Speciális feltételek hozzáadása a Microsoft Sentinel automatizálási szabályaihoz
Ez a cikk bemutatja, hogyan adhat hozzá speciális "Or" feltételeket az automatizálási szabályokhoz a Microsoft Sentinelben az incidensek hatékonyabb osztályozása érdekében.
Adjon hozzá "Vagy" feltételeket feltételcsoportok formájában az automatizálási szabály Feltételek szakaszában.
A feltételcsoportok két feltételszintet tartalmazhatnak:
Egyszerű: Legalább két feltétel, amelyek mindegyikét egy
OR
operátor választja el:- A
OR
B - A
OR
BOR
C (lásd az 1B. példát alább).) - és így tovább.
- A
Összetett: Kétnál több feltétel, legalább két feltétel egy
OR
operátor legalább egyik oldalán:and
A B)OR
C- A
and
B)OR
(Cand
D) - A
and
B)OR
(Cand
Dand
E) - A
and
B)OR
(Cand
D)OR
(Eand
F) - és így tovább.
Láthatja, hogy ez a képesség nagy hatalmat és rugalmasságot biztosít a szabályok futásának meghatározásában. Emellett jelentősen növelheti a hatékonyságot azáltal, hogy lehetővé teszi, hogy számos régi automatizálási szabályt egyetlen új szabályba egyesítsen.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Feltételcsoport hozzáadása
Mivel a feltételcsoportok sokkal nagyobb teljesítményt és rugalmasságot kínálnak az automatizálási szabályok létrehozásában, a legjobb módszer ennek magyarázatára néhány példa bemutatásával.
Hozzunk létre egy szabályt, amely megváltoztatja a bejövő incidens súlyosságát a Magas értékről a Magas értékre, feltéve, hogy megfelel a megadott feltételeknek.
A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.
Az Automation lapon válassza az Automation-szabály létrehozása > lehetőséget a felső gombsávon.
Részletekért tekintse meg az automatizálási szabály létrehozásának általános utasításait.
Adjon egy nevet a szabálynak: "Triage: Change Severity to High"
Válassza ki az eseményindítót incidens létrehozásakor.
A Feltételek területen, ha megjelenik az incidensszolgáltató és az Elemzési szabály neve, hagyja meg őket a feltételeknek megfelelően. Ezek a feltételek nem érhetők el, ha a munkaterület az egyesített biztonsági üzemeltetési platformra van beépítve. Mindkét esetben a folyamat későbbi részében további feltételeket adunk hozzá.
A Műveletek csoportban válassza a Súlyosság módosítása lehetőséget a legördülő listában.
Válassza a Magas lehetőséget a Change severity (Súlyosság módosítása) alatt megjelenő legördülő listából.
Az alábbi lapok például az egyesített biztonsági üzemeltetési platformra előkészített munkaterület mintáit jelenítik meg az Azure- vagy Defender-portálokon, valamint egy olyan munkaterületet, amely nem:
1. példa: egyszerű feltételek
Ebben az első példában egy egyszerű feltételcsoportot hozunk létre: Ha az A vagy a B feltétel igaz, a szabály lefut, és az incidens súlyossága Magas értékre lesz állítva.
Válassza a + Bővítő hozzáadása lehetőséget, és válassza a Feltétel csoportot (Vagy) a legördülő listában.
Láthatja, hogy két feltételmező jelenik meg, operátorral
OR
elválasztva. Ezek a fent említett "A" és "B" feltételek: Ha az A vagy a B igaz, a szabály futni fog.
(Ne keverje össze a "Hozzáadás" hivatkozások különböző rétegei – ezeket mind elmagyarázzák.)Döntsük el, mik lesznek ezek a feltételek. Ez azt eredményezi, hogy két különböző feltétel miatt az incidens súlyossága magasra változik? Javasoljuk a következőket:
Ha az incidenshez társított MITRE ATT&CK-taktikák tartalmazzák a legördülő menüből kiválasztott négy közül bármelyiket (lásd az alábbi ábrát), a súlyosságot magasra kell emelni.
Ha az incidens tartalmaz egy "SUPER_SECURE_STATION" nevű gazdagépnév-entitást , a súlyosságot magasra kell emelni.
Mindaddig, amíg a feltételek közül legalább egy igaz, a szabályban definiált műveletek lefutnak, és az incidens súlyosságát Magas értékre módosítják.
1A. példa: OR érték hozzáadása egyetlen feltételen belül
Tegyük fel, hogy nem egy, hanem két szuperérzékeny munkaállomásunk van, amelyek incidenseit nagy súlyosságúvá szeretnénk tenni. Egy meglévő feltételhez (bármely entitástulajdonságon alapuló feltételhez) hozzáadhatunk egy másik értéket úgy, hogy a meglévő érték jobb oldalán lévő kocka ikont választjuk, és hozzáadjuk az új értéket.
1B. példa: További VAGY feltételek hozzáadása
Tegyük fel, hogy ezt a szabályt akkor szeretnénk futtatni, ha a HÁROM (vagy több) feltétel valamelyike igaz. Ha A vagy B vagy C igaz, a szabály futni fog.
Emlékszik az összes "Hozzáadás" hivatkozásra? Másik VAGY feltétel hozzáadásához válassza a + Csatlakoztatott hozzáadása vonallal az
OR
operátorhoz lehetőséget.Most töltse ki a feltétel paramétereit és értékeit ugyanúgy, mint az első kettőt.
2. példa: összetett feltételek
Most úgy döntünk, hogy egy kicsit válogatósabbak leszünk. Szeretnénk további feltételeket hozzáadni az eredeti VAGY feltétel mindkét oldalához. Vagyis azt szeretnénk, hogy a szabály akkor fusson, ha az A és a B igaz, vagy ha a C és a D igaz.
Ha feltételt szeretne hozzáadni egy VAGY feltételcsoport egyik oldalához, válassza a + Hozzáadás hivatkozást közvetlenül a meglévő feltétel alatt, az operátor ugyanazon oldalán
OR
(ugyanabban a kék árnyalatú területen), amelyhez hozzá szeretné adni az új feltételt.Megjelenik egy új sor hozzáadva a meglévő feltétel alatt (ugyanabban a kék árnyalatú területen), amelyhez egy
AND
operátor kapcsolódik.Töltse ki a feltétel paramétereit és értékeit ugyanúgy, mint a többit.
Ismételje meg az előző két lépést, ha egy AND feltételt szeretne hozzáadni az OR feltételcsoport bármelyik oldalához.
Ennyi az egész! Az itt tanultak alapján további feltétel- és feltételcsoportokat adhat hozzá különböző kombinációk és OR
operátorok AND
használatával, hogy hatékony, rugalmas és hatékony automatizálási szabályokat hozzon létre, amelyek segítenek a SOC zökkenőmentes futtatásában és a válasz- és megoldási idők csökkentésében.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan adhat hozzá feltételcsoportokat operátorokkal OR
az automatizálási szabályokhoz.
- Az alapvető automatizálási szabályok létrehozásával kapcsolatos utasításokért lásd a Microsoft Sentinel automatizálási szabályainak létrehozását és használatát a válaszkezeléshez.
- További információ az automatizálási szabályokról: Incidenskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal
- A speciális automatizálási lehetőségekről további információt a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben című témakörben talál.
- Az automatizálási szabályok és forgatókönyvek implementálásával kapcsolatos segítségért tekintse meg az oktatóanyagot: Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához a Microsoft Sentinelben.