Menambahkan kondisi tingkat lanjut ke aturan otomatisasi Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara menambahkan kondisi "Or" tingkat lanjut ke aturan otomatisasi di Microsoft Azure Sentinel, untuk triase insiden yang lebih efektif.

Tambahkan kondisi "Or" dalam bentuk grup kondisi di bagian Kondisi dari aturan otomatisasi Anda.

Grup kondisi dapat berisi dua tingkat kondisi:

• Sederhana: Setidaknya dua kondisi, masing-masing dipisahkan oleh operator OR:

  • A OR B
  • A OR B OR C (Lihat Contoh 1B di bawah ini.)
  • dan lain sebagainya.

• Senyawa: Lebih dari dua kondisi, dengan setidaknya dua kondisi di setidaknya satu sisi operator OR:

  • (A and B) OR C
  • (A and B) OR (C and D)
  • (A and B) OR (C and D and E)
  • (A and B) OR (C and D) OR (E and F)
  • dan lain sebagainya.

Anda dapat melihat bahwa kemampuan ini memberi Anda kekuatan dan fleksibilitas besar dalam menentukan kapan aturan akan berjalan. Hal ini juga bisa sangat meningkatkan efisiensi karena Anda dapat menggabungkan banyak aturan otomatisasi lama ke dalam satu aturan baru.

Penting

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Tambahkan grup kondisi

Karena grup kondisi menawarkan lebih banyak daya dan fleksibilitas dalam membuat aturan otomatisasi, cara terbaik untuk menjelaskan cara melakukannya adalah dengan menyajikan beberapa contoh.

Mari kita buat aturan yang akan mengubah tingkat keparahan insiden masuk dari mana pun menjadi Tinggi, dengan asumsi hal itu memenuhi kondisi yang akan kita tetapkan.

1. Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Otomatisasi Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Otomatisasi Konfigurasi>Microsoft Sentinel.>

2. Dari halaman Automation, pilih Buat > aturan Automation dari bilah tombol di bagian atas.

   Lihat instruksi umum untuk membuat aturan otomatisasi untuk detailnya.

3. Beri nama aturan: "Triase: Ubah Tingkat Keparahan menjadi Tinggi"

4. Pilih pemicu Saat insiden dibuat.

5. Di bawah Kondisi, jika Anda melihat kondisi Penyedia insiden dan nama aturan Analitik, biarkan apa adanya. Kondisi ini tidak tersedia jika ruang kerja Anda di-onboard ke platform operasi keamanan terpadu. Dalam kedua kasus, kita akan menambahkan lebih banyak kondisi nanti dalam proses ini.

6. Di bawah Tindakan, pilih Ubah tingkat keparahan dari daftar drop-down.

7. Pilih Tinggi dari daftar drop-down yang muncul di bawah Ubah tingkat keparahan.

Misalnya, tab berikut menunjukkan sampel dari ruang kerja yang di-onboarding ke platform operasi keamanan terpadu, baik di portal Azure atau Defender, dan ruang kerja yang tidak:

Ruang kerja onboarding

Ruang kerja yang tidak di-onboarding

Contoh 1: kondisi sederhana

Dalam contoh pertama ini, kita akan membuat grup kondisi sederhana: Jika kondisi A atau kondisi B benar, aturan akan berjalan dan tingkat keparahan insiden akan diatur ke Tinggi.

1. Pilih + Tambahkan expander dan pilih Grup kondisi (Atau) dari daftar drop-down.

   

2. Lihat bahwa dua set bidang kondisi ditampilkan, yang dipisahkan oleh operator OR. Ini adalah kondisi "A" dan "B" yang disebutkan di atas: Jika A atau B benar, aturan akan berjalan.
   (Jangan bingung dengan semua lapisan tautan "Tambahkan" yang berbeda - ini semua akan dijelaskan.)

   

3. Mari kita putuskan akan seperti apa kondisi ini. Artinya, dua kondisi berbeda apa yang akan menyebabkan tingkat keparahan insiden diubah menjadi Tinggi? Mari kita asumsikan hal berikut:

   • Jika MITRE ATT&CK Tactics terkait insiden menyertakan salah satu dari empat yang telah kami pilih dari drop-down (lihat gambar di bawah), tingkat keparahan harus dinaikkan ke Tinggi.

   • Jika insiden berisi entitas Nama host bernama "SUPER_SECURE_STATION", tingkat keparahan harus dinaikkan ke Tinggi.

   

   Selama setidaknya SALAH SATU kondisi ini benar, tindakan yang ditentukan dalam aturan akan berjalan, sehingga mengubah tingkat keparahan insiden menjadi Tinggi.

Contoh 1A: Tambahkan nilai OR dalam satu kondisi

Katakanlah kita tidak memiliki satu, tetapi dua stasiun kerja super-sensitif yang insidennya ingin kita buat dengan tingkat keparahan tinggi. Kita dapat menambahkan nilai lain ke kondisi yang ada (untuk kondisi apa pun berdasarkan properti entitas) dengan memilih ikon dadu di sebelah kanan nilai yang ada dan menambahkan nilai baru di bawah.

Contoh 1B: Menambahkan lebih banyak kondisi OR

Katakanlah kita ingin aturan ini dijalankan jika salah satu dari TIGA kondisi (atau lebih) benar. Jika A atau B atau C benar, aturan akan berjalan.

1. Ingat semua tautan "Tambahkan"? Untuk menambahkan kondisi OR lain, pilih + Tambahkan yang disambungkan oleh garis ke operator OR.

   

2. Sekarang, isi parameter dan nilai kondisi ini dengan cara yang sama seperti yang Anda lakukan pada dua yang pertama.

   

Contoh 2: kondisi campuran

Sekarang kita ingin sedikit lebih pilih-pilih. Kita ingin menambahkan lebih banyak kondisi ke setiap sisi kondisi OR asli. Artinya, kita ingin aturan dijalankan jika A dan B benar, OR jika C dan D benar.

1. Untuk menambahkan kondisi ke satu sisi grup kondisi OR, pilih tautan + Tambahkan tepat di bawah kondisi yang ada, di sisi OR operator yang sama (di area berbayangan biru yang sama) tempat Anda ingin menambahkan kondisi baru.

   

   Anda akan melihat baris baru ditambahkan di bawah kondisi yang ada (di area ber bayangan biru yang sama), yang ditautkan ke baris tersebut AND oleh operator.

   

2. Isi parameter dan nilai kondisi ini dengan cara yang sama seperti yang Anda lakukan pada yang lain.

   

3. Ulangi dua langkah sebelumnya untuk menambahkan kondisi AND ke salah satu sisi grup kondisi OR.

   

Itu saja! Anda dapat menggunakan apa yang telah dipelajari di sini untuk menambahkan lebih banyak kondisi dan grup kondisi, dengan menggunakan kombinasi yang berbeda dari operator AND dan OR untuk membuat aturan otomatisasi yang kuat, fleksibel, dan efisien untuk benar-benar membantu SOC Anda berjalan dengan lancar dan menurunkan waktu respons dan resolusi Anda.

Langkah berikutnya

Dalam dokumen ini, Anda mempelajari cara menambahkan grup kondisi menggunakan operator OR ke aturan otomatisasi.

• Untuk petunjuk tentang membuat aturan otomatisasi dasar, lihat Membuat dan menggunakan aturan otomatisasi Microsoft Sentinel untuk mengelola respons.
• Untuk mempelajari selengkapnya tentang aturan otomatisasi, lihat Mengotomatiskan penanganan insiden di Microsoft Sentinel dengan aturan otomatisasi
• Untuk mempelajari lebih lanjut opsi otomatisasi tingkat lanjut, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel.
• Untuk mendapatkan bantuan terkait menerapkan aturan otomatisasi dan playbook, lihat Tutorial: Menggunakan playbook untuk mengotomatiskan respons ancaman di Microsoft Azure Sentinel.