Microsoft Sentinel automation-szabályok létrehozása és használata a válasz kezeléséhez
Ez a cikk azt ismerteti, hogyan hozhat létre és használhat automatizálási szabályokat a Microsoft Sentinelben a veszélyforrások kezelésére és vezénylésére az SOC hatékonyságának és hatékonyságának maximalizálása érdekében.
Ebből a cikkből megtudhatja, hogyan definiálhatja azokat az eseményindítókat és feltételeket, amelyek meghatározzák, hogy mikor fut az automatizálási szabály, milyen műveleteket hajthat végre a szabály, valamint a többi funkciót és funkciót.
Fontos
Az automatizálási szabályok ismert funkciói jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Az automatizálási szabály megtervezése
Az automatizálási szabály létrehozása előtt javasoljuk, hogy határozza meg annak hatókörét és kialakítását, beleértve a szabályt alkotó eseményindítót, feltételeket és műveleteket.
A hatókör meghatározása
Az automatizálási szabály tervezésének és meghatározásának első lépése annak meghatározása, hogy mely incidensekre vagy riasztásokra szeretné alkalmazni. Ez a meghatározás közvetlenül befolyásolja a szabály létrehozásának módját.
A használati esetet is meg szeretné határozni. Mit próbál elérni ezzel az automatizálással? Vegye figyelembe a következő lehetőségeket:
- Hozzon létre olyan feladatokat az elemzők számára, hogy követni tudja az incidensek osztályozását, kivizsgálását és szervizelését.
- A zajos incidensek mellőzése. (Másik lehetőségként más módszerekkel is kezelheti a hamis pozitív értékeket a Microsoft Sentinelben.)
- Az új incidensek osztályozásához módosítsa az állapotukat az Újról az Aktívra, és rendeljen hozzá egy tulajdonost.
- Az incidensek címkézése az osztályozásukhoz.
- Egy incidens eszkalálása új tulajdonos hozzárendelésével.
- Zárja be a megoldott incidenseket, adjon meg egy okot, és adjon hozzá megjegyzéseket.
- Elemezze az incidens tartalmát (riasztások, entitások és egyéb tulajdonságok), és tegyen további lépéseket egy forgatókönyv meghívásával.
- Riasztás kezelése vagy megválaszolása incidens nélkül.
Az eseményindító meghatározása
Szeretné aktiválni ezt az automatizálást új incidensek vagy riasztások létrehozásakor? Vagy bármikor, amikor egy incidens frissül?
Az automatizálási szabályok az incidensek létrehozásakor vagy frissítésekor, illetve riasztások létrehozásakor aktiválódnak. Ne feledje, hogy az incidensek riasztásokat is tartalmaznak, és a riasztások és az incidensek elemzési szabályokkal hozhatók létre, amelyek közül több típus is létezik, amint azt a Fenyegetések észlelése a Microsoft Sentinel beépített elemzési szabályaival ismerteti.
Az alábbi táblázat azokat a lehetséges forgatókönyveket mutatja be, amelyek egy automatizálási szabály futtatását okozzák.
| Trigger típusa | A szabály futtatását okozó események |
|---|---|
| Incidens létrehozásakor | Egyesített biztonsági üzemeltetési platform a Microsoft Defenderben: A Microsoft Sentinel nincs egységes platformra előkészítve: |
| Incidens frissítésekor | |
| Riasztás létrehozásakor |
Az automatizálási szabály létrehozása
Az alábbi utasítások többsége minden olyan használati esetre vonatkozik, amelyre automatizálási szabályokat fog létrehozni.
Ha el szeretné tiltani a zajos incidenseket, próbálja meg kezelni a hamis pozitívumokat.
Ha egy adott elemzési szabályra alkalmazandó automatizálási szabályt szeretne létrehozni, tekintse meg az automatizált válaszok beállításával és a szabály létrehozásával foglalkozó témakört.
Az automatizálási szabály létrehozása:
A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.
A Microsoft Sentinel navigációs menüjének Automation lapján válassza a Létrehozás lehetőséget a felső menüből, és válassza az Automation-szabályt.
Megnyílik az Új automatizálási szabály létrehozása panel. Az Automation-szabály neve mezőben adja meg a szabály nevét.
Az eseményindító kiválasztása
Az Eseményindító legördülő listában válassza ki a megfelelő eseményindítót az automatizálási szabály létrehozásának körülményeinek megfelelően – incidens létrehozásakor, incidens frissítésekor vagy riasztás létrehozásakor.
Feltételek meghatározása
Az automatizálási szabály feltételeinek meghatározásához használja a Feltételek területen található beállításokat.
A riasztások létrehozásakor létrehozott szabályok csak a feltétel If Analitikus szabálynév tulajdonságát támogatják. Adja meg, hogy a szabály befogadó (Tartalmazza) vagy kizárólagos legyen (nem tartalmazza), majd válassza ki a elemzési szabály nevét a legördülő listából.
Az elemzési szabályok névértékei csak elemzési szabályokat tartalmaznak, és nem tartalmaznak más típusú szabályokat, például fenyegetésfelderítési vagy anomáliadetikus szabályokat.
Az incidensek létrehozásakor vagy frissítésekor létrehozott szabályok a környezettől függően számos különböző feltételt támogatnak. Ezek a beállítások azzal kezdődnek, hogy a munkaterület az egyesített biztonsági üzemeltetési platformra van-e előkészítve:
Ha a munkaterületet az egyesített biztonsági üzemeltetési platformra készítik, először válassza ki az alábbi operátorok egyikét az Azure-ban vagy a Defender portálon:
ÉS: csoportként kiértékelt egyedi feltételek. A szabály akkor fut, ha az ilyen típusú feltételek teljesülnek.
Az AND operátor használatához válassza a + Bővítő hozzáadása lehetőséget, és válassza a Feltétel (És) lehetőséget a legördülő listából. A feltételek listáját incidenstulajdonságok és entitástulajdonságok mezői töltik ki.
VAGY (más néven feltételcsoportok): feltételcsoportok, amelyek mindegyikét egymástól függetlenül értékelik ki. A szabály akkor fut, ha egy vagy több feltételcsoport igaz. Az ilyen összetett feltételtípusok használatáról további információt a Speciális feltételek hozzáadása az automatizálási szabályokhoz című témakörben talál.
Példa:
Ha az Esemény frissítése eseményindítóként lehetőséget választotta, először határozza meg a feltételeket, majd szükség szerint adjon hozzá további operátorokat és értékeket.
A feltételek meghatározása:
Válasszon ki egy tulajdonságot a bal oldali első legördülő listából. Ha dinamikusan szeretné szűrni a listát, elkezdheti beírni a tulajdonságnév bármely részét a keresőmezőbe, így gyorsan megtalálhatja a keresett elemet.
Válasszon egy operátort a következő legördülő listából jobbra.
Az operátorok listája a kiválasztott eseményindítótól és tulajdonságtól függően változik.
A létrehozási eseményindítóval elérhető feltételek
Tulajdonság Operátorkészlet - Cím
- Leírás
- Az összes felsorolt entitástulajdonság- Egyenlő/Nem egyenlő
- Tartalmazza/nem tartalmazza
- A következővel kezdődik/Nem a következővel kezdődik:
- Végződik a /Nem végződik- Címke (lásd az egyéni és a gyűjteményt) Bármely egyéni címke:
- Egyenlő/Nem egyenlő
- Tartalmazza/nem tartalmazza
- A következővel kezdődik/Nem a következővel kezdődik:
- Végződik a /Nem végződik
Az összes címke gyűjteménye:
- Tartalmazza/nem tartalmazza- Súlyosság
- Állapot
- Egyéni adatkulcs- Egyenlő/Nem egyenlő - Taktika
- Riasztási terméknevek
- Egyéni részletek értéke
- Elemzési szabály neve- Tartalmazza/nem tartalmazza A frissítési eseményindítóval elérhető feltételek
Tulajdonság Operátorkészlet - Cím
- Leírás
- Az összes felsorolt entitástulajdonság- Egyenlő/Nem egyenlő
- Tartalmazza/nem tartalmazza
- A következővel kezdődik/Nem a következővel kezdődik:
- Végződik a /Nem végződik- Címke (lásd az egyéni és a gyűjteményt) Bármely egyéni címke:
- Egyenlő/Nem egyenlő
- Tartalmazza/nem tartalmazza
- A következővel kezdődik/Nem a következővel kezdődik:
- Végződik a /Nem végződik
Az összes címke gyűjteménye:
- Tartalmazza/nem tartalmazza- Címke (a fenti mellett)
- Riasztások
- Megjegyzések-Hozzáadott - Súlyosság
- Állapot- Egyenlő/Nem egyenlő
-Változtatott
- Módosította:
- Módosította:- Tulajdonos -Változtatott - Frissítve:
- Egyéni adatkulcs- Egyenlő/Nem egyenlő - Taktika - Tartalmazza/nem tartalmazza
-Hozzáadott- Riasztási terméknevek
- Egyéni részletek értéke
- Elemzési szabály neve- Tartalmazza/nem tartalmazza A riasztási eseményindítóval elérhető feltételek
Az egyetlen feltétel, amely a riasztáslétrehozási eseményindítón alapuló szabályok alapján értékelhető ki, az a Microsoft Sentinel elemzési szabálya hozta létre a riasztást.
A riasztási eseményindítón alapuló automatizálási szabályok ezért csak a Microsoft Sentinel által létrehozott riasztásokon fognak futni.
Adjon meg egy értéket a jobb oldali mezőben. A választott tulajdonságtól függően ez lehet egy szövegdoboz vagy egy legördülő lista, amelyben az értékek zárt listájából választhat. A szövegmező jobb oldalán található kocka ikonra kattintva több értéket is hozzáadhat.
Az összetett vagy különböző mezőkkel rendelkező feltételek beállításához lásd : Speciális feltételek hozzáadása az automatizálási szabályokhoz.
Címkéken alapuló feltételek
Címkék alapján kétféle feltételt hozhat létre:
- A bármely egyedi címke operátorral rendelkező feltételek kiértékelik a megadott értéket a gyűjtemény minden címkéje alapján. A kiértékelés akkor igaz , ha legalább egy címke megfelel a feltételnek.
- Az összes címke-operátor gyűjteményével kapcsolatos feltételek a megadott értéket egyetlen egységként értékelik ki a címkék gyűjteményével szemben. A kiértékelés csak akkor igaz , ha a gyűjtemény egésze megfelel a feltételnek.
Ha az incidens címkéi alapján szeretne hozzáadni egy ilyen feltételt, hajtsa végre a következő lépéseket:
Hozzon létre egy új automatizálási szabályt a fent leírtak szerint.
Adjon hozzá feltételt vagy feltételcsoportot.
Válassza a Címke lehetőséget a tulajdonságok legördülő listájából.
Válassza ki az operátorok legördülő listáját a választható operátorok megjelenítéséhez.
Az operátorok két kategóriába vannak osztva az előzőekben leírtak szerint. A címkék kiértékelésének módjától függően gondosan válassza ki az operátort.
További információ: Címke tulajdonság: egyéni és gyűjtemény.
Egyéni adatokon alapuló feltételek
Az incidensben felszínre hozott egyéni részletek értékét egy automatizálási szabály feltételeként állíthatja be. Ne feledje, hogy az egyéni részletek olyan nyers eseménynapló-rekordok adatpontjai, amelyek a riasztásokban és az azokból generált incidensekben jeleníthetők meg és jeleníthetők meg. Az egyéni részletek használatával anélkül érheti el a riasztások tényleges releváns tartalmát, hogy a lekérdezési eredményeket kellene átnéznie.
Feltétel hozzáadása egyéni részletek alapján:
Hozzon létre egy új automatizálási szabályt a korábban leírtak szerint.
Adjon hozzá feltételt vagy feltételcsoportot.
Válassza az Egyéni adatkulcs lehetőséget a tulajdonságok legördülő listájából. Válassza az Egyenlő vagy a Nem egyenlő lehetőséget az operátorok legördülő listájából.
Az egyéni részletek feltételnél az utolsó legördülő listában szereplő értékek az első feltételben felsorolt összes elemzési szabályban felszínre került egyéni adatokból származnak. Válassza ki a feltételként használni kívánt egyéni részleteket.
Kiválasztotta azt a mezőt, amelyet ki szeretne értékelni ehhez a feltételhez. Most adja meg a mezőben megjelenő értéket, amely a feltétel kiértékelését true értékre állítja.
Válassza az + Elem hozzáadása feltételt.
Az értékfeltétel-sor alább jelenik meg.
Válassza az Operátorok legördülő listából a Tartalmazza vagy nem tartalmazza lehetőséget. A jobb oldali szövegmezőbe írja be azt az értéket, amelynek a feltételt igaznak szeretné minősíteni.
Ebben a példában, ha az incidens egyéni részletességű DestinationEmail-üzenettel rendelkezik, és ha ennek a részletnek az értéke, pwned@bad-botnet.comaz automatizálási szabályban meghatározott műveletek fognak futni.
Műveletek hozzáadása
Válassza ki azokat a műveleteket, amelyeket az automatizálási szabálynak el kell végeznie. Az elérhető műveletek közé tartozik a tulajdonos hozzárendelése, a Változás állapota, a Súlyosság módosítása, a Címkék hozzáadása és a Forgatókönyv futtatása. Annyi műveletet adhat hozzá, amennyit csak szeretne.
Feljegyzés
A riasztási eseményindítóval csak a forgatókönyv futtatása művelet érhető el az automatizálási szabályokban.
Bármelyik műveletet is választja, töltse ki az adott művelethez tartozó mezőket a kívánt műveletnek megfelelően.
Ha hozzáad egy forgatókönyv-futtatási műveletet, a rendszer kérni fogja, hogy válasszon az elérhető forgatókönyvek legördülő listájából.
Csak az incidens-eseményindítóval kezdődő forgatókönyvek futtathatók automatizálási szabályokból az incidensindítók egyikével, így csak azok jelennek meg a listában. Hasonlóképpen csak a riasztási eseményindítóval kezdődő forgatókönyvek érhetők el automatizálási szabályokban a riasztási eseményindító használatával.
A Forgatókönyvek futtatásához a Microsoft Sentinelnek explicit engedélyekkel kell rendelkeznie. Ha egy forgatókönyv "szürkén" jelenik meg a legördülő listában, az azt jelenti, hogy a Sentinel nem rendelkezik engedéllyel a forgatókönyv erőforráscsoportjához. Kattintson a Forgatókönyv-engedélyek kezelése hivatkozásra engedélyek hozzárendeléséhez.
A megnyíló Engedélyek kezelése panelen jelölje be a futtatni kívánt forgatókönyveket tartalmazó erőforráscsoportok jelölőnégyzeteit, és válassza az Alkalmaz lehetőséget.
Önnek magának kell tulajdonosi engedélyekkel rendelkeznie minden olyan erőforráscsoporthoz, amelyhez a Microsoft Sentinel-engedélyeket meg szeretné adni, és rendelkeznie kell a Microsoft Sentinel Automation közreműködői szerepkörével minden olyan erőforráscsoportban, amely forgatókönyveket tartalmaz.
Ha még nem rendelkezik olyan forgatókönyvvel, amely végrehajtja a szükséges lépéseket, hozzon létre egy új forgatókönyvet. A forgatókönyv létrehozása után ki kell lépnie az automatizálási szabálylétrehozási folyamatból, és újra kell indítania azt.
Műveletek áthelyezése
A szabályban szereplő műveletek sorrendjét a hozzáadásuk után is módosíthatja. Az egyes műveletek melletti kék fel- vagy lefelé mutató nyilakkal egy lépéssel feljebb vagy lejjebb helyezheti a műveletet.
A szabály létrehozásának befejezése
A Szabály lejárata területen, ha azt szeretné, hogy az automatizálási szabály lejárjon, állítson be egy lejárati dátumot (és opcionálisan egy időpontot). Ellenkező esetben határozatlan ideig hagyja meg.
A Rendelés mező előre fel van töltve a szabály eseményindítótípusának következő elérhető számával. Ez a szám határozza meg, hogy az (azonos triggertípusú) automatizálási szabályok sorozatában hol fut ez a szabály. Módosíthatja a számot, ha azt szeretné, hogy ez a szabály egy meglévő szabály előtt fusson.
További információt a végrehajtási rendelésről és a prioritásról szóló megjegyzésekben talál.
Válassza az Alkalmazás lehetőséget. Elkészült!
Naplózási automatizálási szabálytevékenység
Megtudhatja, hogy milyen automatizálási szabályok tették egy adott incidenst. Az incidenskrónikákat az Azure Portal Naplók lapján található SecurityIncident táblában, vagy a Defender portál Speciális vadászlapján érheti el. Az alábbi lekérdezéssel megtekintheti az összes automatizálási szabálytevékenységet:
SecurityIncident
| where ModifiedBy contains "Automation"
Automatizálási szabályok végrehajtása
Az automatizálási szabályok egymás után futnak a meghatározott sorrend szerint. Az egyes automatizálási szabályok végrehajtása az előző futtatása után történik. Egy automatizálási szabályon belül minden művelet egymás után, a definiálásuk sorrendjében fut. További információt a végrehajtási rendelésről és a prioritásról szóló megjegyzésekben talál.
Az automatizálási szabályon belüli forgatókönyvműveletek bizonyos körülmények között eltérően kezelhetők az alábbi feltételeknek megfelelően:
| Forgatókönyv futási ideje | Az automatizálási szabály a következő műveletre lép... |
|---|---|
| Kevesebb, mint egy másodperc | Közvetlenül a forgatókönyv befejezése után |
| Kevesebb mint két perc | Legfeljebb két perccel a forgatókönyv futtatása után, de legfeljebb 10 másodperccel a forgatókönyv befejezése után |
| Több mint két perc | Két perccel a forgatókönyv futtatása után, függetlenül attól, hogy befejeződött-e vagy sem |
Következő lépések
Ebben a dokumentumban megtanulta, hogyan használhat automatizálási szabályokat a Microsoft Sentinel-incidensek és -riasztások válaszautomatizálásának központi kezelésére.
- Ha tudni szeretné, hogyan adhat hozzá speciális feltételeket operátorokkal
ORaz automatizálási szabályokhoz, olvassa el a Speciális feltételek hozzáadása a Microsoft Sentinel automatizálási szabályaihoz című témakört. - További információ az automatizálási szabályokról: Incidenskezelés automatizálása a Microsoft Sentinelben automatizálási szabályokkal
- A speciális automatizálási lehetőségekről további információt a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben című témakörben talál.
- Ha meg szeretné tudni, hogyan adhat hozzá feladatokat az incidensekhez automatizálási szabályokkal, olvassa el az incidensfeladatok létrehozása a Microsoft Sentinelben automatizálási szabályokkal című témakört.
- Az automatizálási szabályok által meghívandó riasztás-trigger forgatókönyvek migrálásához lásd : Microsoft Sentinel riasztásindító forgatókönyvek migrálása automatizálási szabályokba
- Az automatizálási szabályok és forgatókönyvek implementálásával kapcsolatos segítségért tekintse meg az oktatóanyagot: Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához a Microsoft Sentinelben.