Dodawanie zaawansowanych warunków do reguł automatyzacji usługi Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak dodać zaawansowane warunki "Or" do reguł automatyzacji w usłudze Microsoft Sentinel, aby uzyskać bardziej efektywną klasyfikację zdarzeń.

Dodaj warunki "Or" w postaci grup warunków w sekcji Warunki reguły automatyzacji.

Grupy warunków mogą zawierać dwa poziomy warunków:

  • Proste: co najmniej dwa warunki oddzielone operatorem OR :

  • Związek: Więcej niż dwa warunki, z co najmniej dwoma warunkami po co najmniej jednej stronie OR operatora:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) (C and D) OROR (E and F)
    • i tak dalej.

Widać, że ta funkcja zapewnia doskonałą moc i elastyczność podczas określania, kiedy będą uruchamiane reguły. Może również znacznie zwiększyć wydajność, umożliwiając łączenie wielu starych reguł automatyzacji w jedną nową regułę.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dodaj grupę warunków

Ponieważ grupy warunków oferują o wiele większą moc i elastyczność tworzenia reguł automatyzacji, najlepszym sposobem na wyjaśnienie, jak to zrobić, jest przedstawienie kilku przykładów.

Utwórzmy regułę, która zmieni ważność przychodzącego zdarzenia z dowolnego elementu na Wysoki, zakładając, że spełnia ustawione warunki.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.

  2. Na stronie Automatyzacja wybierz pozycję Utwórz > regułę usługi Automation na pasku przycisków u góry.

    Aby uzyskać szczegółowe informacje, zobacz ogólne instrukcje dotyczące tworzenia reguły automatyzacji.

  3. Nadaj regule nazwę: "Klasyfikacja: Zmień ważność na Wysoki"

  4. Wybierz wyzwalacz Po utworzeniu zdarzenia.

  5. W obszarze Warunki, jeśli widzisz warunki nazwy reguły dostawcy zdarzeń i analizy, pozostaw je tak, jak są. Te warunki nie są dostępne, jeśli obszar roboczy jest dołączony do ujednoliconej platformy operacji zabezpieczeń. W obu przypadkach dodamy więcej warunków w dalszej części tego procesu.

  6. W obszarze Akcje wybierz pozycję Zmień ważność z listy rozwijanej.

  7. Wybierz pozycję Wysoki z listy rozwijanej, która jest wyświetlana poniżej pozycji Zmień ważność.

Na przykład poniższe karty pokazują przykłady z obszaru roboczego dołączonego do ujednoliconej platformy operacji zabezpieczeń w portalach platformy Azure lub Defender oraz obszaru roboczego, który nie jest:

Przykład 1: proste warunki

W tym pierwszym przykładzie utworzymy prostą grupę warunków: jeśli warunek A lub warunek B jest spełniony, reguła zostanie uruchomiona, a ważność zdarzenia zostanie ustawiona na Wysoki.

  1. Wybierz węzeł + Dodaj, a następnie z listy rozwijanej wybierz pozycję Grupa warunków (lub).

    Zrzut ekranu przedstawiający dodawanie grupy warunków do zestawu warunków reguły automatyzacji.

  2. Zobacz, że są wyświetlane dwa zestawy pól warunku oddzielone operatorem OR . Są to warunki "A" i "B", o których wspomniano powyżej: jeśli wartość A lub B jest prawdziwa, reguła zostanie uruchomiona.
    (Nie należy mylić ze wszystkimi różnymi warstwami łączy "Dodaj" — wszystkie te elementy zostaną wyjaśnione).

    Zrzut ekranu przedstawiający puste pola grupy warunków.

  3. Zdecydujmy, jakie będą te warunki. Oznacza to, jakie dwa różne warunki spowodują zmianę ważności zdarzenia na Wysoki? Zasugerujmy następujące kwestie:

    • Jeśli skojarzona taktyka MITRE ATT&CK incydentu obejmuje dowolną z czterech wybranych z listy rozwijanej (zobacz poniższy obraz), ważność powinna zostać podniesiona do wartości Wysoki.

    • Jeśli zdarzenie zawiera jednostkę nazwy hosta o nazwie "SUPER_SECURE_STATION", ważność powinna zostać podniesiona do wartości Wysoki.

    Zrzut ekranu przedstawiający dodawanie prostych warunków OR do reguły automatyzacji.

    Tak długo, jak co najmniej jeden z tych warunków jest spełniony, akcje zdefiniowane w regule będą uruchamiane, zmieniając ważność zdarzenia na Wysoki.

Przykład 1A: Dodawanie wartości OR w ramach jednego warunku

Załóżmy, że nie mamy jednego, ale dwóch superwrażliwych stacji roboczych, których incydenty chcemy uczynić wysoką ważność. Możemy dodać kolejną wartość do istniejącego warunku (dla wszystkich warunków opartych na właściwościach jednostki), wybierając ikonę kostki po prawej stronie istniejącej wartości i dodając nową wartość poniżej.

Zrzut ekranu przedstawiający dodawanie większej liczby wartości do pojedynczego warunku.

Przykład 1B: Dodawanie większej liczby warunków OR

Załóżmy, że chcemy uruchomić tę regułę, jeśli jeden z trzech (lub więcej) warunków jest spełniony. Jeśli wartość A lub B lub C ma wartość true, reguła zostanie uruchomiona.

  1. Pamiętasz wszystkie te linki "Dodaj"? Aby dodać kolejny warunek OR, wybierz pozycję + Dodaj połączoną za pomocą wiersza do OR operatora.

    Zrzut ekranu przedstawiający dodawanie innego warunku OR do reguły automatyzacji.

  2. Teraz wypełnij parametry i wartości tego warunku w taki sam sposób, jak w przypadku pierwszych dwóch.

    Zrzut ekranu przedstawiający inny warunek OR dodany do reguły automatyzacji.

Przykład 2: warunki złożone

Teraz zdecydujemy, że będziemy trochę bardziej wybredni. Chcemy dodać więcej warunków po każdej stronie naszego pierwotnego warunku OR. Oznacza to, że chcemy, aby reguła działała, jeśli wartości A i B są prawdziwe lub jeśli C i D są prawdziwe.

  1. Aby dodać warunek po jednej stronie grupy warunków OR, wybierz link + Dodaj bezpośrednio poniżej istniejącego warunku, po tej samej stronie OR operatora (w tym samym niebieskim obszarze), do którego chcesz dodać nowy warunek.

    Zrzut ekranu przedstawiający dodawanie warunku złożonego do reguły automatyzacji.

    Zobaczysz nowy wiersz dodany w istniejącym warunku (w tym samym obszarze niebieskim), połączony z nim przez AND operator.

    Zrzut ekranu przedstawiający pusty wiersz nowego warunku w regułach automatyzacji.

  2. Wypełnij parametry i wartości tego warunku w taki sam sposób, jak inne.

    Zrzut ekranu przedstawiający nowe pola warunku, które mają zostać dodane do reguł automatyzacji.

  3. Powtórz dwa poprzednie kroki, aby dodać warunek AND do obu stron grupy warunku OR.

    Zrzut ekranu przedstawiający dodawanie wielu warunków złożonych do reguły automatyzacji.

I już! Możesz użyć poznanych tutaj informacji, aby dodać więcej warunków i grup warunków, używając różnych kombinacji operatorów AND i OR , aby tworzyć zaawansowane, elastyczne i wydajne reguły automatyzacji, aby naprawdę ułatwić bezproblemowe działanie SOC i zmniejszyć czas odpowiedzi i rozwiązywania problemów.

Następne kroki

W tym dokumencie przedstawiono sposób dodawania grup warunków przy użyciu OR operatorów do reguł automatyzacji.