Dodawanie zaawansowanych warunków do reguł automatyzacji usługi Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jak dodać zaawansowane warunki "Or" do reguł automatyzacji w usłudze Microsoft Sentinel, aby uzyskać bardziej efektywną klasyfikację zdarzeń.

Dodaj warunki "Or" w postaci grup warunków w sekcji Warunki reguły automatyzacji.

Grupy warunków mogą zawierać dwa poziomy warunków:

• Proste: co najmniej dwa warunki oddzielone operatorem OR :

  • A OR B
  • A OR B OR C (patrz przykład 1B poniżej).
  • i tak dalej.

• Związek: Więcej niż dwa warunki, z co najmniej dwoma warunkami po co najmniej jednej stronie OR operatora:

  • (A and B) OR C
  • (A and B) OR (C and D)
  • (A and B) OR (C and D and E)
  • (A and B) (C and D) OR OR (E and F)
  • i tak dalej.

Widać, że ta funkcja zapewnia doskonałą moc i elastyczność podczas określania, kiedy będą uruchamiane reguły. Może również znacznie zwiększyć wydajność, umożliwiając łączenie wielu starych reguł automatyzacji w jedną nową regułę.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Dodaj grupę warunków

Ponieważ grupy warunków oferują o wiele większą moc i elastyczność tworzenia reguł automatyzacji, najlepszym sposobem na wyjaśnienie, jak to zrobić, jest przedstawienie kilku przykładów.

Utwórzmy regułę, która zmieni ważność przychodzącego zdarzenia z dowolnego elementu na Wysoki, zakładając, że spełnia ustawione warunki.

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.

2. Na stronie Automatyzacja wybierz pozycję Utwórz > regułę usługi Automation na pasku przycisków u góry.

   Aby uzyskać szczegółowe informacje, zobacz ogólne instrukcje dotyczące tworzenia reguły automatyzacji.

3. Nadaj regule nazwę: "Klasyfikacja: Zmień ważność na Wysoki"

4. Wybierz wyzwalacz Po utworzeniu zdarzenia.

5. W obszarze Warunki, jeśli widzisz warunki nazwy reguły dostawcy zdarzeń i analizy, pozostaw je tak, jak są. Te warunki nie są dostępne, jeśli obszar roboczy jest dołączony do ujednoliconej platformy operacji zabezpieczeń. W obu przypadkach dodamy więcej warunków w dalszej części tego procesu.

6. W obszarze Akcje wybierz pozycję Zmień ważność z listy rozwijanej.

7. Wybierz pozycję Wysoki z listy rozwijanej, która jest wyświetlana poniżej pozycji Zmień ważność.

Na przykład poniższe karty pokazują przykłady z obszaru roboczego dołączonego do ujednoliconej platformy operacji zabezpieczeń w portalach platformy Azure lub Defender oraz obszaru roboczego, który nie jest:

Dołączone obszary robocze

Obszary robocze, które nie są dołączone

Przykład 1: proste warunki

W tym pierwszym przykładzie utworzymy prostą grupę warunków: jeśli warunek A lub warunek B jest spełniony, reguła zostanie uruchomiona, a ważność zdarzenia zostanie ustawiona na Wysoki.

1. Wybierz węzeł + Dodaj, a następnie z listy rozwijanej wybierz pozycję Grupa warunków (lub).

   

2. Zobacz, że są wyświetlane dwa zestawy pól warunku oddzielone operatorem OR . Są to warunki "A" i "B", o których wspomniano powyżej: jeśli wartość A lub B jest prawdziwa, reguła zostanie uruchomiona.
   (Nie należy mylić ze wszystkimi różnymi warstwami łączy "Dodaj" — wszystkie te elementy zostaną wyjaśnione).

   

3. Zdecydujmy, jakie będą te warunki. Oznacza to, jakie dwa różne warunki spowodują zmianę ważności zdarzenia na Wysoki? Zasugerujmy następujące kwestie:

   • Jeśli skojarzona taktyka MITRE ATT&CK incydentu obejmuje dowolną z czterech wybranych z listy rozwijanej (zobacz poniższy obraz), ważność powinna zostać podniesiona do wartości Wysoki.

   • Jeśli zdarzenie zawiera jednostkę nazwy hosta o nazwie "SUPER_SECURE_STATION", ważność powinna zostać podniesiona do wartości Wysoki.

   

   Tak długo, jak co najmniej jeden z tych warunków jest spełniony, akcje zdefiniowane w regule będą uruchamiane, zmieniając ważność zdarzenia na Wysoki.

Przykład 1A: Dodawanie wartości OR w ramach jednego warunku

Załóżmy, że nie mamy jednego, ale dwóch superwrażliwych stacji roboczych, których incydenty chcemy uczynić wysoką ważność. Możemy dodać kolejną wartość do istniejącego warunku (dla wszystkich warunków opartych na właściwościach jednostki), wybierając ikonę kostki po prawej stronie istniejącej wartości i dodając nową wartość poniżej.

Przykład 1B: Dodawanie większej liczby warunków OR

Załóżmy, że chcemy uruchomić tę regułę, jeśli jeden z trzech (lub więcej) warunków jest spełniony. Jeśli wartość A lub B lub C ma wartość true, reguła zostanie uruchomiona.

1. Pamiętasz wszystkie te linki "Dodaj"? Aby dodać kolejny warunek OR, wybierz pozycję + Dodaj połączoną za pomocą wiersza do OR operatora.

   

2. Teraz wypełnij parametry i wartości tego warunku w taki sam sposób, jak w przypadku pierwszych dwóch.

   

Przykład 2: warunki złożone

Teraz zdecydujemy, że będziemy trochę bardziej wybredni. Chcemy dodać więcej warunków po każdej stronie naszego pierwotnego warunku OR. Oznacza to, że chcemy, aby reguła działała, jeśli wartości A i B są prawdziwe lub jeśli C i D są prawdziwe.

1. Aby dodać warunek po jednej stronie grupy warunków OR, wybierz link + Dodaj bezpośrednio poniżej istniejącego warunku, po tej samej stronie OR operatora (w tym samym niebieskim obszarze), do którego chcesz dodać nowy warunek.

   

   Zobaczysz nowy wiersz dodany w istniejącym warunku (w tym samym obszarze niebieskim), połączony z nim przez AND operator.

   

2. Wypełnij parametry i wartości tego warunku w taki sam sposób, jak inne.

   

3. Powtórz dwa poprzednie kroki, aby dodać warunek AND do obu stron grupy warunku OR.

   

I już! Możesz użyć poznanych tutaj informacji, aby dodać więcej warunków i grup warunków, używając różnych kombinacji operatorów AND i OR , aby tworzyć zaawansowane, elastyczne i wydajne reguły automatyzacji, aby naprawdę ułatwić bezproblemowe działanie SOC i zmniejszyć czas odpowiedzi i rozwiązywania problemów.

Następne kroki

W tym dokumencie przedstawiono sposób dodawania grup warunków przy użyciu OR operatorów do reguł automatyzacji.

• Aby uzyskać instrukcje dotyczące tworzenia podstawowych reguł automatyzacji, zobacz Tworzenie reguł automatyzacji usługi Microsoft Sentinel i używanie ich do zarządzania odpowiedzią.
• Aby dowiedzieć się więcej o regułach automatyzacji, zobacz Automatyzowanie obsługi zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji
• Aby dowiedzieć się więcej na temat zaawansowanych opcji automatyzacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel.
• Aby uzyskać pomoc dotyczącą implementowania reguł automatyzacji i podręczników, zobacz Samouczek: automatyzowanie odpowiedzi na zagrożenia w usłudze Microsoft Sentinel przy użyciu podręczników.