Veszélyforrások elhárításának automatizálási szabályokkal történő automatizálása a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogy mik a Microsoft Sentinel automatizálási szabályai, és hogyan valósíthatja meg a biztonsági vezénylési, automatizálási és válaszkezelési (SOAR) műveleteket. Az automatizálási szabályok növelik az SOC hatékonyságát, és időt és erőforrásokat takaríthatnak meg.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Mik azok az automatizálási szabályok?

Az automatizálási szabályok segítségével központilag kezelheti az automatizálást a Microsoft Sentinelben azáltal, hogy lehetővé teszi a különböző forgatókönyvekre alkalmazható szabályok kis csoportjának definiálását és koordinálását.

Az automatizálási szabályok a következő használati esetek kategóriáira vonatkoznak:

• Alapszintű automatizálási feladatok végrehajtása incidenskezeléshez forgatókönyvek használata nélkül. Példa:

  • Incidensfeladatok hozzáadása az elemzők számára követendő feladatokhoz.
  • A zajos incidensek mellőzése.
  • Az új incidensek osztályozásához módosítsa az állapotukat az Újról az Aktívra, és rendeljen hozzá egy tulajdonost.
  • Az incidensek címkézése az osztályozásukhoz.
  • Egy incidens eszkalálása új tulajdonos hozzárendelésével.
  • Zárja be a megoldott incidenseket, adjon meg egy okot, és adjon hozzá megjegyzéseket.

• Egyszerre több elemzési szabály válaszainak automatizálása.

• A végrehajtott műveletek sorrendjének szabályozása.

• Vizsgálja meg az incidens tartalmát (riasztások, entitások és egyéb tulajdonságok), és tegyen további lépéseket egy forgatókönyv meghívásával.

• Az automatizálási szabályok lehetnek olyan mechanizmusok is, amelyekkel forgatókönyvet futtat egy incidenshez nem kapcsolódó riasztásra válaszul.

Röviden: az automatizálási szabályok leegyszerűsítik az automatizálás használatát a Microsoft Sentinelben, így egyszerűbbé teheti a fenyegetéskezelési vezénylési folyamatok összetett munkafolyamatait.

Összetevők

Az automatizálási szabályok több összetevőből állnak:

• Olyan eseményindítók, amelyek meghatározzák , hogy milyen típusú incidensesemény okozza a szabály futtatását , feltételeknek megfelelően.
• A szabály futtatásának és végrehajtásának pontos körülményeit meghatározó feltételek.
• Az incidens valamilyen módon történő módosítására vagy forgatókönyv meghívására szolgáló műveletek, amelyek összetettebb műveleteket hajtanak végre, és más szolgáltatásokkal kommunikálnak.

Triggerek

Az automatizálási szabályok az incidensek létrehozásakor vagy frissítésekor, illetve riasztások létrehozásakor aktiválódnak. Ne feledje, hogy az incidensek riasztásokat is tartalmaznak, és a riasztások és az incidensek elemzési szabályokkal hozhatók létre, ahogyan azt a Microsoft Sentinel fenyegetésészlelése ismerteti.

Az alábbi táblázat azokat a lehetséges forgatókönyveket mutatja be, amelyek egy automatizálási szabály futtatását okozzák.

Trigger típusa	A szabály futtatását okozó események
Incidens létrehozásakor	Egyesített biztonsági üzemeltetési platform a Microsoft Defenderben: Új incidens jön létre a Microsoft Defender portálon. A Microsoft Sentinel nincs egységes platformra előkészítve: Egy elemzési szabály új incidenst hoz létre. Az incidens a Microsoft Defender XDR-ből van betöltve. A rendszer manuálisan hoz létre új incidenst.
Incidens frissítésekor	Az incidens állapota módosul (bezárva/újra megnyitva/triaged). Az incidens tulajdonosa hozzárendelve vagy módosítva van. Az incidens súlyossága emelkedik vagy csökken. A rendszer riasztásokat ad hozzá egy incidenshez. Megjegyzéseket, címkéket vagy taktikákat ad hozzá egy incidenshez.
Riasztás létrehozásakor	A riasztást egy Microsoft Sentinel ütemezett vagy NRT-elemzési szabály hozza létre.

Incidensalapú vagy riasztásalapú automatizálás?

Az automatizálási szabályok központilag kezelik az incidensekre és a riasztásokra adott választ, hogyan kell kiválasztani, hogy melyik automatizálható, és milyen körülmények között?

A legtöbb használati esetben az incidens által kiváltott automatizálás a legkedvesebb módszer. A Microsoft Sentinelben az incidens egy "esetfájl" – egy adott vizsgálathoz szükséges összes bizonyíték összesítése. Ez egy tároló riasztásokhoz, entitásokhoz, megjegyzésekhez, együttműködéshez és egyéb összetevőkhöz. Az egyetlen bizonyítékként szolgáló riasztásokkal ellentétben az incidensek módosíthatók, a legfrissebb állapottal rendelkeznek, és megjegyzésekkel, címkékkel és könyvjelzőkkel bővíthetők. Az incidens lehetővé teszi az új riasztások hozzáadásával folyamatosan fejlődő támadási történet nyomon követését.

Ezen okok miatt érdemesebb az automatizálást incidensek köré építeni. Így a forgatókönyvek létrehozásának legmegfelelőbb módja az, ha a Microsoft Sentinel incidensindítójára alapozza őket az Azure Logic Appsben.

A riasztások által aktivált automatizálás használatának fő oka az, hogy az elemzési szabályok által generált riasztásokra válaszolnak, amelyek nem hoznak létre incidenseket (vagyis ahol az incidensek létrehozása le van tiltva az elemzési szabály varázsló Incidensbeállítások lapján).

Ez különösen akkor fontos, ha a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra készítik fel. Ebben a forgatókönyvben az összes incidens létrehozása a Microsoft Defender XDR-ben történik, ezért a Microsoft Sentinel incidens-létrehozási szabályait le kell tiltani.

Az egyesített portálra való előkészítés nélkül is dönthet úgy, hogy riasztás által aktivált automatizálást használ, ha más külső logikát szeretne használni annak eldöntésére, hogy riasztásokból hoz-e létre incidenseket, és hogyan csoportosítja a riasztásokat. Példa:

• A nem társított incidenssel nem rendelkező riasztás által aktivált forgatókönyvek más forrásokból származó információkkal bővíthetik a riasztást, és valamilyen külső logika alapján eldönthetik, hogy létrehoznak-e incidenst.

• A riasztás által aktivált forgatókönyvek az incidens létrehozása helyett megkereshetik a megfelelő meglévő incidenst a riasztás hozzáadásához. További információ az incidensbővítésről.

• A riasztás által aktivált forgatókönyvek értesíthetik a soc személyzetét a riasztásról, így a csapat eldöntheti, hogy létrehoz-e incidenst.

• Egy riasztás által aktivált forgatókönyv elküldheti a riasztást egy külső jegykezelő rendszernek incidensek létrehozása és kezelése céljából, és ez a rendszer minden riasztáshoz létrehoz egy új jegyet.

Feljegyzés

• A riasztás által aktivált automatizálás csak ütemezett, NRT és Microsoft biztonsági elemzési szabályok által létrehozott riasztásokhoz érhető el.

• A Microsoft Defender XDR által létrehozott riasztások riasztás által aktivált automatizálása nem érhető el az egyesített biztonsági üzemeltetési platformon. További információ: Automation with the unified security operations platform.

Feltételek

Összetett feltételkészletek határozhatók meg, amelyek szabályozzák, hogy mikor fussanak a műveletek (lásd alább). Ezek a feltételek magukban foglalják a szabályt aktiváló eseményt (létrehozott vagy frissített vagy létrehozott riasztás), az incidens tulajdonságainak és entitástulajdonságainak állapotát vagy értékeit (csak incidensindító esetén), valamint az incidenst vagy riasztást létrehozó elemzési szabályt vagy szabályokat.

Egy automatizálási szabály aktiválásakor ellenőrzi az eseményindító incidenst vagy a riasztást a szabályban meghatározott feltételek alapján. Incidensek esetén a tulajdonságalapú feltételek kiértékelése az adott tulajdonság aktuális állapotának megfelelően történik a kiértékelés időpontjában, vagy a tulajdonság állapotának változásai alapján (a részletekért lásd alább). Mivel egyetlen incidens létrehozása vagy frissítése több automatizálási szabályt is kiválthat, a futtatásuk sorrendje (lásd alább) különbséget tesz a feltételek kiértékelésének eredményének meghatározásában. A szabályban meghatározott műveletek végrehajtása csak akkor történik meg, ha az összes feltétel teljesül.

Incidens-létrehozási eseményindító

Az eseményindítóval az incidens létrehozásakor definiált szabályokhoz olyan feltételeket határozhat meg, amelyek egy adott incidenstulajdonság-lista értékeinek aktuális állapotát ellenőrzik az alábbi operátorok közül egy vagy több használatával:

• egyenlő vagy nem egyenlő a feltételben meghatározott értékkel.
• a feltételben meghatározott értéket tartalmazza vagy nem tartalmazza .
• a feltételben meghatározott értékkel kezdődik vagy nem.
• a feltételben meghatározott értékkel végződik vagy nem végződik.

Ha például az elemzési szabály nevét a Contains == Találgatásos támadásként definiálja egy felhőszámítógép ellen, az Azure Portal elleni találgatásos támadással rendelkező elemzési szabály nem felel meg a feltételnek. Ha azonban az elemzési szabály nevét úgy határozza meg, hogy nem tartalmazza az == felhasználói hitelesítő adatokat, akkor a felhőalapú számítógép és az Azure Portal elemzési szabályai ellen irányuló találgatásos támadás is megfelel a feltételnek.

Feljegyzés

Ebben a kontextusban a jelenlegi állapot a feltétel kiértékelésének pillanatára utal, vagyis az automatizálási szabály futtatásának pillanatára. Ha egynél több automatizálási szabály van definiálva, hogy az incidens létrehozásakor fusson, akkor az incidens egy korábbi futtatású automatizálási szabály által végrehajtott módosításai a későbbi futtatású szabályok aktuális állapotának minősülnek.

Incidensfrissítési eseményindító

Az eseményindítóval definiált szabályokban kiértékelt feltételek az incidensek frissítésekor tartalmazzák az incidenslétrehozási eseményindítóhoz felsorolt összes feltételt. A frissítési eseményindító azonban több értékelhető tulajdonságot is tartalmaz.

Ezen tulajdonságok egyike frissítve van. Ez a tulajdonság lehetővé teszi az incidensben módosítást okozó forrás típusának nyomon követését. Létrehozhat egy feltételt, amely kiértékeli, hogy az incidenst az alábbi értékek valamelyike frissítette-e attól függően, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra hozta-e:

Előkészített munkaterületek

• Egy alkalmazás, beleértve az Azure-beli és a Defender-portálon található alkalmazásokat is.
• Egy felhasználó, beleértve a felhasználók által az Azure-ban és a Defender portálon végrehajtott módosításokat is.
• AIR, a frissítések automatizált vizsgálat és válasz a Office 365-höz készült Microsoft Defender
• Riasztások csoportosítása (amely riasztásokat adott hozzá az incidenshez), beleértve az elemzési szabályok és a Beépített Microsoft Defender XDR korrelációs logika által végrehajtott riasztáscsoportokat is
• Forgatókönyv
• Automatizálási szabály
• Egyéb, ha a fenti értékek egyike sem érvényes

A munkaterületek nincsenek előkészítve

• Alkalmazás
• Microsoft Sentinel-felhasználó
• Az elemzési szabályok által végzett riasztáscsoportozás (amely riasztásokat adott hozzá az incidenshez).
• Forgatókönyv
• Automatizálási szabály
• Microsoft Defender XDR

Ezt a feltételt használva például utasíthatja ezt az automatizálási szabályt, hogy futtassa az incidens bármilyen módosítását, kivéve, ha azt egy másik automatizálási szabály hozta létre.

A frissítési eseményindító emellett más operátorokat is használ, amelyek ellenőrzik az incidens tulajdonságainak és aktuális állapotának állapotváltozásait . Az állapotváltoztatási feltétel teljesülne, ha:

Az incidenstulajdonság értéke

• módosult (függetlenül attól, hogy a tényleges érték előtt vagy után).
• módosult a feltételben meghatározott értékről .
• a feltételben meghatározott értékre módosult.
• hozzáadva (ez az értékek listáját tartalmazó tulajdonságokra vonatkozik).

Címketulajdonság : egyéni és gyűjtemény

Az incidenstulajdonság címkéje különálló elemek gyűjteménye – egyetlen incidensre több címke is vonatkozhat. Megadhatja azokat a feltételeket, amelyek egyenként ellenőrzik a gyűjtemény egyes címkéinek állapotát, valamint azokat a feltételeket, amelyek egységként ellenőrzik a címkék gyűjteményét.

• Minden egyes címkeoperátorok ellenőrzik a feltételt a gyűjtemény minden címkéjében. A kiértékelés akkor igaz , ha legalább egy címke megfelel a feltételnek.
• A címkék összes operátorának gyűjteménye egyetlen egységként ellenőrzi a címkék gyűjteményét. A kiértékelés csak akkor igaz , ha a gyűjtemény egésze megfelel a feltételnek.

Ez a megkülönböztetés akkor számít, ha a feltétel negatív (nem tartalmaz), és a gyűjtemény egyes címkéi megfelelnek a feltételnek, míg mások nem.

Tekintsünk meg egy példát, ahol a feltétel az, hogy a címke nem tartalmazza a "2024" értéket, és két incidense van, amelyek mindegyike két címkével rendelkezik:

\Események ▶ Feltétel ▼ \	1. incidens 1. címke: 2024 2. címke: 2023	2. incidens 1. címke: 2023 2. címke: 2022
Bármely egyedi címke nem tartalmaz "2024"	IGAZ	IGAZ
Az összes címke gyűjteménye nem tartalmaz "2024"	TÉVES	IGAZ

Ebben a példában az 1. incidensben:

• Ha a feltétel egyenként ellenőrzi az egyes címkéket, akkor mivel van legalább egy olyan címke, amely megfelel a feltételnek (amely nem tartalmazza a "2024"-et), a teljes feltétel igaz.
• Ha a feltétel egyetlen egységként ellenőrzi az incidens összes címkéjét, akkor mivel van legalább egy olyan címke, amely nem felel meg a feltételnek (amely tartalmazza a "2024"-et), a teljes feltétel hamis.

A 2. incidensben az eredmény ugyanaz, függetlenül attól, hogy milyen típusú feltétel van definiálva.

Támogatott entitástulajdonságok

Az automatizálási szabályok feltételeiként támogatott entitástulajdonságok listájáért tekintse meg a Microsoft Sentinel automatizálási szabályokra vonatkozó referenciáját.

Riasztáslétrehozási eseményindító

Jelenleg a riasztáslétrehozási eseményindítóhoz konfigurálható egyetlen feltétel az az elemzési szabályok készlete, amelyekhez az automatizálási szabály fut.

Műveletek

A műveletek úgy határozhatók meg, hogy a feltételek teljesülése esetén fussanak (lásd fent). Egy szabályban számos műveletet definiálhat, és kiválaszthatja a futtatás sorrendjét (lásd alább). A következő műveletek automatizálási szabályokkal határozhatók meg, anélkül, hogy szükség lenne egy forgatókönyv speciális funkcióira:

• Feladat hozzáadása egy incidenshez – létrehozhat egy ellenőrzőlistát az elemzők számára az incidens osztályozási, vizsgálati és szervizelési folyamatainak követéséhez , hogy a kritikus lépések ne maradjanak le.

• Az incidens állapotának módosítása, a munkafolyamat naprakészen tartása.

  • Ha "bezárt" értékre vált, adja meg a záró okot , és adjon hozzá egy megjegyzést. Ez segít nyomon követni a teljesítményt és a hatékonyságot, és finomhangolni a hamis pozitív értékek csökkentése érdekében.

• Az incidens súlyosságának módosítása – az incidensben érintett entitások jelenléte, hiánya, értékei vagy attribútumai alapján újraértékelheti és újrareicializálhatja azokat.

• Incidens hozzárendelése egy tulajdonoshoz – ez segít az incidensek típusainak a kezelésére leginkább alkalmas személyzetnek vagy a rendelkezésre álló személyzetnek irányítani.

• Címke hozzáadása incidenshez – ez hasznos az incidensek tárgy, támadó vagy bármely más közös nevező szerint történő besorolásához.

Emellett meghatározhat egy műveletet egy forgatókönyv futtatásához, hogy összetettebb válaszműveleteket hajthasson végre, beleértve a külső rendszereket is. Az automatizálási szabályokban használható forgatókönyvek attól függenek, hogy a forgatókönyvek és az automatizálási szabály melyik eseményindítón alapulnak: Csak incidensindító forgatókönyvek futtathatók incidensindító automatizálási szabályokból, és csak riasztás-trigger forgatókönyvek futtathatók riasztás-trigger automatizálási szabályokból. Több olyan műveletet is meghatározhat, amely forgatókönyveket vagy forgatókönyvek és egyéb műveletek kombinációját hívja meg. A műveletek végrehajtása a szabályban felsorolt sorrendben történik.

Az Azure Logic Apps (Standard vagy Consumption) bármelyik verzióját használó forgatókönyvek automatizálási szabályokból futtathatók.

Lejárati dátum

Egy automatizálási szabály lejárati dátumát definiálhatja. A szabály a dátum lejárta után le van tiltva. Ez hasznos lehet a tervezett, időkorlátos tevékenységek, például behatolástesztelés által okozott "zaj" incidensek kezelésére (azaz bezárására).

Rendelés

Meghatározhatja az automatizálási szabályok futtatásának sorrendjét. A későbbi automatizálási szabályok a korábbi automatizálási szabályok alapján értékelik ki az incidens állapotát.

Ha például az "Első automatizálási szabály" közepesről alacsonyra módosította az incidens súlyosságát, és a "Második automatizálási szabály" úgy van definiálva, hogy csak közepes vagy magasabb súlyosságú incidenseken fusson, az nem fut az adott incidensen.

Az incidensfeladatokat hozzáadó automatizálási szabályok sorrendje határozza meg, hogy a tevékenységek milyen sorrendben jelenjenek meg egy adott incidensben.

A frissítési eseményindítón alapuló szabályok külön rendelési várólistával rendelkeznek. Ha az ilyen szabályok egy imént létrehozott incidensen futnak (egy másik automatizálási szabály módosításával), akkor csak akkor futnak, ha a létrehozási eseményindítón alapuló összes vonatkozó szabály lefut.

Megjegyzések a végrehajtási rendeléshez és a prioritáshoz

• A rendelésszám automatizálási szabályokban való beállítása határozza meg a végrehajtás sorrendjét.
• Minden eseményindító-típus saját üzenetsort tart fenn.
• Az Azure Portalon létrehozott szabályok esetében a rendszer automatikusan kitölti a rendelésmezőt az azonos eseményindítótípusú szabályok által használt legmagasabb számot követő számmal.
• Más módokon (parancssor, API stb.) létrehozott szabályok esetében azonban a rendelésszámot manuálisan kell hozzárendelni.
• Nincs olyan érvényesítési mechanizmus, amely megakadályozta volna, hogy több szabály is ugyanazzal a sorszámmal rendelkezhessen, még ugyanazon az eseményindító-típuson belül is.
• Ha nem érdekli, hogy az azonos triggertípusú két vagy több szabálynak ugyanaz a rendelésszáma legyen, nem érdekli, hogy melyik sorrendben futnak.
• Az azonos számú triggertípusú szabályok esetén a végrehajtási motor véletlenszerűen kiválasztja, hogy mely szabályok melyik sorrendben futnak.
• A különböző incidens-eseményindító-típusok szabályai esetében az incidenslétrehozási eseményindító típusával rendelkező összes alkalmazandó szabály először fut (a rendelésszámuknak megfelelően), és csak ezután az incidensfrissítési eseményindító típusával rendelkező szabályok (a rendelésszámuknak megfelelően).
• A szabályok mindig egymás után futnak, soha nem párhuzamosan.

Feljegyzés

Az egyesített biztonsági üzemeltetési platformra való előkészítés után, ha 5–10 perc alatt több módosítás történik ugyanazon incidensen, a rendszer egyetlen frissítést küld a Microsoft Sentinelnek, amely csak a legutóbbi módosítást tartalmazza.

Gyakori használati esetek és forgatókönyvek

Incidensfeladatok

Az automatizálási szabályok lehetővé teszik az incidensek osztályozásához, vizsgálatához és szervizeléséhez szükséges lépések szabványosítását és formalizálását azáltal, hogy olyan feladatokat hoz létre, amelyek egyetlen incidensre, incidenscsoportokra vagy minden incidensre alkalmazhatók az automatizálási szabályban meghatározott feltételeknek és a mögöttes elemzési szabályok fenyegetésészlelési logikájának megfelelően. Az incidensre alkalmazott feladatok megjelennek az incidens oldalán, így az elemzők a szükséges műveletek teljes listájával rendelkeznek, közvetlenül előttük, és ne hagyja ki a kritikus lépéseket.

Incidens- és riasztásvezérelt automatizálás

Az automatizálási szabályokat az incidensek létrehozása vagy frissítése, valamint a riasztások létrehozása is kiválthatja. Ezek az előfordulások mind automatikus válaszláncokat aktiválhatnak, amelyek forgatókönyveket is tartalmazhatnak (speciális engedélyekre van szükség).

Forgatókönyvek aktiválása Microsoft-szolgáltatók számára

Az automatizálási szabályok segítségével automatizálhatja a Microsoft biztonsági riasztásainak kezelését azáltal, hogy ezeket a szabályokat a riasztásokból létrehozott incidensekre alkalmazza. Az automatizálási szabályok meghívhatják a forgatókönyveket (speciális engedélyek szükségesek), és átadhatják nekik az incidenseket minden részletükkel, beleértve a riasztásokat és entitásokat is. A Microsoft Sentinel ajánlott eljárásai általában azt diktálják, hogy az incidensek üzenetsorát használják a biztonsági műveletek fókuszpontjaként.

A Microsoft biztonsági riasztásai a következők:

• Microsoft Entra ID Protection
• Microsoft Defender for Cloud
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Office 365
• Microsoft Defender végponthoz
• Microsoft Defender for Identity
• Microsoft Defender for IoT

Több sorozatos forgatókönyv/művelet egyetlen szabályban

Mostantól szinte teljes mértékben szabályozhatja a műveletek és forgatókönyvek végrehajtásának sorrendjét egyetlen automatizálási szabályban. Az automatizálási szabályok végrehajtásának sorrendjét maga is szabályozhatja. Ez lehetővé teszi, hogy jelentősen leegyszerűsítse a forgatókönyveket, egyetlen feladatra vagy egy kis, egyszerű feladatsorra csökkentse őket, és ezeket a kis forgatókönyveket különböző kombinációkban kombinálja különböző automatizálási szabályokban.

Egy forgatókönyv hozzárendelése egyszerre több elemzési szabályhoz

Ha rendelkezik egy olyan feladattal, amelyet az összes elemzési szabályon automatizálni szeretne – például egy támogatási jegy létrehozását egy külső jegykezelő rendszerben –, egyetlen forgatókönyvet alkalmazhat bármely vagy az összes elemzési szabályra – beleértve a jövőbeli szabályokat is – egyetlen lövéssel. Ez megkönnyíti az egyszerű, de ismétlődő karbantartási és takarítási feladatokat, sokkal kevésbé a házimunkát.

Incidensek automatikus hozzárendelése

Az incidenseket automatikusan hozzárendelheti a megfelelő tulajdonoshoz. Ha az SOC-nek van egy adott platformra specializálódott elemzője, az adott platformmal kapcsolatos incidensek automatikusan hozzárendelhetők az adott elemzőhöz.

Incidensek elnyomása

Szabályokkal automatikusan megoldhatja az ismert hamis/jóindulatú pozitív eseteket forgatókönyvek használata nélkül. Például behatolási tesztek futtatásakor, ütemezett karbantartások vagy frissítések elvégzése, illetve automatizálási eljárások tesztelésekor számos olyan téves pozitív incidens hozható létre, amelyet az SOC figyelmen kívül szeretne hagyni. Az időkorlátos automatizálási szabályok automatikusan lezárhatják ezeket az incidenseket a létrehozásuk során, miközben megjelölik őket a létrehozásuk okának leírójával.

Időkorlátos automatizálás

Az automatizálási szabályok lejárati dátumát is hozzáadhatja. Előfordulhatnak olyan esetek, amelyek az incidensek letiltásán kívül az időkorlátos automatizálást teszik szükségessé. Előfordulhat, hogy adott típusú incidenst szeretne hozzárendelni egy adott felhasználóhoz (például gyakornokhoz vagy tanácsadóhoz) egy adott időkerethez. Ha az időkeret előre ismert, akkor hatékonyan letilthatja a szabályt a relevancia végén, anélkül, hogy erre emlékeznie kellene.

Incidensek automatikus címkézése

Automatikusan hozzáadhat szabadszöveges címkéket az incidensekhez, hogy azokat az Ön által választott feltételek szerint csoportosítsa vagy osztályozza.

Frissítési eseményindító által hozzáadott esetek használata

Most, hogy az incidensek módosításai automatizálási szabályokat válthatnak ki, több forgatókönyv is nyitva áll az automatizálásra.

Az automatizálás kiterjesztése incidensfejlõdéskor

A frissítési eseményindítóval számos fenti használati esetet alkalmazhat incidensekre a vizsgálat előrehaladása során, és az elemzők riasztásokat, megjegyzéseket és címkéket adhatnak hozzá. Riasztások csoportosításának szabályozása incidensekben.

Vezénylés és értesítés frissítése

Értesítse a különböző csapatokat és más munkatársakat az incidensek módosításakor, hogy ne hagyja ki a kritikus frissítéseket. Az incidensek eszkalálása azáltal, hogy új tulajdonosokhoz rendeli őket, és tájékoztatja az új tulajdonosokat a feladataikról. Az incidensek újbóli megnyitásának és időpontjának szabályozása.

Szinkronizálás karbantartása külső rendszerekkel

Ha forgatókönyvekkel hozott létre jegyeket külső rendszerekben incidensek létrehozásakor, egy frissítés-trigger automatizálási szabály használatával meghívhat egy forgatókönyvet, amely frissíti ezeket a jegyeket.

Automatizálási szabályok végrehajtása

Az automatizálási szabályok egymás után futnak a meghatározott sorrend szerint. Az egyes automatizálási szabályok végrehajtása az előző futtatása után történik. Egy automatizálási szabályon belül minden művelet egymás után, a definiálásuk sorrendjében fut.

Az automatizálási szabályon belüli forgatókönyvműveletek bizonyos körülmények között eltérően kezelhetők az alábbi feltételeknek megfelelően:

Forgatókönyv futási ideje	Az automatizálási szabály a következő műveletre lép...
Kevesebb, mint egy másodperc	Közvetlenül a forgatókönyv befejezése után
Kevesebb mint két perc	Legfeljebb két perccel a forgatókönyv futtatása után, de legfeljebb 10 másodperccel a forgatókönyv befejezése után
Több mint két perc	Két perccel a forgatókönyv futtatása után, függetlenül attól, hogy befejeződött-e vagy sem

A forgatókönyvek futtatására vonatkozó automatizálási szabályok engedélyei

Amikor egy Microsoft Sentinel automatizálási szabály forgatókönyvet futtat, egy speciális Microsoft Sentinel szolgáltatásfiókot használ, amely kifejezetten erre a műveletre van engedélyezve. A fiók használata (szemben a felhasználói fiókkal) növeli a szolgáltatás biztonsági szintjét.

Ahhoz, hogy egy automatizálási szabály futtatni tudjon egy forgatókönyvet, ennek a fióknak explicit engedélyeket kell adni ahhoz az erőforráscsoporthoz, amelyben a forgatókönyv található. Ezen a ponton bármely automatizálási szabály bármilyen forgatókönyvet futtathat az adott erőforráscsoportban.

Amikor automatizálási szabályt konfigurál, és egy forgatókönyv-műveletet ad hozzá, megjelenik a forgatókönyvek legördülő listája. Olyan forgatókönyvek, amelyekhez a Microsoft Sentinel nem rendelkezik engedélyekkel, elérhetetlenként jelenik meg ("szürkítve"). A Forgatókönyv-engedélyek kezelése hivatkozásra kattintva engedélyt adhat a Microsoft Sentinelnek a forgatókönyvek erőforráscsoportjaihoz a helyszínen. Az engedélyek megadásához tulajdonosi engedélyekre van szükség ezeken az erőforráscsoportokon. Tekintse meg a teljes engedélykövetelményeket.

Engedélyek több-bérlős architektúrában

Az automatizálási szabályok teljes mértékben támogatják a munkaterületek közötti és a több-bérlős üzemelő példányokat (több-bérlő esetén az Azure Lighthouse használatával).

Ezért ha a Microsoft Sentinel üzembe helyezése több-bérlős architektúrát használ, akkor az egyik bérlőben futtathat egy olyan forgatókönyvet, amely egy másik bérlőben található, de a Forgatókönyvek futtatásához szükséges Sentinel-engedélyeket abban a bérlőben kell meghatározni, ahol a forgatókönyvek találhatók, nem abban a bérlőben, ahol az automatizálási szabályok vannak meghatározva.

Egy felügyelt biztonsági szolgáltató (MSSP) esetében, ahol egy szolgáltatói bérlő felügyel egy Microsoft Sentinel-munkaterületet egy ügyfélbérlében, két konkrét forgatókönyv indokolja a figyelmet:

• Az ügyfélbérlében létrehozott automatizálási szabály úgy van konfigurálva, hogy a szolgáltató bérlőjében található forgatókönyvet futtasson.

  Ezt a megközelítést általában a forgatókönyv szellemi tulajdonának védelmére használják. Ehhez a forgatókönyvhöz semmi különleges nem szükséges. Amikor egy forgatókönyv-műveletet definiál az automatizálási szabályban, és arra a fázisra jut, ahol a Microsoft Sentinel-engedélyeket a forgatókönyvet tároló megfelelő erőforráscsoportra vonatkozóan adja meg (a forgatókönyv engedélyeinek kezelése panel használatával), megtekintheti a szolgáltató bérlőjéhez tartozó erőforráscsoportokat azok közül, amelyek közül választhat. Tekintse meg az itt felvázolt teljes folyamatot.

• Az ügyfél-munkaterületen (a szolgáltatói bérlőbe bejelentkezve) létrehozott automatizálási szabály úgy van konfigurálva, hogy egy forgatókönyvet futtasson az ügyfélbérlében.

  Ezt a konfigurációt akkor használja a rendszer, ha nincs szükség a szellemi tulajdon védelmére. Ahhoz, hogy ez a forgatókönyv működjön, a forgatókönyv végrehajtására vonatkozó engedélyeket mindkét bérlőnél meg kell adni a Microsoft Sentinelnek. Az ügyfélbérlében a forgatókönyv-engedélyek kezelése panelen adja meg őket, ugyanúgy, mint a fenti forgatókönyvben. A szolgáltatói bérlő megfelelő engedélyeinek megadásához hozzá kell adnia egy további Azure Lighthouse-delegálást, amely hozzáférési jogosultságokat biztosít az Azure Security Insights alkalmazáshoz a Microsoft Sentinel Automation közreműködői szerepkörével azon az erőforráscsoporton, ahol a forgatókönyv található.

  A forgatókönyv a következőképpen néz ki:

  

  A beállításhoz tekintse meg a beállításra vonatkozó utasításokat .

Automatizálási szabályok létrehozása és kezelése

A Microsoft Sentinel vagy az egyesített biztonsági üzemeltetési platform különböző területeiről hozhat létre és kezelhet automatizálási szabályokat az adott igénytől és használati esettől függően.

• Automation oldal

  Az automatizálási szabályok központilag kezelhetők az Automation lapon, az Automation szabályok lapján. Innen létrehozhat új automatizálási szabályokat, és szerkesztheti a meglévőket. Az automatizálási szabályok húzásával módosíthatja a végrehajtás sorrendjét, és engedélyezheti vagy letilthatja őket.

  Az Automation lapon láthatja a munkaterületen definiált összes szabályt, valamint azok állapotát (Engedélyezve/Letiltva), valamint azokat az elemzési szabályokat, amelyekre vonatkoznak.

  Ha olyan automatizálási szabályra van szüksége, amely a Microsoft Defender XDR-ből vagy a Microsoft Sentinel számos elemzési szabályából származó incidensekre vonatkozik, hozza létre közvetlenül az Automation lapon.

• Elemzési szabály varázsló

  A Microsoft Sentinel elemzési szabály varázslóJának Automatikus válasz lapján az Automation szabályok területén megtekintheti, szerkesztheti és létrehozhatja a varázslóban létrehozott vagy szerkesztett adott elemzési szabályra vonatkozó automatizálási szabályokat.

  Ha innen hoz létre automatizálási szabályt, az Új automatizálási szabály létrehozása panelen az elemzési szabály feltétele nem érhető el, mivel ez a szabály már csak a varázslóban szerkesztett elemzési szabályra van beállítva. Az összes többi konfigurációs lehetőség továbbra is elérhető.

• Incidensek lap

  Az Incidensek oldalról automatizálási szabályt is létrehozhat, hogy egyetlen ismétlődő incidensre reagálhasson. Ez akkor hasznos, ha letiltási szabályt hoz létre a "zajos" incidensek automatikus bezárásához.

  Ha innen hoz létre automatizálási szabályt, az Új automatizálási szabály létrehozása panel az összes mezőt feltölti az incidensből származó értékekkel. A szabály neve megegyezik az incidens nevével, az incidenst létrehozó elemzési szabályra alkalmazza, és az incidensben elérhető összes entitást a szabály feltételeiként használja. Emellett alapértelmezés szerint letiltási (záró) műveletet is javasol, és a szabály lejárati dátumát javasolja. Feltételeket és műveleteket adhat hozzá vagy távolíthat el, és tetszés szerint módosíthatja a lejárati dátumot.

Automatizálási szabályok exportálása és importálása

Exportálja az automatizálási szabályokat az Azure Resource Manager-sablonfájlokba, és importálja a szabályokat ezekből a fájlokból a Microsoft Sentinel-környezetek kódként való kezelésének és szabályozásának részeként. Az exportálási művelet létrehoz egy JSON-fájlt a böngésző letöltési helyén, amelyet ezután átnevezhet, áthelyezhet és más módon kezelhet, mint bármely más fájlt.

Az exportált JSON-fájl munkaterületfüggetlen, így importálható más munkaterületekre és akár más bérlőkre is. Kódként verzióvezérelt, frissíthető és üzembe helyezhető felügyelt CI/CD-keretrendszerben is.

A fájl tartalmazza az automatizálási szabályban definiált összes paramétert. Bármely eseményindító-típus szabályai exportálhatók JSON-fájlba.

Az automatizálási szabályok exportálásával és importálásával kapcsolatos utasításokért tekintse meg a Microsoft Sentinel automatizálási szabályainak exportálását és importálását ismertető cikket.

Következő lépések

Ebben a dokumentumban megismerhette, hogyan segíthetnek az automatizálási szabályok a Microsoft Sentinel-incidensek és riasztások válaszautomatizálásának központi kezelésében.

• A Microsoft Sentinel automatizálási szabályainak létrehozása és használata az incidensek kezeléséhez.
• Az automatizálási szabályok használatával feladatlistákat hozhat létre az elemzők számára.
• A speciális automatizálási lehetőségekről további információt a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben című témakörben talál.
• A forgatókönyvek implementálásával kapcsolatos segítségért tekintse meg az oktatóanyagot: Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához a Microsoft Sentinelben.