Speciális feltételek hozzáadása a Microsoft Sentinel automatizálási szabályaihoz

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan adhat hozzá speciális "Or" feltételeket az automatizálási szabályokhoz a Microsoft Sentinelben az incidensek hatékonyabb osztályozása érdekében.

Adjon hozzá "Vagy" feltételeket feltételcsoportok formájában az automatizálási szabály Feltételek szakaszában.

A feltételcsoportok két feltételszintet tartalmazhatnak:

  • Egyszerű: Legalább két feltétel, amelyek mindegyikét egy OR operátor választja el:

  • Összetett: Kétnál több feltétel, legalább két feltétel egy OR operátor legalább egyik oldalán:

    • and A B) OR C
    • A and B) OR (C and D)
    • A and B) OR (C and D and E)
    • A and B) OR (C and D) OR (E and F)
    • és így tovább.

Láthatja, hogy ez a képesség nagy hatalmat és rugalmasságot biztosít a szabályok futásának meghatározásában. Emellett jelentősen növelheti a hatékonyságot azáltal, hogy lehetővé teszi, hogy számos régi automatizálási szabályt egyetlen új szabályba egyesítsen.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Feltételcsoport hozzáadása

Mivel a feltételcsoportok sokkal nagyobb teljesítményt és rugalmasságot kínálnak az automatizálási szabályok létrehozásában, a legjobb módszer ennek magyarázatára néhány példa bemutatásával.

Hozzunk létre egy szabályt, amely megváltoztatja a bejövő incidens súlyosságát a Magas értékről a Magas értékre, feltéve, hogy megfelel a megadott feltételeknek.

  1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.

  2. Az Automation lapon válassza az Automation-szabály létrehozása > lehetőséget a felső gombsávon.

    Részletekért tekintse meg az automatizálási szabály létrehozásának általános utasításait.

  3. Adjon egy nevet a szabálynak: "Triage: Change Severity to High"

  4. Válassza ki az eseményindítót incidens létrehozásakor.

  5. A Feltételek területen, ha megjelenik az incidensszolgáltató és az Elemzési szabály neve, hagyja meg őket a feltételeknek megfelelően. Ezek a feltételek nem érhetők el, ha a munkaterület az egyesített biztonsági üzemeltetési platformra van beépítve. Mindkét esetben a folyamat későbbi részében további feltételeket adunk hozzá.

  6. A Műveletek csoportban válassza a Súlyosság módosítása lehetőséget a legördülő listában.

  7. Válassza a Magas lehetőséget a Change severity (Súlyosság módosítása) alatt megjelenő legördülő listából.

Az alábbi lapok például az egyesített biztonsági üzemeltetési platformra előkészített munkaterület mintáit jelenítik meg az Azure- vagy Defender-portálokon, valamint egy olyan munkaterületet, amely nem:

1. példa: egyszerű feltételek

Ebben az első példában egy egyszerű feltételcsoportot hozunk létre: Ha az A vagy a B feltétel igaz, a szabály lefut, és az incidens súlyossága Magas értékre lesz állítva.

  1. Válassza a + Bővítő hozzáadása lehetőséget, és válassza a Feltétel csoportot (Vagy) a legördülő listában.

    Képernyőkép egy feltételcsoport automatizálási szabály feltételkészlethez való hozzáadásáról.

  2. Láthatja, hogy két feltételmező jelenik meg, operátorral OR elválasztva. Ezek a fent említett "A" és "B" feltételek: Ha az A vagy a B igaz, a szabály futni fog.
    (Ne keverje össze a "Hozzáadás" hivatkozások különböző rétegei – ezeket mind elmagyarázzák.)

    Képernyőkép az üres feltételcsoport mezőiről.

  3. Döntsük el, mik lesznek ezek a feltételek. Ez azt eredményezi, hogy két különböző feltétel miatt az incidens súlyossága magasra változik? Javasoljuk a következőket:

    • Ha az incidenshez társított MITRE ATT&CK-taktikák tartalmazzák a legördülő menüből kiválasztott négy közül bármelyiket (lásd az alábbi ábrát), a súlyosságot magasra kell emelni.

    • Ha az incidens tartalmaz egy "SUPER_Standard kiadás CURE_STATION" nevű gazdagépnév-entitást, a súlyosságot magasra kell emelni.

    Képernyőkép az egyszerű VAGY feltételek automatizálási szabályhoz való hozzáadásáról.

    Mindaddig, amíg a feltételek közül legalább egy igaz, a szabályban definiált műveletek lefutnak, és az incidens súlyosságát Magas értékre módosítják.

1A. példa: OR érték hozzáadása egyetlen feltételen belül

Tegyük fel, hogy nem egy, hanem két szuperérzékeny munkaállomásunk van, amelyek incidenseit nagy súlyosságúvá szeretnénk tenni. Egy meglévő feltételhez (bármely entitástulajdonságon alapuló feltételhez) hozzáadhatunk egy másik értéket úgy, hogy a meglévő érték jobb oldalán lévő kocka ikont választjuk, és hozzáadjuk az új értéket.

Képernyőkép több érték egyetlen feltételhez való hozzáadásáról.

1B. példa: További VAGY feltételek hozzáadása

Tegyük fel, hogy ezt a szabályt akkor szeretnénk futtatni, ha az egyik THR Enterprise kiadás (vagy több) feltétel igaz. Ha A vagy B vagy C igaz, a szabály futni fog.

  1. Emlékszik az összes "Hozzáadás" hivatkozásra? Másik VAGY feltétel hozzáadásához válassza a + Csatlakoztatott hozzáadása vonallal az OR operátorhoz lehetőséget.

    Képernyőkép egy másik VAGY feltétel automatizálási szabályhoz való hozzáadásáról.

  2. Most töltse ki a feltétel paramétereit és értékeit ugyanúgy, mint az első kettőt.

    Képernyőkép egy automatizálási szabályhoz hozzáadott másik VAGY feltételről.

2. példa: összetett feltételek

Most úgy döntünk, hogy egy kicsit válogatósabbak leszünk. Szeretnénk további feltételeket hozzáadni az eredeti VAGY feltétel mindkét oldalához. Vagyis azt szeretnénk, hogy a szabály akkor fusson, ha az A és a B igaz, vagy ha a C és a D igaz.

  1. Ha feltételt szeretne hozzáadni egy VAGY feltételcsoport egyik oldalához, válassza a + Hozzáadás hivatkozást közvetlenül a meglévő feltétel alatt, az operátor ugyanazon oldalán OR (ugyanabban a kék árnyalatú területen), amelyhez hozzá szeretné adni az új feltételt.

    Képernyőkép egy összetett feltétel automatizálási szabályhoz való hozzáadásáról.

    Megjelenik egy új sor hozzáadva a meglévő feltétel alatt (ugyanabban a kék árnyalatú területen), amelyhez egy AND operátor kapcsolódik.

    Képernyőkép az automatizálási szabályok üres új feltételsoráról.

  2. Töltse ki a feltétel paramétereit és értékeit ugyanúgy, mint a többit.

    Képernyőkép az automatizálási szabályok hozzáadásához kitöltendő új feltételmezőkről.

  3. Ismételje meg az előző két lépést, ha egy AND feltételt szeretne hozzáadni az OR feltételcsoport bármelyik oldalához.

    Képernyőkép több összetett feltétel automatizálási szabályhoz való hozzáadásáról.

Ennyi az egész! Az itt tanultak alapján további feltétel- és feltételcsoportokat adhat hozzá különböző kombinációk és OR operátorok AND használatával, hogy hatékony, rugalmas és hatékony automatizálási szabályokat hozzon létre, amelyek segítenek a SOC zökkenőmentes futtatásában és a válasz- és megoldási idők csökkentésében.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan adhat hozzá feltételcsoportokat operátorokkal OR az automatizálási szabályokhoz.