytváření a používání pravidel automatizace microsoft Sentinelu ke správě odpovědí

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak vytvářet a používat pravidla automatizace v Microsoft Sentinelu ke správě a orchestraci reakcí na hrozby, aby se maximalizovala efektivita a efektivita soC.

V tomto článku se dozvíte, jak definovat triggery a podmínky, které určí, kdy se pravidlo automatizace spustí, různé akce, které můžete pravidlo provést, a zbývající funkce a funkce.

Důležité

Funkce pravidel automatizace jsou aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Návrh pravidla automatizace

Před vytvořením pravidla automatizace doporučujeme určit jeho rozsah a návrh, včetně triggeru, podmínek a akcí, které vaše pravidlo tvoří.

Určení oboru

Prvním krokem při návrhu a definování pravidla automatizace je zjištění incidentů nebo upozornění, na které se má použít. Toto rozhodnutí bude mít přímý vliv na to, jak pravidlo vytvoříte.

Chcete také určit váš případ použití. Čeho se snažíte s touto automatizací dosáhnout? Zvažte následující možnosti:

• Vytvořte pro analytiky úkoly, které budou sledovat při třídění, vyšetřování a odstraňování incidentů.
• Potlačit hlučné incidenty. (Alternativně můžete použít jiné metody pro zpracování falešně pozitivních výsledků v Microsoft Sentinelu.)
• Třídění nových incidentů změnou stavu Nové na Aktivní a přiřazením vlastníka
• Označte incidenty a klasifikujte je.
• Eskalujte incident přiřazením nového vlastníka.
• Zavření vyřešených incidentů, zadání důvodu a přidání komentářů
• Analyzujte obsah incidentu (výstrahy, entity a další vlastnosti) a proveďte další akce voláním playbooku.
• Zpracování výstrahy nebo reakce na ni bez přidruženého incidentu

Určení triggeru

Chcete tuto automatizaci aktivovat při vytváření nových incidentů nebo upozornění? Nebo se incident aktualizuje?

Pravidla automatizace se aktivují při vytvoření nebo aktualizaci incidentu nebo při vytvoření výstrahy. Vzpomeňte si, že incidenty zahrnují výstrahy a že výstrahy i incidenty je možné vytvořit pomocí analytických pravidel, z nichž existuje několik typů, jak je vysvětleno v tématu Detekce hrozeb pomocí integrovaných analytických pravidel v Microsoft Sentinelu.

Následující tabulka ukazuje různé možné scénáře, které způsobí spuštění pravidla automatizace.

Typ aktivační události	Události, které způsobují spuštění pravidla
Při vytvoření incidentu	Unified security operations platform in Microsoft Defender: Na portálu Microsoft Defenderu se vytvoří nový incident. Microsoft Sentinel není onboardovaný na sjednocenou platformu: Nový incident se vytvoří analytickým pravidlem. Incident se ingestuje z XDR v programu Microsoft Defender. Nový incident se vytvoří ručně.
Při aktualizaci incidentu	Stav incidentu se změní (zavřeno, znovu otevřeno nebo třídění). Vlastník incidentu se přiřadí nebo změní. Závažnost incidentu je vyvolána nebo nižší. Výstrahy se přidají do incidentu. Komentáře, značky nebo taktiky se přidají do incidentu.
Při vytvoření výstrahy	Výstrahu vytvoří pravidlo naplánované služby Microsoft Sentinel nebo analytické pravidlo NRT.

Vytvoření pravidla automatizace

Většina následujících pokynů platí pro všechny případy použití, pro které vytvoříte pravidla automatizace.

Pokud chcete potlačit hlučné incidenty, zkuste zpracovat falešně pozitivní výsledky.

Pokud chcete vytvořit pravidlo automatizace, které se použije pro konkrétní analytické pravidlo, přečtěte si téma Nastavení automatizovaných odpovědí a vytvoření pravidla.

Vytvoření pravidla automatizace:

1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation.

2. Na stránce Automation v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce vytvořit a zvolte pravidlo Automatizace.

   Azure Portal

   

   Portál Defenderu

   

3. Otevře se panel Vytvořit nové pravidlo automatizace. Do pole Název pravidla automation zadejte název pravidla.

Volba triggeru

V rozevíracím seznamu Aktivační událost vyberte odpovídající aktivační událost podle okolností, pro které vytváříte pravidlo automatizace – Při vytvoření incidentu, při aktualizaci incidentu nebo při vytvoření výstrahy.

Definování podmínek

Pomocí možností v oblasti Podmínky můžete definovat podmínky pro vaše pravidlo automatizace.

• Pravidla, která vytvoříte pro vytvoření výstrahy, podporují pouze vlastnost Název analytického pravidla ve vaší podmínce. Vyberte, jestli má být pravidlo inkluzivní (obsahuje) nebo výhradní (neobsahuje) a pak v rozevíracím seznamu vyberte název analytického pravidla.

• Pravidla, která vytvoříte pro vytvoření nebo aktualizaci incidentu, podporují širokou škálu podmínek v závislosti na vašem prostředí. Tyto možnosti začínají tím, jestli je váš pracovní prostor onboardován na sjednocenou platformu operací zabezpečení:

  Onboardované pracovní prostory

  Pokud je váš pracovní prostor onboardovaný na sjednocenou platformu operací zabezpečení, začněte výběrem jednoho z následujících operátorů na portálu Azure nebo Defenderu:

  • AND: jednotlivé podmínky, které se vyhodnocují jako skupina Pravidlo se spustí, pokud jsou splněny všechny podmínky tohoto typu.

    Pokud chcete pracovat s operátorem AND, vyberte rozbalovač + Přidat a v rozevíracím seznamu zvolte Podmínka (A). Seznam podmínek je naplněn vlastnostmi incidentu a poli vlastností entity.

  • OR (označované také jako skupiny podmínek): skupiny podmínek, z nichž každá se vyhodnocuje nezávisle. Pravidlo se spustí, pokud platí jedna nebo více skupin podmínek. Informace o tom, jak pracovat s těmito složitými typy podmínek, najdete v tématu Přidání rozšířených podmínek do pravidel automatizace.

  Příklad:

  

  Pracovní prostory nejsou onboardované

  Pokud se váš pracovní prostor nepřipojí k jednotné platformě operací zabezpečení, začněte definováním následujících vlastností podmínky:

  • Poskytovatel incidentů: Incidenty můžou mít dva možné zdroje: dají se vytvořit v Rámci Microsoft Sentinelu a dají se také importovat z XDR v programu Microsoft Defender a synchronizovat s nimi.

    Pokud jste vybrali jeden z triggerů incidentu a chcete, aby se pravidlo automatizace projevilo pouze na incidenty vytvořené v Microsoft Sentinelu, nebo případně jenom u těch importovaných z XDR v programu Microsoft Defender, zadejte zdroj v zprostředkovateli incidentů se rovná podmínce. (Tato podmínka se zobrazí jenom v případě, že je vybrán trigger incidentu.)

  • Název analytického pravidla: Pokud chcete, aby se pravidlo automatizace projevilo pouze na určitých analytických pravidlech, určete, které z nich upravíte, pokud název pravidla Analýzy obsahuje podmínku. (Tato podmínka se nezobrazí , pokud je jako poskytovatel incidentu vybrán XDR v programu Microsoft Defender.)

  Pak pokračujte výběrem jednoho z následujících operátorů:

  • AND: jednotlivé podmínky, které se vyhodnocují jako skupina Pravidlo se spustí, pokud jsou splněny všechny podmínky tohoto typu.

    Pokud chcete pracovat s operátorem AND, vyberte rozbalovač + Přidat a v rozevíracím seznamu zvolte Podmínka (A). Seznam podmínek je naplněn vlastnostmi incidentu a poli vlastností entity.

  • OR (označované také jako skupiny podmínek): skupiny podmínek, z nichž každá se vyhodnocuje nezávisle. Pravidlo se spustí, pokud platí jedna nebo více skupin podmínek. Informace o tom, jak pracovat s těmito složitými typy podmínek, najdete v tématu Přidání rozšířených podmínek do pravidel automatizace.

  Příklad:

  

  Pokud jste jako trigger vybrali možnost Při aktualizaci incidentu, začněte definováním podmínek a přidáním dalších operátorů a hodnot podle potřeby.

Definování podmínek:

1. V prvním rozevíracím seznamu vlevo vyberte vlastnost. Do vyhledávacího pole můžete začít psát libovolnou část názvu vlastnosti, abyste mohli seznam dynamicky filtrovat, abyste rychle našli, co hledáte.

   

2. V dalším rozevíracím seznamu napravo vyberte operátor.

   Seznam operátorů, ze které si můžete vybrat, se liší podle vybrané aktivační události a vlastnosti.

   Podmínky dostupné pomocí triggeru pro vytvoření

   Vlastnost	Sada operátorů
   - Název - Popis – Všechny vlastnosti uvedené entity	- Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na
   - Značka (viz jednotlivé vs. kolekce)	Každá jednotlivá značka: - Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na Kolekce všech značek: - Obsahuje/neobsahuje
   - Závažnost - Stav - Vlastní klíč podrobností	- Rovná se/Nerovná se
   - Taktiky - Názvy produktů upozornění - Vlastní hodnota podrobností - Název analytického pravidla	- Obsahuje/neobsahuje

   Podmínky dostupné s triggerem aktualizace

   Vlastnost	Sada operátorů
   - Název - Popis – Všechny vlastnosti uvedené entity	- Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na
   - Značka (viz jednotlivé vs. kolekce)	Každá jednotlivá značka: - Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na Kolekce všech značek: - Obsahuje/neobsahuje
   - Značka (kromě výše) - Výstrahy - Komentáře	-Přidány
   - Závažnost - Stav	- Rovná se/Nerovná se -Změnit - Změněno z - Změněno na
   - Vlastník	-Změnit
   - Aktualizováno uživatelem - Vlastní klíč podrobností	- Rovná se/Nerovná se
   - Taktiky	- Obsahuje/neobsahuje -Přidány
   - Názvy produktů upozornění - Vlastní hodnota podrobností - Název analytického pravidla	- Obsahuje/neobsahuje

   Podmínky dostupné s triggerem upozornění

   Jedinou podmínkou, kterou můžou vyhodnotit pravidla na základě triggeru vytváření upozornění, je pravidlo analýzy Microsoft Sentinelu, které výstrahu vytvořilo.

   Pravidla automatizace založená na triggeru upozornění se proto budou spouštět jenom u výstrah vytvořených službou Microsoft Sentinel.

3. Do pole vpravo zadejte hodnotu. V závislosti na zvolené vlastnosti to může být textové pole nebo rozevírací seznam, ve kterém vyberete ze seznamu uzavřených hodnot. Můžete také přidat několik hodnot tak, že vyberete ikonu kostky napravo od textového pole.

   

Opět platí, že pokud chcete nastavit složité podmínky nebo s různými poli, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace.

Podmínky založené na značkách

Na základě značek můžete vytvořit dva druhy podmínek:

• Podmínky s jednotlivými operátory značek vyhodnocují zadanou hodnotu pro každou značku v kolekci. Vyhodnocení platí, pokud podmínka splňuje alespoň jednu značku.
• Podmínky s kolekcí všech operátorů značek vyhodnocují zadanou hodnotu pro kolekci značek jako jednu jednotku. Vyhodnocení platí pouze v případě, že kolekce jako celek splňuje podmínku.

Pokud chcete přidat jednu z těchto podmínek na základě značek incidentu, proveďte následující kroky:

1. Vytvořte nové pravidlo automatizace, jak je popsáno výše.

2. Přidejte podmínku nebo skupinu podmínek.

3. V rozevíracím seznamu vlastností vyberte Možnost Značka .

4. Výběrem rozevíracího seznamu operátorů zobrazte dostupné operátory, ze které si můžete vybrat.

   Onboardované pracovní prostory

   

   Pracovní prostory nejsou onboardované

   

   Podívejte se, jak jsou operátory rozdělené do dvou kategorií, jak je popsáno dříve. Na základě toho, jak chcete, aby se značky vyhodnocovaly, pečlivě zvolte operátor.

   Další informace naleznete v tématu Tag property: individual vs. collection.

Podmínky založené na vlastních podrobnostech

Hodnotu vlastního detailu v incidentu můžete nastavit jako podmínku pravidla automatizace. Vzpomeňte si, že vlastní podrobnosti jsou datové body v nezpracovaných záznamech protokolu událostí, které se dají zobrazit a zobrazit v upozorněních a incidentech vygenerovaných z nich. Pomocí vlastních podrobností se můžete dostat ke skutečnému relevantnímu obsahu v upozorněních, aniž byste museli procházet výsledky dotazů.

Přidání podmínky na základě vlastních podrobností:

1. Vytvořte nové pravidlo automatizace, jak je popsáno výše.

2. Přidejte podmínku nebo skupinu podmínek.

3. V rozevíracím seznamu vlastností vyberte Klíč vlastních podrobností . V rozevíracím seznamu operátorů vyberte Rovná se nebo Nerovná se.

   Pro podmínku vlastních podrobností pocházejí hodnoty v posledním rozevíracím seznamu z vlastních podrobností, které byly uvedeny ve všech analytických pravidlech uvedených v první podmínce. Vyberte vlastní podrobnosti, které chcete použít jako podmínku.

   

4. Zvolili jste pole, které chcete vyhodnotit pro tuto podmínku. Teď zadejte hodnotu, která se zobrazí v tomto poli, která tuto podmínku vyhodnotí jako true.
   Vyberte + Přidat podmínku položky.

   

   Řádek podmínky hodnoty se zobrazí níže.

   

5. V rozevíracím seznamu operátorů vyberte Možnost Obsahuje nebo Neobsahuje . Do textového pole vpravo zadejte hodnotu, pro kterou má být podmínka vyhodnocena jako true.

   

V tomto příkladu, pokud má incident vlastní podrobnosti DestinationEmail a pokud je pwned@bad-botnet.comhodnota tohoto detailu, akce definované v pravidle automatizace se spustí.

Přidání akcí

Zvolte akce, které má toto pravidlo automatizace provést. Mezi dostupné akce patří Přiřazení vlastníka, Změna stavu, Závažnost změn, Přidání značek a Playbook Spustit. Můžete přidat libovolný počet akcí.

Poznámka:

V pravidlech automatizace pomocí triggeru upozornění je k dispozici pouze akce run playbooku.

Podle toho, kterou akci zvolíte, vyplňte pole, která se zobrazí pro danou akci podle toho, co chcete udělat.

Pokud přidáte akci run playbooku, zobrazí se výzva k výběru z rozevíracího seznamu dostupných playbooků.

• Pomocí jednoho z aktivačních událostí incidentu je možné spouštět pouze playbooky, které začínají triggerem incidentu, takže se zobrazí jenom v seznamu. Podobně jsou v pravidlech automatizace pomocí triggeru upozornění k dispozici pouze playbooky, které začínají triggerem upozornění.

• Aby bylo možné spouštět playbooky, musí být službě Microsoft Sentinel udělena explicitní oprávnění. Pokud se playbook v rozevíracím seznamu zobrazí šedě, znamená to, že Sentinel nemá oprávnění k této skupině prostředků playbooku. Oprávnění můžete přiřadit výběrem odkazu Spravovat oprávnění playbooku.

  Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

  Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění služby Microsoft Sentinel, a musíte mít roli Přispěvatel služby Microsoft Sentinel pro libovolnou skupinu prostředků obsahující playbooky, které chcete spustit.

• Pokud ještě nemáte playbook, který provede akci, kterou máte na paměti, vytvořte nový playbook. Po vytvoření playbooku budete muset ukončit proces vytváření pravidel automatizace a restartovat ho.

Přesouvání akcí

Pořadí akcí v pravidle můžete změnit i po jejich přidání. Výběrem modrých šipek nahoru nebo dolů vedle každé akce ji posunete o krok nahoru nebo dolů.

Dokončení vytváření pravidla

1. Pokud chcete, aby platnost pravidla automatizace vypršela, nastavte datum vypršení platnosti (a volitelně čas). V opačném případě ponechte ho na neomezenou dobu.

2. Pole Objednávka je předem vyplněno dalším dostupným číslem pro typ triggeru pravidla. Toto číslo určuje, kde se bude toto pravidlo spouštět v posloupnosti pravidel automatizace (stejného typu triggeru). Číslo můžete změnit, pokud chcete toto pravidlo spustit před existujícím pravidlem.

   Další informace najdete v poznámkách k pořadí provádění a prioritě .

3. Vyberte Použít. Už jste hotovi!

Aktivita pravidla automatizace auditu

Zjistěte, jaká pravidla automatizace mohla s daným incidentem provést. Máte k dispozici úplný záznam o incidentech v tabulce SecurityIncident na stránce Protokoly na webu Azure Portal nebo na stránce Rozšířené vyhledávání na portálu Defender. Pomocí následujícího dotazu zobrazíte všechny aktivity pravidel automatizace:

SecurityIncident
| where ModifiedBy contains "Automation"

Spouštění pravidel automatizace

Pravidla automatizace se spouští postupně podle pořadí, které určíte. Každé pravidlo automatizace se spustí poté, co předchozí pravidlo dokončí jeho spuštění. V rámci pravidla automatizace se všechny akce spouštějí postupně v pořadí, v jakém jsou definovány. Další informace najdete v poznámkách k pořadí provádění a prioritě .

Akce playbooku v rámci pravidla automatizace se můžou za určitých okolností zacházet odlišně podle následujících kritérií:

Čas běhu playbooku	Pravidlo automatizace přejde na další akci...
Méně než sekunda	Ihned po dokončení playbooku
Méně než dvě minuty	Až dvě minuty po spuštění playbooku, ale po dokončení playbooku maximálně 10 sekund
Více než dvě minuty	Dvě minuty po spuštění playbooku, bez ohledu na to, zda byl dokončen nebo nebyl dokončen

Další kroky

V tomto dokumentu jste zjistili, jak pomocí pravidel automatizace centrálně spravovat automatizaci reakcí pro incidenty a výstrahy Microsoft Sentinelu.

• Pokud chcete zjistit, jak přidat pokročilé podmínky s OR operátory do pravidel automatizace, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace služby Microsoft Sentinel.
• Další informace opravidlech
• Další informace o pokročilých možnostech automatizace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
• Informace o tom, jak pomocí pravidel automatizace přidávat úkoly do incidentů, najdete v tématu Vytváření úkolů incidentů v Microsoft Sentinelu pomocí pravidel automatizace.
• Pokud chcete migrovat playbooky aktivující výstrahy, které budou vyvolány pravidly automatizace, přečtěte si téma Migrace playbooků triggerů upozornění služby Microsoft Sentinel do pravidel automatizace.
• Nápovědu k implementaci pravidel automatizace a playbooků najdete v kurzu : Použití playbooků k automatizaci reakcí na hrozby v Microsoft Sentinelu.