Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule wyjaśniono, jakie są reguły automatyzacji usługi Microsoft Sentinel oraz jak ich używać do implementowania operacji orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR), zwiększając efektywność SOC i oszczędzając czas i zasoby.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Co to są reguły automatyzacji?

Reguły automatyzacji to sposób centralnego zarządzania automatyzacją w usłudze Microsoft Sentinel, umożliwiając definiowanie i koordynowanie małego zestawu reguł, które mogą być stosowane w różnych scenariuszach.

Reguły automatyzacji mają zastosowanie do następujących kategorii przypadków użycia:

  • Wykonywanie podstawowych zadań automatyzacji na potrzeby obsługi zdarzeń bez korzystania z podręczników. Na przykład:

    • Dodaj zadania zdarzeń dla analityków, aby wykonać te czynności .
    • Pomijanie hałaśliwych zdarzeń.
    • Klasyfikowanie nowych zdarzeń przez zmianę ich stanu z Nowy na Aktywny i przypisanie właściciela.
    • Tagowanie zdarzeń w celu ich klasyfikowania.
    • Eskalowanie zdarzenia przez przypisanie nowego właściciela.
    • Zamknij rozwiązane zdarzenia, określając przyczynę i dodając komentarze.

  • Automatyzowanie odpowiedzi dla wielu reguł analizy jednocześnie.

  • Kontrolowanie kolejności wykonywanych akcji.

  • Sprawdź zawartość zdarzenia (alerty, jednostki i inne właściwości) i podejmij dalsze działania, wywołując podręcznik.

  • Reguły automatyzacji mogą być również mechanizmem, za pomocą którego uruchamiasz podręcznik w odpowiedzi na alert, który nie jest skojarzony ze zdarzeniem.

Krótko mówiąc, reguły automatyzacji usprawniają korzystanie z automatyzacji w usłudze Microsoft Sentinel, umożliwiając uproszczenie złożonych przepływów pracy dla procesów orkiestracji reagowania na zagrożenia.

Składniki

Reguły automatyzacji składają się z kilku składników:

  • Wyzwalacze , które definiują rodzaj zdarzenia, spowoduje uruchomienie reguły, z zastrzeżeniem...
  • Warunki , które określą dokładne okoliczności, w których reguła zostanie uruchomiona i wykona...
  • Akcje w celu zmiany zdarzenia w jakiś sposób lub wywołania podręcznika.

Wyzwalacze

Reguły automatyzacji są wyzwalane po utworzeniu lub zaktualizowaniu zdarzenia lub utworzeniu alertu. Pamiętaj, że zdarzenia obejmują alerty i że zarówno alerty, jak i zdarzenia mogą być tworzone przez reguły analizy, których istnieje kilka typów, zgodnie z opisem w temacie Detect threats with built-in analytics rules in Microsoft Sentinel (Wykrywanie zagrożeń za pomocą wbudowanych reguł analitycznych w usłudze Microsoft Sentinel).

W poniższej tabeli przedstawiono różne możliwe scenariusze, które spowodują uruchomienie reguły automatyzacji.

Typ wyzwalacza Zdarzenia, które powodują uruchomienie reguły
Po utworzeniu zdarzenia Ujednolicona platforma operacji zabezpieczeń w usłudze Microsoft Defender:
  • W portalu usługi Microsoft Defender zostanie utworzone nowe zdarzenie.

    Usługa Microsoft Sentinel nie jest dołączona do ujednoliconej platformy:
  • Nowe zdarzenie jest tworzone przez regułę analizy.
  • Zdarzenie jest pozyskiwane z usługi Microsoft Defender XDR.
  • Nowe zdarzenie jest tworzone ręcznie.
    		•
    Po zaktualizowaniu zdarzenia
  • Stan zdarzenia został zmieniony (zamknięty/ponownie otwarty/sklasyfikowany).
  • Właściciel zdarzenia jest przypisywany lub zmieniany.
  • Ważność zdarzenia jest podniesiona lub obniżona.
  • Alerty są dodawane do zdarzenia.
  • Komentarze, tagi lub taktyka są dodawane do zdarzenia.
    		•
    Po utworzeniu alertu
  • Alert jest tworzony przez regułę analizy zaplanowanej lub nrT usługi Microsoft Sentinel.
    		•

    Automatyzacja oparta na zdarzeniach lub oparta na alertach?

    Teraz, gdy zarówno automatyzacja zdarzeń, jak i automatyzacja alertów są obsługiwane centralnie przez reguły automatyzacji, a także podręczniki, jak należy wybrać, kiedy użyć którego?

    W większości przypadków użycia preferowana jest automatyzacja wyzwalana przez zdarzenia. W usłudze Microsoft Sentinel incydent jest "aktem sprawy" — agregacją wszystkich istotnych dowodów dotyczących konkretnego dochodzenia. Jest to kontener alertów, jednostek, komentarzy, współpracy i innych artefaktów. W przeciwieństwie do alertów , które są pojedynczymi elementami dowodów, zdarzenia są modyfikowalne, mają najbardziej zaktualizowany stan i mogą być wzbogacone o komentarze, tagi i zakładki. Zdarzenie umożliwia śledzenie historii ataku, która stale ewoluuje wraz z dodatkami nowych alertów.

    Z tych powodów bardziej sensowne jest tworzenie automatyzacji wokół zdarzeń. Najbardziej odpowiednim sposobem tworzenia podręczników jest oparcie ich na wyzwalaczu zdarzeń usługi Microsoft Sentinel w usłudze Azure Logic Apps.

    Główną przyczyną korzystania z automatyzacji wyzwalanej przez alerty jest reagowanie na alerty generowane przez reguły analizy, które nie tworzą zdarzeń (oznacza to, że tworzenie zdarzeń zostało wyłączone na karcie Ustawienia zdarzenia kreatora reguł analizy).

    Jest to szczególnie istotne, gdy obszar roboczy usługi Microsoft Sentinel jest dołączany do ujednoliconej platformy operacji zabezpieczeń, ponieważ wszystkie operacje tworzenia zdarzeń są tworzone w usłudze Microsoft Defender XDR, dlatego reguły tworzenia incydentów w usłudze Microsoft Sentinel muszą być wyłączone.

    Nawet bez dołączania do ujednoliconego portalu możesz mimo to zdecydować się na użycie automatyzacji wyzwalanej przez alerty, jeśli chcesz użyć innej logiki zewnętrznej, aby określić, czy i jak zdarzenia są tworzone na podstawie alertów, a także czy i jak alerty są grupowane w zdarzenia. Na przykład:

    • Podręcznik może zostać wyzwolony przez alert, który nie ma skojarzonego zdarzenia, wzbogacić alert o informacje z innych źródeł i na podstawie pewnej logiki zewnętrznej zdecydować, czy utworzyć zdarzenie, czy nie.

    • Podręcznik może zostać wyzwolony przez alert, a zamiast tworzyć zdarzenie, poszukaj odpowiedniego istniejącego zdarzenia, aby dodać alert. Dowiedz się więcej o rozszerzaniu zdarzeń.

    • Podręcznik może zostać wyzwolony przez alert i powiadomić personel SOC o alercie, aby zespół mógł zdecydować, czy utworzyć zdarzenie.

    • Podręcznik może zostać wyzwolony przez alert i wysłać alert do zewnętrznego systemu biletów na potrzeby tworzenia zdarzeń i zarządzania nimi, tworząc nowy bilet dla każdego alertu.

    Uwaga

    • Automatyzacja wyzwalana przez alerty jest dostępna tylko dla alertów utworzonych przez reguły analizy zabezpieczeń Zaplanowane, NRT i Microsoft.

    • Automatyzacja wyzwalana przez alerty dla alertów utworzonych przez usługę Microsoft Defender XDR nie jest dostępna na ujednoliconej platformie operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz Automatyzacja za pomocą ujednoliconej platformy operacji zabezpieczeń.

    Warunki

    Złożone zestawy warunków można zdefiniować tak, aby zarządzać, gdy akcje (patrz poniżej) powinny być uruchamiane. Te warunki obejmują zdarzenie wyzwalające regułę (zdarzenie utworzone lub zaktualizowane lub utworzone alerty), stany lub wartości właściwości zdarzenia i właściwości jednostki (tylko dla wyzwalacza zdarzenia), a także regułę analizy lub reguły, które wygenerowały zdarzenie lub alert.

    Po wyzwoleniu reguły automatyzacji sprawdza wyzwalające zdarzenie lub alert względem warunków zdefiniowanych w regule. W przypadku zdarzeń warunki oparte na właściwości są oceniane zgodnie z bieżącym stanem właściwości w momencie wystąpienia oceny lub zgodnie ze zmianami w stanie właściwości (zobacz poniżej, aby uzyskać szczegółowe informacje). Ponieważ pojedyncze zdarzenie tworzenia lub aktualizacji może wyzwolić kilka reguł automatyzacji, kolejność uruchamiania (patrz poniżej) ma wpływ na określenie wyniku oceny warunków. Akcje zdefiniowane w regule będą uruchamiane tylko wtedy, gdy zostaną spełnione wszystkie warunki.

    Wyzwalacz tworzenia zdarzenia

    W przypadku reguł zdefiniowanych przy użyciu wyzwalacza Po utworzeniu zdarzenia można zdefiniować warunki sprawdzające bieżący stan wartości danej listy właściwości zdarzenia przy użyciu co najmniej jednego z następujących operatorów:

    Wartość właściwości zdarzenia

    • równa się lub nie jest równa wartości zdefiniowanej w warunku.
    • zawiera lub nie zawiera wartości zdefiniowanej w warunku.
    • rozpoczyna się od elementu lub nie rozpoczyna się od wartości zdefiniowanej w warunku.
    • kończy się ciągiem lub nie kończy się wartością zdefiniowaną w warunku.

    Bieżący stan w tym kontekście odnosi się do momentu oceny warunku — czyli momentu uruchomienia reguły automatyzacji. Jeśli zdefiniowano więcej niż jedną regułę automatyzacji w odpowiedzi na utworzenie tego zdarzenia, zmiany wprowadzone w zdarzeniu przez wcześniej uruchomioną regułę automatyzacji są uznawane za bieżący stan dla reguł uruchamiania później.

    Wyzwalacz aktualizacji zdarzenia

    Warunki oceniane w regułach zdefiniowanych przy użyciu wyzwalacza Po zaktualizowaniu zdarzenia obejmują wszystkie wymienione dla wyzwalacza tworzenia zdarzenia. Jednak wyzwalacz aktualizacji zawiera więcej właściwości, które można ocenić.

    Jedną z tych właściwości jest Zaktualizowana przez. Ta właściwość umożliwia śledzenie typu źródła, które dokonało zmiany w zdarzeniu. Możesz utworzyć warunek sprawdzający, czy zdarzenie zostało zaktualizowane przy użyciu jednej z następujących wartości, w zależności od tego, czy obszar roboczy został dołączony do ujednoliconej platformy operacji zabezpieczeń:

    • Aplikacja, w tym aplikacje zarówno w portalach platformy Azure, jak i w usłudze Defender.
    • Użytkownik, w tym zmiany wprowadzone przez użytkowników zarówno w portalach platformy Azure, jak i usługi Defender.
    • Program AIR, w przypadku aktualizacji przez automatyczne badanie i reagowanie w Ochrona usługi Office 365 w usłudze Microsoft Defender
    • Grupowanie alertów (które dodało alerty do zdarzenia), w tym grupowanie alertów, które zostały wykonane zarówno przez reguły analizy, jak i wbudowaną logikę korelacji XDR w usłudze Microsoft Defender
    • Podręcznik
    • Reguła automatyzacji
    • Inne, jeśli żadna z powyższych wartości nie ma zastosowania

    Korzystając z tego warunku, można na przykład poinstruować tę regułę automatyzacji, aby była uruchamiana przy każdej zmianie wprowadzonej w zdarzeniu, z wyjątkiem sytuacji, gdy została ona wprowadzona przez inną regułę automatyzacji.

    Co więcej, wyzwalacz aktualizacji używa również innych operatorów, które sprawdzają zmiany stanu w wartościach właściwości zdarzenia, a także ich bieżący stan. Warunek zmiany stanu byłby spełniony, jeśli:

    Wartość właściwości zdarzenia była

    • zmieniono (niezależnie od rzeczywistej wartości przed lub po).
    • zmieniono wartość zdefiniowaną w warunku.
    • zmieniono wartość zdefiniowaną w warunku.
    • dodany do (dotyczy to właściwości z listą wartości).

    Właściwość tagu : pojedyncza a kolekcja

    Tag właściwości incydentu jest kolekcją pojedynczych elementów — do pojedynczego zdarzenia może być zastosowanych wiele tagów. Możesz zdefiniować warunki, które sprawdzają każdy tag w kolekcji indywidualnie, oraz warunki, które sprawdzają kolekcję tagów jako jednostkę.

    • Wszystkie poszczególne operatory tagów sprawdzają warunek względem każdego tagu w kolekcji. Ocena jest prawdziwa, gdy co najmniej jeden tag spełnia warunek.
    • Kolekcja wszystkich operatorów tagów sprawdza warunek względem kolekcji tagów jako pojedynczą jednostkę. Ocena jest prawdziwa tylko wtedy, gdy kolekcja jako całość spełnia warunek.

    To rozróżnienie ma znaczenie, gdy warunek jest ujemny (nie zawiera), a niektóre tagi w kolekcji spełniają warunek, a inne nie.

    Przyjrzyjmy się przykładowi, w którym warunek to Tag nie zawiera ciągu "2024" i masz dwa zdarzenia, z których każdy ma dwa tagi:

    \Incydentów ▶
    Warunek ► \    		 Zdarzenie 1
    Tag 1: 2024
    Tag 2: 2023    		 Zdarzenie 2
    Tag 1: 2023
    Tag 2: 2022
    Dowolny tag indywidualny
    nie zawiera "2024"    		 PRAWDA PRAWDA
    Kolekcja wszystkich tagów
    nie zawiera "2024"    		 FAŁSZ PRAWDA

    W tym przykładzie w zdarzeniu 1:

    • Jeśli warunek sprawdza każdy tag indywidualnie, ponieważ istnieje co najmniej jeden tag, który spełnia warunek (który nie zawiera wartości "2024"), ogólny warunek jest spełniony.
    • Jeśli warunek sprawdza wszystkie tagi w incydencie jako pojedynczą jednostkę, to ponieważ istnieje co najmniej jeden tag, który nie spełnia warunku (który zawiera wartość "2024"), ogólny warunek jest fałszywy.

    W przypadku zdarzenia 2 wynik będzie taki sam, niezależnie od typu warunku.

    Wyzwalacz tworzenia alertu

    Obecnie jedynym warunkiem, który można skonfigurować dla wyzwalacza tworzenia alertu, jest zestaw reguł analizy, dla których zostanie uruchomiona reguła automatyzacji.

    Akcje

    Akcje można zdefiniować tak, aby uruchamiały się po spełnieniu warunków (patrz powyżej). Możesz zdefiniować wiele akcji w regule i wybrać kolejność ich uruchamiania (zobacz poniżej). Następujące akcje można zdefiniować przy użyciu reguł automatyzacji bez konieczności korzystania z zaawansowanych funkcji podręcznika:

    • Dodawanie zadania do zdarzenia — możesz utworzyć listę kontrolną zadań dla analityków, które mają być wykonywane w trakcie procesów klasyfikacji, badania i korygowania zdarzenia, aby upewnić się, że nie pominięto żadnych krytycznych kroków.

    • Zmiana stanu zdarzenia, aktualizowanie przepływu pracy.

      • Po zmianie na "zamknięte" określ przyczynę zamknięcia i dodaj komentarz. Ułatwia to śledzenie wydajności i skuteczności oraz precyzyjne dostosowywanie w celu zmniejszenia liczby wyników fałszywie dodatnich.

    • Zmiana ważności zdarzenia — można ponownie walidować i reriorytować na podstawie obecności, braku, wartości lub atrybutów jednostek zaangażowanych w zdarzenie.

    • Przypisywanie zdarzenia do właściciela — ułatwia to kierowanie typów zdarzeń do personelu najlepiej dopasowanego do ich obsługi lub do najbardziej dostępnego personelu.

    • Dodawanie tagu do zdarzenia — jest to przydatne do klasyfikowania zdarzeń według podmiotu, osoby atakującej lub innego wspólnego mianownika.

    Ponadto można zdefiniować akcję uruchamiania podręcznika w celu wykonania bardziej złożonych akcji odpowiedzi, w tym wszystkich obejmujących systemy zewnętrzne. Podręczniki dostępne do użycia w regule automatyzacji zależą od wyzwalacza, na którym są oparte podręczniki i reguła automatyzacji: tylko podręczniki wyzwalacza zdarzeń mogą być uruchamiane z reguł automatyzacji wyzwalacza zdarzeń, a tylko podręczniki wyzwalacza alertu mogą być uruchamiane z reguł automatyzacji wyzwalacza alertów. Można zdefiniować wiele akcji wywołujących podręczniki lub kombinacje podręczników i innych akcji. Akcje będą uruchamiane w kolejności, w której są one wymienione w regule.

    Podręczniki korzystające z jednej z wersji usługi Azure Logic Apps (w warstwie Standardowa lub Zużycie) będą dostępne do uruchamiania z reguł automatyzacji.

    Data wygaśnięcia

    Możesz zdefiniować datę wygaśnięcia reguły automatyzacji. Reguła zostanie wyłączona po tej dacie. Jest to przydatne w przypadku obsługi (czyli zamykania) "szumu" zdarzeń spowodowanych zaplanowanymi, ograniczonymi czasowo działaniami, takimi jak testy penetracyjne.

    Zamówienie

    Można zdefiniować kolejność uruchamiania reguł automatyzacji. Później reguły automatyzacji będą oceniać warunki zdarzenia zgodnie z jego stanem po wykonaniu działań przez poprzednie reguły automatyzacji.

    Na przykład jeśli "Pierwsza reguła automatyzacji" zmieniła ważność zdarzenia z średniej na niską, a opcja "Druga reguła automatyzacji" jest zdefiniowana tak, aby była uruchamiana tylko w przypadku zdarzeń o średniej lub wyższej ważności, nie zostanie uruchomiona w tym zdarzeniu.

    Kolejność reguł automatyzacji, które dodają zadania zdarzeń, określa kolejność, w jakiej zadania będą wyświetlane w danym zdarzeniu.

    Reguły oparte na wyzwalaczu aktualizacji mają własną oddzielną kolejkę zamówień. Jeśli takie reguły zostaną wyzwolone w celu uruchomienia na właśnie utworzonym zdarzeniu (przez zmianę wprowadzoną przez inną regułę automatyzacji), zostaną one uruchomione dopiero po uruchomieniu wszystkich odpowiednich reguł na podstawie wyzwalacza tworzenia.

    Uwagi dotyczące kolejności wykonywania i priorytetu

    • Ustawienie numeru kolejności w regułach automatyzacji określa ich kolejność wykonywania.
    • Każdy typ wyzwalacza zachowuje własną kolejkę.
    • W przypadku reguł utworzonych w witrynie Azure Portal pole zamówienia zostanie wypełnione automatycznie liczbą po najwyższej liczbie używanej przez istniejące reguły tego samego typu wyzwalacza.
    • Jednak w przypadku reguł utworzonych na inne sposoby (wiersz polecenia, interfejs API itp.) numer zamówienia musi być przypisany ręcznie.
    • Nie ma mechanizmu sprawdzania poprawności uniemożliwiającego posiadanie tego samego numeru zamówienia, nawet w ramach tego samego typu wyzwalacza.
    • Możesz zezwolić na użycie co najmniej dwóch reguł tego samego typu wyzwalacza o tym samym numerze zamówienia, jeśli nie obchodzi to, w jakiej kolejności są uruchamiane.
    • W przypadku reguł tego samego typu wyzwalacza o tym samym numerze zamówienia aparat wykonywania losowo wybiera reguły, które będą uruchamiane w jakiej kolejności.
    • W przypadku reguł różnych typów wyzwalaczy zdarzenia wszystkie odpowiednie reguły z typem wyzwalacza tworzenia zdarzenia będą uruchamiane najpierw (zgodnie z ich numerami zamówień), a następnie reguły z typem wyzwalacza aktualizacji incydentu (zgodnie z ich numerami zamówień).
    • Reguły zawsze są uruchamiane sekwencyjnie, nigdy nie są równoległe.

    Uwaga

    Po dołączeniu do ujednoliconej platformy operacji zabezpieczeń, jeśli wiele zmian zostanie wprowadzonych w tym samym zdarzeniu w okresie od pięciu do dziesięciu minut, pojedyncza aktualizacja zostanie wysłana do usługi Microsoft Sentinel z tylko najnowszą zmianą.

    Typowe przypadki użycia i scenariusze

    Zadania zdarzeń

    Reguły automatyzacji umożliwiają standaryzację i sformalizowanie kroków wymaganych do klasyfikacji, badania i korygowania zdarzeń, tworząc zadania , które można zastosować do pojedynczego zdarzenia, między grupami zdarzeń lub do wszystkich zdarzeń zgodnie z warunkami ustawionymi w regule automatyzacji i logiką wykrywania zagrożeń w podstawowych regułach analizy. Zadania zastosowane do zdarzenia pojawiają się na stronie zdarzenia, więc analitycy mają całą listę akcji, które muszą wykonać, bezpośrednio przed nimi i nie przegapi żadnych krytycznych kroków.

    Automatyzacja wyzwalana przez zdarzenia i alerty

    Reguły automatyzacji mogą być wyzwalane przez tworzenie lub aktualizowanie zdarzeń, a także przez tworzenie alertów. Te wystąpienia mogą wyzwalać łańcuchy automatycznych odpowiedzi, które mogą obejmować podręczniki (wymagane są specjalne uprawnienia).

    Wyzwalanie podręczników dla dostawców firmy Microsoft

    Reguły automatyzacji umożliwiają zautomatyzowanie obsługi alertów zabezpieczeń firmy Microsoft przez zastosowanie tych reguł do zdarzeń utworzonych na podstawie alertów. Reguły automatyzacji mogą wywoływać podręczniki (wymagane są specjalne uprawnienia) i przekazywać do nich zdarzenia ze wszystkimi szczegółami, w tym alertami i jednostkami. Ogólnie rzecz biorąc, najlepsze rozwiązania dotyczące usługi Microsoft Sentinel określają użycie kolejki zdarzeń jako punktu centralnego operacji zabezpieczeń.

    Alerty zabezpieczeń firmy Microsoft obejmują następujące elementy:

    • Microsoft Entra ID — ochrona
    • Microsoft Defender for Cloud
    • Microsoft Defender for Cloud Apps
    • Microsoft Defender dla usługi Office 365
    • Usługa Microsoft Defender dla punktu końcowego
    • Microsoft Defender for Identity
    • Microsoft Defender for IoT

    Wiele sekwencjonowanych podręczników/akcji w jednej regule

    Teraz możesz mieć niemal pełną kontrolę nad kolejnością wykonywania akcji i podręczników w jednej regule automatyzacji. Kontrolujesz również kolejność wykonywania reguł automatyzacji. Pozwala to znacznie uprościć podręczniki, zmniejszając je do jednego zadania lub małej, prostej sekwencji zadań i łącząc te małe podręczniki w różnych kombinacjach w różnych regułach automatyzacji.

    Przypisywanie jednego podręcznika do wielu reguł analizy jednocześnie

    Jeśli masz zadanie, które chcesz zautomatyzować na wszystkich regułach analizy — powiedzmy, utworzenie biletu pomocy technicznej w zewnętrznym systemie obsługi biletów — możesz zastosować pojedynczy podręcznik do dowolnych lub wszystkich reguł analizy — w tym wszelkich przyszłych reguł — w jednym zastrzeleniu. To sprawia, że proste, ale powtarzalne zadania konserwacji i utrzymania domu znacznie mniej pracy.

    Automatyczne przypisywanie zdarzeń

    Zdarzenia można przypisywać do odpowiedniego właściciela automatycznie. Jeśli SoC ma analityka, który specjalizuje się w określonej platformie, wszelkie incydenty związane z daną platformą mogą być automatycznie przypisywane do tego analityka.

    Pomijanie zdarzeń

    Za pomocą reguł można automatycznie rozwiązywać zdarzenia, które są znane fałszywie/łagodne wyniki dodatnie bez korzystania z podręczników. Na przykład podczas uruchamiania testów penetracyjnych, przeprowadzania zaplanowanej konserwacji lub uaktualnień lub testowania procedur automatyzacji można utworzyć wiele fałszywie dodatnich zdarzeń, które soC chce zignorować. Reguła automatyzacji ograniczona czasowo może automatycznie zamknąć te zdarzenia podczas ich tworzenia, tagując je deskryptorem przyczyny ich generowania.

    Automatyzacja ograniczona czasowo

    Możesz dodać daty wygaśnięcia dla reguł automatyzacji. Mogą istnieć przypadki inne niż pomijanie zdarzeń, które uzasadniają ograniczoną czasowo automatyzację. Możesz przypisać określony typ zdarzenia do określonego użytkownika (np. stażysta lub konsultant) dla określonego przedziału czasu. Jeśli przedział czasu jest znany z wyprzedzeniem, możesz skutecznie spowodować wyłączenie reguły na końcu jego istotności, bez konieczności pamiętania o tym.

    Automatyczne tagowanie zdarzeń

    Tagi dowolnego tekstu można automatycznie dodawać do zdarzeń do grupy lub klasyfikować zgodnie z wybranymi kryteriami.

    Przypadki użycia dodane przez wyzwalacz aktualizacji

    Teraz, gdy zmiany wprowadzone w zdarzeniach mogą wyzwalać reguły automatyzacji, więcej scenariuszy jest otwartych na automatyzację.

    Rozszerzanie automatyzacji w przypadku rozwoju zdarzenia

    Możesz użyć wyzwalacza aktualizacji, aby zastosować wiele powyższych przypadków użycia do zdarzeń w miarę postępu badania, a analitycy dodają alerty, komentarze i tagi. Kontrolowanie grupowania alertów w zdarzeniach.

    Aktualizowanie aranżacji i powiadomień

    Powiadom różne zespoły i inne osoby, gdy zmiany zostaną wprowadzone w zdarzeniach, aby nie przegapiły żadnych aktualizacji krytycznych. Eskaluj zdarzenia, przypisując je nowym właścicielom i informując nowych właścicieli o swoich przydziałach. Kontrolowanie, kiedy i jak zdarzenia są ponownie otwierane.

    Utrzymywanie synchronizacji z systemami zewnętrznymi

    Jeśli używasz podręczników do tworzenia biletów w systemach zewnętrznych podczas tworzenia zdarzeń, możesz użyć reguły automatyzacji wyzwalacza aktualizacji w celu wywołania podręcznika, który zaktualizuje te bilety.

    Wykonywanie reguł automatyzacji

    Reguły automatyzacji są uruchamiane sekwencyjnie zgodnie z kolejnością, którą określasz. Każda reguła automatyzacji jest wykonywana po zakończeniu poprzedniego uruchomienia. W ramach reguły automatyzacji wszystkie akcje są uruchamiane sekwencyjnie w kolejności, w której są zdefiniowane.

    Akcje podręcznika w regule automatyzacji mogą być traktowane inaczej w pewnych okolicznościach zgodnie z następującymi kryteriami:

    Czas wykonywania podręcznika Reguła automatyzacji przechodzi do następnej akcji...
    Mniej niż sekunda Natychmiast po zakończeniu podręcznika
    Mniej niż dwie minuty Do dwóch minut po rozpoczęciu działania podręcznika,
    ale nie więcej niż 10 sekund po zakończeniu podręcznika
    Więcej niż dwie minuty Dwie minuty po rozpoczęciu działania podręcznika,
    niezależnie od tego, czy został ukończony

    Uprawnienia reguł automatyzacji do uruchamiania podręczników

    Gdy reguła automatyzacji usługi Microsoft Sentinel uruchamia podręcznik, używa specjalnego konta usługi Microsoft Sentinel specjalnie autoryzowanego dla tej akcji. Użycie tego konta (w przeciwieństwie do konta użytkownika) zwiększa poziom zabezpieczeń usługi.

    Aby reguła automatyzacji uruchamiała element playbook, to konto musi mieć jawnie przydzielone uprawnienia do grupy zasobów, w której znajduje się element playbook. W tym momencie każda reguła automatyzacji będzie mogła uruchamiać dowolny element playbook w tej grupie zasobów.

    Podczas konfigurowania reguły automatyzacji i dodawania akcji run playbook zostanie wyświetlona lista rozwijana podręczników. Podręczniki, do których usługa Microsoft Sentinel nie ma uprawnień, będą wyświetlane jako niedostępne ("wyszarzane"). Możesz przyznać usłudze Microsoft Sentinel uprawnienia do grup zasobów podręczników na miejscu, wybierając link Zarządzaj uprawnieniami podręcznika. Aby przyznać te uprawnienia, będziesz potrzebować uprawnień właściciela dla tych grup zasobów. Zapoznaj się z pełnymi wymaganiami dotyczącymi uprawnień.

    Uprawnienia w architekturze wielodostępnej

    Reguły automatyzacji w pełni obsługują wdrożenia obejmujące wiele obszarów roboczych i wielodostępnych (w przypadku wielu dzierżaw przy użyciu usługi Azure Lighthouse).

    W związku z tym jeśli wdrożenie usługi Microsoft Sentinel korzysta z architektury wielodostępnej, możesz mieć regułę automatyzacji w jednej dzierżawie uruchamiać podręcznik, który znajduje się w innej dzierżawie, ale uprawnienia usługi Sentinel do uruchamiania podręczników muszą być zdefiniowane w dzierżawie, w której znajdują się podręczniki, a nie w dzierżawie, w której zdefiniowano reguły automatyzacji.

    W konkretnym przypadku dostawcy usług zabezpieczeń zarządzanych (MSSP), w którym dzierżawa dostawcy usług zarządza obszarem roboczym usługi Microsoft Sentinel w dzierżawie klienta, istnieją dwa konkretne scenariusze, które uzasadniają Twoją uwagę:

    • Reguła automatyzacji utworzona w dzierżawie klienta jest skonfigurowana do uruchamiania podręcznika znajdującego się w dzierżawie dostawcy usług.

      Takie podejście jest zwykle stosowane do ochrony własności intelektualnej w podręczniku. Do pracy w tym scenariuszu nie jest wymagana żadna specjalna wartość. Podczas definiowania akcji podręcznika w regule automatyzacji i przechodzenia do etapu, w którym udzielasz uprawnień usługi Microsoft Sentinel w odpowiedniej grupie zasobów, w której znajduje się podręcznik (przy użyciu panelu Uprawnień do zarządzania podręcznikiem ), zobaczysz grupy zasobów należące do dzierżawy dostawcy usług wśród tych, z których można wybrać. Zobacz cały proces opisany tutaj.

    • Reguła automatyzacji utworzona w obszarze roboczym klienta (po zalogowaniu się do dzierżawy dostawcy usług) jest skonfigurowana do uruchamiania podręcznika znajdującego się w dzierżawie klienta.

      Ta konfiguracja jest używana, gdy nie ma potrzeby ochrony własności intelektualnej. Aby ten scenariusz działał, uprawnienia do wykonywania podręcznika muszą zostać przyznane usłudze Microsoft Sentinel w obu dzierżawach. W dzierżawie klienta przyznasz im uprawnienia do podręcznika w panelu Zarządzanie elementami playbook , podobnie jak w powyższym scenariuszu. Aby udzielić odpowiednich uprawnień w dzierżawie dostawcy usług, należy dodać dodatkowe delegowanie usługi Azure Lighthouse, które udziela praw dostępu do aplikacji Azure Security Szczegółowe informacje z rolą Współautor automatyzacji usługi Microsoft Sentinel w grupie zasobów, w której znajduje się podręcznik.

      Scenariusz wygląda następująco:

      Architektura reguły automatyzacji z wieloma dzierżawami

      Zapoznaj się z naszymi instrukcjami dotyczącymi konfigurowania tego ustawienia.

    Tworzenie reguł automatyzacji i zarządzanie nimi

    Reguły automatyzacji można tworzyć i zarządzać nimi z różnych obszarów w usłudze Microsoft Sentinel lub ujednoliconej platformie operacji zabezpieczeń, w zależności od konkretnej potrzeby i przypadku użycia.

    • Strona automatyzacji

      Reguły automatyzacji można centralnie zarządzać na stronie automatyzacji na karcie Reguły automatyzacji. W tym miejscu możesz utworzyć nowe reguły automatyzacji i edytować istniejące. Możesz również przeciągnąć reguły automatyzacji, aby zmienić kolejność wykonywania i włączyć lub wyłączyć je.

      Na stronie Automatyzacja są widoczne wszystkie reguły zdefiniowane w obszarze roboczym oraz ich stan (włączone/wyłączone) oraz reguły analizy, do których są stosowane.

      Jeśli potrzebujesz reguły automatyzacji, która będzie stosowana do zdarzeń z usługi Microsoft Defender XDR lub z wielu reguł analitycznych w usłudze Microsoft Sentinel, utwórz ją bezpośrednio na stronie automatyzacji .

    • Kreator reguł analizy

      Na karcie Automatyczna odpowiedź kreatora reguły analizy usługi Microsoft Sentinel w obszarze Reguły automatyzacji można wyświetlać, edytować i tworzyć reguły automatyzacji, które mają zastosowanie do określonej reguły analizy tworzonej lub edytowanej w kreatorze.

      Zauważysz, że podczas tworzenia reguły automatyzacji z tego miejsca panel Tworzenie nowej reguły automatyzacji wyświetla warunek reguły analizy jako niedostępny, ponieważ ta reguła jest już ustawiona tak, aby miała zastosowanie tylko do reguły analizy edytowanej w kreatorze. Wszystkie inne opcje konfiguracji są nadal dostępne.

    • Strona Incydenty

      Regułę automatyzacji można również utworzyć na stronie Zdarzenia , aby reagować na pojedyncze, cykliczne zdarzenie. Jest to przydatne podczas tworzenia reguły pomijania dla automatycznego zamykania "hałaśliwych" zdarzeń.

      Zauważysz, że podczas tworzenia reguły automatyzacji z tego miejsca panel Tworzenie nowej reguły automatyzacji wypełnił wszystkie pola wartościami z incydentu. Nazywa regułę tą samą nazwą co zdarzenie, stosuje ją do reguły analizy, która wygenerowała zdarzenie, i używa wszystkich dostępnych jednostek w incydencie jako warunków reguły. Sugeruje również domyślnie akcję pomijania (zamykania) i sugeruje datę wygaśnięcia reguły. Możesz dodawać lub usuwać warunki i akcje oraz zmieniać datę wygaśnięcia zgodnie z życzeniem.

    Następne kroki

    W tym dokumencie przedstawiono sposób, w jaki reguły automatyzacji mogą ułatwić centralne zarządzanie automatyzacją odpowiedzi dla zdarzeń i alertów usługi Microsoft Sentinel.