Vytváření a používání pravidel automatizace microsoft Sentinelu ke správě odpovědí

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek vysvětluje, jak vytvářet a používat pravidla automatizace v Microsoft Sentinelu ke správě a orchestraci reakcí na hrozby, aby se maximalizovala efektivita a efektivita soC.

V tomto článku se dozvíte, jak definovat triggery a podmínky, které určují, kdy se pravidlo automatizace spustí, různé akce, které můžete pravidlo provést, a zbývající funkce a funkce.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Návrh pravidla automatizace

Před vytvořením pravidla automatizace doporučujeme určit jeho rozsah a návrh, včetně triggeru, podmínek a akcí, které tvoří vaše pravidlo.

Určení oboru

Prvním krokem při návrhu a definování pravidla automatizace je zjištění incidentů nebo upozornění, na které se má použít. Toto určení přímo ovlivňuje způsob vytvoření pravidla.

Chcete také určit váš případ použití. Čeho se snažíte s touto automatizací dosáhnout? Zvažte následující možnosti:

• Vytvořte pro analytiky úkoly, které budou sledovat při třídění, vyšetřování a odstraňování incidentů.
• Potlačit hlučné incidenty. (Alternativně můžete použít jiné metody pro zpracování falešně pozitivních výsledků v Microsoft Sentinelu.)
• Třídění nových incidentů změnou stavu Nové na Aktivní a přiřazením vlastníka
• Označte incidenty a klasifikujte je.
• Eskalujte incident přiřazením nového vlastníka.
• Zavření vyřešených incidentů, zadání důvodu a přidání komentářů
• Analyzujte obsah incidentu (výstrahy, entity a další vlastnosti) a proveďte další akce voláním playbooku.
• Zpracování výstrahy nebo reakce na ni bez přidruženého incidentu

Určení triggeru

Chcete tuto automatizaci aktivovat při vytváření nových incidentů nebo upozornění? Nebo se incident aktualizuje?

Pravidla automatizace se aktivují při vytvoření nebo aktualizaci incidentu nebo při vytvoření výstrahy. Vzpomeňte si, že incidenty zahrnují výstrahy a že výstrahy i incidenty je možné vytvořit analytickými pravidly, z nichž existuje několik typů, jak je vysvětleno v detekci hrozeb v Microsoft Sentinelu.

Následující tabulka uvádí různé možné scénáře, které způsobují spuštění pravidla automatizace.

Typ aktivační události	Události, které způsobují spuštění pravidla
Při vytvoření incidentu	Unified security operations platform in Microsoft Defender: Na portálu Microsoft Defenderu se vytvoří nový incident. Microsoft Sentinel není onboardovaný na sjednocenou platformu: Nový incident se vytvoří analytickým pravidlem. Incident se ingestuje z XDR v programu Microsoft Defender. Nový incident se vytvoří ručně.
Při aktualizaci incidentu	Stav incidentu se změní (zavřeno, znovu otevřeno nebo třídění). Vlastník incidentu se přiřadí nebo změní. Závažnost incidentu je vyvolána nebo nižší. Výstrahy se přidají do incidentu. Komentáře, značky nebo taktiky se přidají do incidentu.
Při vytvoření výstrahy	Výstrahu vytvoří pravidlo naplánované služby Microsoft Sentinel nebo analytické pravidlo NRT.

Vytvoření pravidla automatizace

Většina následujících pokynů platí pro všechny případy použití, pro které vytvoříte pravidla automatizace.

Pokud chcete potlačit hlučné incidenty, zkuste zpracovat falešně pozitivní výsledky.

Pokud chcete vytvořit pravidlo automatizace, které se použije pro konkrétní analytické pravidlo, přečtěte si téma Nastavení automatizovaných odpovědí a vytvoření pravidla.

Vytvoření pravidla automatizace:

1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation.

2. Na stránce Automation v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce vytvořit a zvolte pravidlo Automatizace.

   Azure Portal

   

   Portál Defenderu

   

3. Otevře se panel Vytvořit nové pravidlo automatizace. Do pole Název pravidla automation zadejte název pravidla.

Volba triggeru

V rozevíracím seznamu Aktivační událost vyberte odpovídající aktivační událost podle okolností, pro které vytváříte pravidlo automatizace – Při vytvoření incidentu, při aktualizaci incidentu nebo při vytvoření výstrahy.

Definování podmínek

Pomocí možností v oblasti Podmínky můžete definovat podmínky pro vaše pravidlo automatizace.

• Pravidla, která vytvoříte pro vytvoření výstrahy, podporují pouze vlastnost Název analytického pravidla ve vaší podmínce. Vyberte, jestli má být pravidlo inkluzivní (obsahuje) nebo výhradní (neobsahuje) a pak v rozevíracím seznamu vyberte název analytického pravidla.

  Hodnoty názvů analytických pravidel zahrnují pouze analytická pravidla a neobsahují jiné typy pravidel, jako jsou analýzy hrozeb nebo pravidla anomálií.

• Pravidla, která vytvoříte pro vytvoření nebo aktualizaci incidentu, podporují širokou škálu podmínek v závislosti na vašem prostředí. Tyto možnosti začínají tím, jestli je váš pracovní prostor onboardován na sjednocenou platformu operací zabezpečení:

  Onboardované pracovní prostory

  Pokud je váš pracovní prostor onboardovaný na sjednocenou platformu operací zabezpečení, začněte výběrem jednoho z následujících operátorů na portálu Azure nebo Defenderu:

  • AND: jednotlivé podmínky, které se vyhodnocují jako skupina Pravidlo se spustí, pokud jsou splněny všechny podmínky tohoto typu.

    Pokud chcete pracovat s operátorem AND, vyberte rozbalovač + Přidat a v rozevíracím seznamu zvolte Podmínka (A). Seznam podmínek je naplněn vlastnostmi incidentu a poli vlastností entity.

  • OR (označované také jako skupiny podmínek): skupiny podmínek, z nichž každá se vyhodnocuje nezávisle. Pravidlo se spustí, pokud platí jedna nebo více skupin podmínek. Informace o tom, jak pracovat s těmito složitými typy podmínek, najdete v tématu Přidání rozšířených podmínek do pravidel automatizace.

  Příklad:

  

  Pracovní prostory nejsou onboardované

  Pokud se váš pracovní prostor nepřipojí k jednotné platformě operací zabezpečení, začněte definováním následujících vlastností podmínky:

  • Poskytovatel incidentů: Incidenty můžou mít dva možné zdroje: dají se vytvořit v Rámci Microsoft Sentinelu a dají se také importovat z XDR v programu Microsoft Defender a synchronizovat s nimi.

    Pokud jste vybrali jeden z triggerů incidentu a chcete, aby se pravidlo automatizace projevilo pouze na incidenty vytvořené v Microsoft Sentinelu, nebo případně jenom u těch importovaných z XDR v programu Microsoft Defender, zadejte zdroj v zprostředkovateli incidentů se rovná podmínce. (Tato podmínka se zobrazí jenom v případě, že je vybrán trigger incidentu.)

  • Název analytického pravidla: Pokud chcete, aby se pravidlo automatizace projevilo pouze na určitých analytických pravidlech, určete, které z nich upravíte, pokud název pravidla Analýzy obsahuje podmínku. (Tato podmínka se nezobrazí, pokud je jako poskytovatel incidentu vybraný XDR v programu Microsoft Defender.)

  Pak pokračujte výběrem jednoho z následujících operátorů:

  • AND: jednotlivé podmínky, které se vyhodnocují jako skupina Pravidlo se spustí, pokud jsou splněny všechny podmínky tohoto typu.

    Pokud chcete pracovat s operátorem AND, vyberte rozbalovač + Přidat a v rozevíracím seznamu zvolte Podmínka (A). Seznam podmínek je naplněn vlastnostmi incidentu a poli vlastností entity.

  • OR (označované také jako skupiny podmínek): skupiny podmínek, z nichž každá se vyhodnocuje nezávisle. Pravidlo se spustí, pokud platí jedna nebo více skupin podmínek. Informace o tom, jak pracovat s těmito složitými typy podmínek, najdete v tématu Přidání rozšířených podmínek do pravidel automatizace.

  Příklad:

  

  Pokud jste jako trigger vybrali možnost Při aktualizaci incidentu, začněte definováním podmínek a přidáním dalších operátorů a hodnot podle potřeby.

Definování podmínek:

1. V prvním rozevíracím seznamu vlevo vyberte vlastnost. Do vyhledávacího pole můžete začít psát libovolnou část názvu vlastnosti, abyste mohli seznam dynamicky filtrovat, abyste rychle našli, co hledáte.

   

2. V dalším rozevíracím seznamu napravo vyberte operátor.

   Seznam operátorů, ze které si můžete vybrat, se liší podle vybrané aktivační události a vlastnosti.

   Podmínky dostupné pomocí triggeru pro vytvoření

   Vlastnost	Sada operátorů
   - Název - Popis – Všechny vlastnosti uvedené entity   (viz podporované vlastnosti entity)	- Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na
   - Značka (viz jednotlivé vs. kolekce)	Každá jednotlivá značka: - Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na Kolekce všech značek: - Obsahuje/neobsahuje
   - Závažnost - Stav - Vlastní klíč podrobností	- Rovná se/Nerovná se
   - Taktika - Názvy produktů upozornění - Vlastní hodnota podrobností - Název analytického pravidla	- Obsahuje/neobsahuje

   Podmínky dostupné s triggerem aktualizace

   Vlastnost	Sada operátorů
   - Název - Popis – Všechny vlastnosti uvedené entity   (viz podporované vlastnosti entity)	- Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na
   - Značka (viz jednotlivé vs. kolekce)	Každá jednotlivá značka: - Rovná se/Nerovná se - Obsahuje/neobsahuje - Začíná na/Nezačíná na - Končí/Nekončí na Kolekce všech značek: - Obsahuje/neobsahuje
   - Značka (kromě výše) - Výstrahy - Komentáře	-Přidán
   - Závažnost - Stav	- Rovná se/Nerovná se -Změnil - Změněno z - Změněno na
   - Vlastník	-Změnil
   - Aktualizováno uživatelem - Vlastní klíč podrobností	- Rovná se/Nerovná se
   - Taktika	- Obsahuje/neobsahuje -Přidán
   - Názvy produktů upozornění - Vlastní hodnota podrobností - Název analytického pravidla	- Obsahuje/neobsahuje

   Podmínky dostupné s triggerem upozornění

   Jedinou podmínkou, kterou můžou vyhodnotit pravidla na základě triggeru vytváření upozornění, je pravidlo analýzy Microsoft Sentinelu, které výstrahu vytvořilo.

   Pravidla automatizace, která jsou založená na triggeru upozornění, se spouštějí jenom na upozorněních vytvořených službou Microsoft Sentinel.

3. Do pole vpravo zadejte hodnotu. V závislosti na zvolené vlastnosti to může být textové pole nebo rozevírací seznam, ve kterém vyberete ze seznamu uzavřených hodnot. Můžete také přidat několik hodnot tak, že vyberete ikonu kostky napravo od textového pole.

   

Opět platí, že pokud chcete nastavit složité podmínky nebo s různými poli, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace.

Podmínky založené na značkách

Na základě značek můžete vytvořit dva druhy podmínek:

• Podmínky s jednotlivými operátory značek vyhodnocují zadanou hodnotu pro každou značku v kolekci. Vyhodnocení platí, pokud podmínka splňuje alespoň jednu značku.
• Podmínky s kolekcí všech operátorů značek vyhodnocují zadanou hodnotu pro kolekci značek jako jednu jednotku. Vyhodnocení platí pouze v případě, že kolekce jako celek splňuje podmínku.

Pokud chcete přidat jednu z těchto podmínek na základě značek incidentu, proveďte následující kroky:

1. Vytvořte nové pravidlo automatizace, jak je popsáno výše.

2. Přidejte podmínku nebo skupinu podmínek.

3. V rozevíracím seznamu vlastností vyberte Možnost Značka .

4. Výběrem rozevíracího seznamu operátorů zobrazte dostupné operátory, ze které si můžete vybrat.

   Onboardované pracovní prostory

   

   Pracovní prostory nejsou onboardované

   

   Podívejte se, jak jsou operátory rozdělené do dvou kategorií, jak je popsáno dříve. Na základě toho, jak chcete, aby se značky vyhodnocovaly, pečlivě zvolte operátor.

   Další informace naleznete v tématu Tag property: individual vs. collection.

Podmínky založené na vlastních podrobnostech

Hodnotu vlastního detailu v incidentu můžete nastavit jako podmínku pravidla automatizace. Vzpomeňte si, že vlastní podrobnosti jsou datové body v nezpracovaných záznamech protokolu událostí, které se dají zobrazit a zobrazit v upozorněních a incidentech vygenerovaných z nich. Pomocí vlastních podrobností se můžete dostat ke skutečnému relevantnímu obsahu v upozorněních, aniž byste museli procházet výsledky dotazů.

Přidání podmínky na základě vlastních podrobností:

1. Vytvořte nové pravidlo automatizace, jak je popsáno výše.

2. Přidejte podmínku nebo skupinu podmínek.

3. V rozevíracím seznamu vlastností vyberte Klíč vlastních podrobností . V rozevíracím seznamu operátorů vyberte Rovná se nebo Nerovná se.

   Pro podmínku vlastních podrobností pocházejí hodnoty v posledním rozevíracím seznamu z vlastních podrobností, které byly uvedeny ve všech analytických pravidlech uvedených v první podmínce. Vyberte vlastní podrobnosti, které chcete použít jako podmínku.

   

4. Zvolili jste pole, které chcete vyhodnotit pro tuto podmínku. Teď zadejte hodnotu, která se zobrazí v tomto poli, která tuto podmínku vyhodnotí jako true.
   Vyberte + Přidat podmínku položky.

   

   Řádek podmínky hodnoty se zobrazí níže.

   

5. V rozevíracím seznamu operátorů vyberte Možnost Obsahuje nebo Neobsahuje . Do textového pole vpravo zadejte hodnotu, pro kterou má být podmínka vyhodnocena jako true.

   

V tomto příkladu, pokud má incident vlastní podrobnosti DestinationEmail a pokud je pwned@bad-botnet.comhodnota tohoto detailu, akce definované v pravidle automatizace se spustí.

Přidání akcí

Zvolte akce, které má toto pravidlo automatizace provést. Mezi dostupné akce patří Přiřazení vlastníka, Změna stavu, Závažnost změn, Přidání značek a Playbook Spustit. Můžete přidat libovolný počet akcí.

Poznámka:

V pravidlech automatizace pomocí triggeru upozornění je k dispozici pouze akce run playbooku.

Podle toho, kterou akci zvolíte, vyplňte pole, která se zobrazí pro danou akci podle toho, co chcete udělat.

Pokud přidáte akci run playbooku, zobrazí se výzva k výběru z rozevíracího seznamu dostupných playbooků.

• Pomocí jednoho z aktivačních událostí incidentu je možné spouštět pouze playbooky, které začínají triggerem incidentu, takže se zobrazí jenom v seznamu. Podobně jsou v pravidlech automatizace pomocí triggeru upozornění k dispozici pouze playbooky, které začínají triggerem upozornění.

• Aby bylo možné spouštět playbooky, musí být službě Microsoft Sentinel udělena explicitní oprávnění. Pokud se playbook v rozevíracím seznamu zobrazí jako nedostupný, znamená to, že Sentinel nemá oprávnění pro přístup ke skupině prostředků daného playbooku. Pokud chcete přiřadit oprávnění, vyberte odkaz Spravovat oprávnění playbooku.

  Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

  

  Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění služby Microsoft Sentinel, a musíte mít roli Přispěvatel služby Microsoft Sentinel pro libovolnou skupinu prostředků obsahující playbooky, které chcete spustit.

• Pokud ještě nemáte playbook, který provede požadovanou akci, vytvořte nový playbook. Po vytvoření playbooku musíte ukončit proces vytváření pravidel automatizace a restartovat ho.

Přesouvání akcí

Pořadí akcí v pravidle můžete změnit i po jejich přidání. Výběrem modrých šipek nahoru nebo dolů vedle každé akce ji posunete o krok nahoru nebo dolů.

Dokončení vytváření pravidla

1. Pokud chcete, aby platnost pravidla automatizace vypršela, nastavte datum vypršení platnosti a volitelně čas v části Vypršení platnosti pravidla. V opačném případě ponechte ho na neomezenou dobu.

2. Pole Objednávka je předem vyplněno dalším dostupným číslem pro typ triggeru pravidla. Toto číslo určuje, kde se v posloupnosti pravidel automatizace (stejného typu triggeru) spouští toto pravidlo. Číslo můžete změnit, pokud chcete toto pravidlo spustit před existujícím pravidlem.

   Další informace najdete v tématu Poznámky k pořadí provádění a prioritě.

3. Vyberte Použít. Už jste hotovi!

Aktivita pravidla automatizace auditu

Zjistěte, jaká pravidla automatizace mohla s daným incidentem provést. Máte k dispozici úplný záznam o incidentech v tabulce SecurityIncident na stránce Protokoly na webu Azure Portal nebo na stránce Rozšířené vyhledávání na portálu Defender. Pomocí následujícího dotazu zobrazíte všechny aktivity pravidel automatizace:

SecurityIncident
| where ModifiedBy contains "Automation"

Spouštění pravidel automatizace

Pravidla automatizace se spouštějí postupně podle pořadí, které určíte. Každé pravidlo automatizace se spustí po dokončení předchozího spuštění. V rámci pravidla automatizace se všechny akce spouštějí postupně v pořadí, v jakém jsou definované. Další informace najdete v poznámkách k pořadí provádění a prioritě .

Akce playbooku v rámci pravidla automatizace se můžou za určitých okolností zacházet odlišně podle následujících kritérií:

Čas běhu playbooku	Pravidlo automatizace přejde na další akci...
Méně než sekunda	Ihned po dokončení playbooku
Méně než dvě minuty	Až dvě minuty po spuštění playbooku, ale po dokončení playbooku maximálně 10 sekund
Více než dvě minuty	Dvě minuty po spuštění playbooku, bez ohledu na to, zda byl dokončen nebo nebyl dokončen

Další kroky

V tomto dokumentu jste zjistili, jak pomocí pravidel automatizace centrálně spravovat automatizaci reakcí pro incidenty a výstrahy Microsoft Sentinelu.

• Pokud chcete zjistit, jak přidat pokročilé podmínky s OR operátory do pravidel automatizace, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace služby Microsoft Sentinel.
• Další informace opravidlech
• Další informace o pokročilých možnostech automatizace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
• Informace o tom, jak pomocí pravidel automatizace přidávat úkoly do incidentů, najdete v tématu Vytváření úkolů incidentů v Microsoft Sentinelu pomocí pravidel automatizace.
• Pokud chcete migrovat playbooky aktivující výstrahy, které budou vyvolány pravidly automatizace, přečtěte si téma Migrace playbooků triggerů upozornění služby Microsoft Sentinel do pravidel automatizace.
• Nápovědu k implementaci pravidel automatizace a playbooků najdete v kurzu : Použití playbooků k automatizaci reakcí na hrozby v Microsoft Sentinelu.