Tworzenie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak używać reguł automatyzacji do tworzenia list zadań zdarzeń w celu standaryzacji procesów przepływu pracy analityka w usłudze Microsoft Sentinel.

Zadania zdarzeń mogą być tworzone automatycznie nie tylko przez reguły automatyzacji, ale także podręczniki, a także ręcznie, ad hoc, z poziomu zdarzenia.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

Inny taki scenariusz został rozwiązany w następującym artykule towarzyszącym:

Inny artykuł, pod następującymi linkami, dotyczy scenariuszy, które mają zastosowanie więcej do analityków SOC:

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie reguł automatyzacji z akcjami zadań zdarzeń

Na stronie Automatyzacja można filtrować widok reguł automatyzacji, aby wyświetlić tylko te, które mają zdefiniowane akcje Dodaj zadania.

Zrzut ekranu przedstawiający sposób filtrowania siatki reguł automatyzacji.

  1. Wybierz filtr Akcje.

  2. Usuń zaznaczenie pola wyboru Zaznacz wszystko .

  3. Przewiń w dół i zaznacz pole wyboru Dodaj zadanie .

  4. Wybierz przycisk OK i wyświetl wyniki.

    Zrzut ekranu przedstawiający wyniki filtru w siatce reguł automatyzacji.

    Są to reguły automatyzacji, które dodają zadania do zdarzeń. Kolumna Nazwy reguł analizy zawiera informacje o regułach analizy, na których są spełnione te reguły automatyzacji, więc będziesz mieć ogólną koncepcję, na które zdarzenia mają wpływ.

    Uwaga

    Aby mieć dokładną wiedzę na temat tego, czy reguła automatyzacji będzie stosowana do określonego zdarzenia, należy otworzyć regułę, aby sprawdzić, czy zdefiniowano jakiekolwiek dodatkowe warunki, oprócz warunku reguły analizy. Jeśli zdefiniowano inne warunki, zakres dotkniętych zdarzeń zostanie odpowiednio zawęziony.

Dodawanie zadań do zdarzeń przy użyciu reguł automatyzacji

  1. Na stronie Automatyzacja wybierz pozycję + Utwórz i wybierz pozycję Reguła automatyzacji.

  2. Panel Tworzenie nowej reguły automatyzacji zostanie otwarty po prawej stronie.
    Nadaj regule automatyzacji nazwę, która opisuje to, co robi.

  3. Wybierz pozycję Po utworzeniu zdarzenia jako wyzwalacza (możesz również użyć opcji Po zaktualizowaniu zdarzenia).

  4. Dodaj warunki , aby określić, do których zdarzeń zostaną dodane nowe zadania.

    Na przykład filtruj według nazwy reguły analizy:

    • Możesz dodać zadania do zdarzeń na podstawie typów zagrożeń wykrytych przez regułę analizy lub grupę reguł analizy, które muszą być obsługiwane zgodnie z określonym przepływem pracy. Wyszukaj i wybierz odpowiednie reguły analizy z listy rozwijanej.

    • Możesz też dodać zadania, które są istotne dla zdarzeń we wszystkich typach zagrożeń (w tym przypadku pozostaw domyślny wybór opcji Wszystkie tak, jak to jest).

    W obu przypadkach można dodać więcej warunków, aby zawęzić zakres zdarzeń, do których zostanie zastosowana reguła automatyzacji. Dowiedz się więcej o dodawaniu zaawansowanych warunków do reguł automatyzacji.

    Należy wziąć pod uwagę jedną z kwestii, że kolejność, w jakiej zadania pojawiają się w zdarzeniu, zależy od czasu utworzenia zadań. Można ustawić kolejność reguł automatyzacji, tak aby reguły, które dodają zadania wymagane dla wszystkich zdarzeń, będą uruchamiane jako pierwsze, a dopiero potem wszystkie reguły, które dodają zadania wymagane dla zdarzeń generowanych przez określone reguły analizy.

    Zrzut ekranu przedstawiający pierwszą część kreatora reguł automatyzacji.

  5. W obszarze Akcje wybierz pozycję Dodaj zadanie.

    Zrzut ekranu przedstawiający wybieranie akcji Dodaj zadanie w regule automatyzacji.

  6. Dla każdego zadania wprowadź tytuł w polu Tytuł zadania, a następnie (opcjonalnie) wybierz pozycję + Dodaj opis , aby otworzyć pole opisu.
    Tylko tytuły zadań są domyślnie wyświetlane na panelu listy zadań zdarzenia. Opis zadania jest wyświetlany tylko po rozwinięciu elementu zadania.

    Zrzut ekranu przedstawiający sposób dodawania tytułu i opisu do zadania.

  7. W polu opisu można dodać dowolny opis zadania, w tym obrazy, linki i formatowanie tekstu sformatowanego (zobacz hiperlinki, listy numerowane i tekst sformatowany w kodzie w poniższych przykładach).

    Zrzut ekranu przedstawiający sposób dodawania opisu do zadania.

  8. Dodaj więcej zadań do tej samej grupy zdarzeń, wybierając pozycję + Dodaj akcję i powtarzając ostatnie trzy kroki.

    Zadania zostaną utworzone i dodane do zdarzenia zgodnie z kolejnością Dodaj akcje zadania w regule automatyzacji.

    Zrzut ekranu przedstawiający sposób dodawania kolejnych zadań do reguły automatyzacji.

  9. Zakończ tworzenie reguły automatyzacji, wykonując pozostałe kroki, wygaśnięcie reguły i kolejność, a następnie wybierając pozycję Zastosuj na końcu. Aby uzyskać szczegółowe informacje, zobacz Tworzenie reguł automatyzacji usługi Microsoft Sentinel i korzystanie z nich .

    Ustawienie Kolejność: kolejność, w której zadania są wyświetlane w zdarzeniach, zależą od dwóch elementów:

    1. Kolejność wykonywania reguł automatyzacji określona przez liczbę w ustawieniu Kolejność i...
    2. Kolejność akcji Dodaj zadania zdefiniowane w każdej regule automatyzacji.

Następne kroki