Udostępnij za pośrednictwem


Tworzenie reguł automatyzacji usługi Microsoft Sentinel i używanie ich do zarządzania odpowiedzią

W tym artykule wyjaśniono, jak tworzyć i używać reguł automatyzacji w usłudze Microsoft Sentinel do zarządzania i organizowania reagowania na zagrożenia w celu zmaksymalizowania wydajności i skuteczności soc.

W tym artykule dowiesz się, jak zdefiniować wyzwalacze i warunki, które określają, kiedy zostanie uruchomiona reguła automatyzacji, różne akcje, które można wykonać, oraz pozostałe funkcje i funkcje.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Projektowanie reguły automatyzacji

Przed utworzeniem reguły automatyzacji zalecamy określenie jej zakresu i projektu, w tym wyzwalacza, warunków i akcji tworzących regułę.

Określanie zakresu

Pierwszym krokiem projektowania i definiowania reguły automatyzacji jest ustalenie, które zdarzenia lub alerty mają być stosowane. Ta determinacja ma bezpośredni wpływ na sposób tworzenia reguły.

Chcesz również określić przypadek użycia. Co próbujesz osiągnąć dzięki tej automatyzacji? Rozważ następujące opcje:

  • Utwórz zadania dla analityków, które mają być wykonywane podczas klasyfikowania, badania i korygowania zdarzeń.
  • Pomijanie hałaśliwych zdarzeń. (Alternatywnie użyj innych metod do obsługi wyników fałszywie dodatnich w usłudze Microsoft Sentinel).
  • Klasyfikowanie nowych zdarzeń przez zmianę ich stanu z Nowy na Aktywny i przypisanie właściciela.
  • Tagowanie zdarzeń w celu ich klasyfikowania.
  • Eskalowanie zdarzenia przez przypisanie nowego właściciela.
  • Zamknij rozwiązane zdarzenia, określając przyczynę i dodając komentarze.
  • Przeanalizuj zawartość zdarzenia (alerty, jednostki i inne właściwości) i podejmij dalsze działania, wywołując podręcznik.
  • Obsługa alertu lub reagowanie na nie bez skojarzonego zdarzenia.

Określanie wyzwalacza

Czy chcesz, aby ta automatyzacja została aktywowana po utworzeniu nowych zdarzeń lub alertów? Czy też za każdym razem, gdy zdarzenie zostanie zaktualizowane?

Reguły automatyzacji są wyzwalane po utworzeniu lub zaktualizowaniu zdarzenia lub utworzeniu alertu. Pamiętaj, że zdarzenia obejmują alerty i że zarówno alerty, jak i zdarzenia mogą być tworzone przez reguły analizy, których istnieje kilka typów, zgodnie z opisem w temacie Wykrywanie zagrożeń w usłudze Microsoft Sentinel.

W poniższej tabeli przedstawiono różne możliwe scenariusze, które powodują uruchomienie reguły automatyzacji.

Typ wyzwalacza Zdarzenia, które powodują uruchomienie reguły
Po utworzeniu zdarzenia Ujednolicona platforma operacji zabezpieczeń w usłudze Microsoft Defender:
  • W portalu usługi Microsoft Defender zostanie utworzone nowe zdarzenie.

    Usługa Microsoft Sentinel nie jest dołączona do ujednoliconej platformy:
  • Nowe zdarzenie jest tworzone przez regułę analizy.
  • Zdarzenie jest pozyskiwane z usługi Microsoft Defender XDR.
  • Nowe zdarzenie jest tworzone ręcznie.
  • Po zaktualizowaniu zdarzenia
  • Stan zdarzenia został zmieniony (zamknięty/ponownie otwarty/sklasyfikowany).
  • Właściciel zdarzenia jest przypisywany lub zmieniany.
  • Ważność zdarzenia jest podniesiona lub obniżona.
  • Alerty są dodawane do zdarzenia.
  • Komentarze, tagi lub taktyka są dodawane do zdarzenia.
  • Po utworzeniu alertu
  • Alert jest tworzony przez regułę analizy zaplanowanej lub nrT usługi Microsoft Sentinel.
  • Tworzenie reguły automatyzacji

    Większość poniższych instrukcji ma zastosowanie do wszystkich przypadków użycia, dla których utworzysz reguły automatyzacji.

    Jeśli chcesz pominąć hałaśliwe zdarzenia, spróbuj obsługiwać fałszywie dodatnie wyniki.

    Jeśli chcesz utworzyć regułę automatyzacji w celu zastosowania do określonej reguły analizy, zobacz Ustawianie automatycznych odpowiedzi i tworzenie reguły.

    Aby utworzyć regułę automatyzacji:

    1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.

    2. Na stronie Automatyzacja w menu nawigacji usługi Microsoft Sentinel wybierz pozycję Utwórz z górnego menu i wybierz pozycję Reguła automatyzacji.

    3. Zostanie otwarty panel Tworzenie nowej reguły automatyzacji. W polu Nazwa reguły automatyzacji wprowadź nazwę reguły.

    Wybieranie wyzwalacza

    Z listy rozwijanej Wyzwalacz wybierz odpowiedni wyzwalacz zgodnie z okolicznościami, dla których tworzysz regułę automatyzacji — po utworzeniu zdarzenia, po zaktualizowaniu zdarzenia lub utworzeniu alertu.

    Zrzut ekranu przedstawiający wybieranie wyzwalacza tworzenia zdarzenia lub aktualizacji incydentu.

    Definiowanie warunków

    Użyj opcji w obszarze Warunki , aby zdefiniować warunki dla reguły automatyzacji.

    • Reguły tworzone w przypadku tworzenia alertu obsługują tylko właściwość If Analytic rule name w warunku. Wybierz, czy reguła ma być inkluzywna (zawiera) lub wyłączna (nie zawiera), a następnie wybierz nazwę reguły analitycznej z listy rozwijanej.

      Wartości nazw reguł analitycznych obejmują tylko reguły analizy i nie zawierają innych typów reguł, takich jak analiza zagrożeń lub reguły anomalii.

    • Reguły tworzone podczas tworzenia lub aktualizowania zdarzenia obsługują wiele różnych warunków w zależności od środowiska. Te opcje zaczynają się od tego, czy obszar roboczy jest dołączany do ujednoliconej platformy operacji zabezpieczeń:

      Jeśli obszar roboczy jest dołączony do ujednoliconej platformy operacji zabezpieczeń, zacznij od wybrania jednego z następujących operatorów w witrynie Azure lub portalu Defender:

      • AND: indywidualne warunki, które są oceniane jako grupa. Reguła jest wykonywana, jeśli zostaną spełnione wszystkie warunki tego typu.

        Aby pracować z operatorem AND, wybierz węzeł + Dodaj i wybierz pozycję Warunek (i) z listy rozwijanej. Lista warunków jest wypełniana polami właściwości zdarzenia i właściwości jednostki.

      • OR (nazywane również grupami warunków): grupy warunków, z których każda jest oceniana niezależnie. Reguła jest wykonywana, jeśli co najmniej jedna grupa warunków ma wartość true. Aby dowiedzieć się, jak pracować z tymi złożonymi typami warunków, zobacz Dodawanie zaawansowanych warunków do reguł automatyzacji.

      Na przykład:

      Zrzut ekranu przedstawiający warunki reguły automatyzacji po dołączeniu obszaru roboczego do ujednoliconej platformy operacji zabezpieczeń.

      W przypadku wybrania opcji Po zaktualizowaniu zdarzenia jako wyzwalacza rozpocznij od zdefiniowania warunków, a następnie dodaj dodatkowe operatory i wartości zgodnie z potrzebami.

    Aby zdefiniować warunki:

    1. Wybierz właściwość z pierwszego pola rozwijanego po lewej stronie. Możesz zacząć wpisywać dowolną część nazwy właściwości w polu wyszukiwania, aby dynamicznie filtrować listę, aby szybko znaleźć szukane elementy.

      Zrzut ekranu przedstawiający wpisywanie w polu wyszukiwania w celu filtrowania listy opcji.

    2. Wybierz operator z następnego pola rozwijanego po prawej stronie. Zrzut ekranu przedstawiający wybieranie operatora warunku dla reguł automatyzacji.

      Lista operatorów, które można wybrać, różni się w zależności od wybranego wyzwalacza i właściwości.

      Warunki dostępne za pomocą wyzwalacza tworzenia

      Właściwości Zestaw operatorów
      - Tytuł
      - Opis
      - Wszystkie wymienione właściwości jednostki
        (zobacz obsługiwane właściwości jednostki)
      - Równa/Nie równa się
      - Zawiera/Nie zawiera
      - Zaczyna się od/Nie zaczyna się od
      - Kończy się na/nie kończy się na
      - Tag (zobacz poszczególne a kolekcje) Dowolny tag indywidualny:
      - Równa/Nie równa się
      - Zawiera/Nie zawiera
      - Zaczyna się od/Nie zaczyna się od
      - Kończy się na/nie kończy się na

      Kolekcja wszystkich tagów:
      - Zawiera/Nie zawiera
      - Ważność
      - Stan
      - Klucz szczegółów niestandardowych
      - Równa/Nie równa się
      - Taktyka
      - Nazwy produktów alertów
      - Wartość szczegółów niestandardowych
      - Nazwa reguły analitycznej
      - Zawiera/Nie zawiera

      Warunki dostępne za pomocą wyzwalacza aktualizacji

      Właściwości Zestaw operatorów
      - Tytuł
      - Opis
      - Wszystkie wymienione właściwości jednostki
        (zobacz obsługiwane właściwości jednostki)
      - Równa/Nie równa się
      - Zawiera/Nie zawiera
      - Zaczyna się od/Nie zaczyna się od
      - Kończy się na/nie kończy się na
      - Tag (zobacz poszczególne a kolekcje) Dowolny tag indywidualny:
      - Równa/Nie równa się
      - Zawiera/Nie zawiera
      - Zaczyna się od/Nie zaczyna się od
      - Kończy się na/nie kończy się na

      Kolekcja wszystkich tagów:
      - Zawiera/Nie zawiera
      - Tag (oprócz powyższych)
      - Alerty
      - Komentarze
      -Dodane
      - Ważność
      - Stan
      - Równa/Nie równa się
      -Zmienione
      - Zmieniono z
      - Zmieniono na
      - Właściciel -Zmienione
      - Zaktualizowano przez
      - Klucz szczegółów niestandardowych
      - Równa/Nie równa się
      - Taktyka - Zawiera/Nie zawiera
      -Dodane
      - Nazwy produktów alertów
      - Wartość szczegółów niestandardowych
      - Nazwa reguły analitycznej
      - Zawiera/Nie zawiera

      Warunki dostępne za pomocą wyzwalacza alertu

      Jedynym warunkiem, który można ocenić za pomocą reguł na podstawie wyzwalacza tworzenia alertu, jest to, że reguła analizy usługi Microsoft Sentinel utworzyła alert.

      Reguły automatyzacji oparte na wyzwalaczu alertu są uruchamiane tylko dla alertów utworzonych przez usługę Microsoft Sentinel.

    3. Wprowadź wartość w polu po prawej stronie. W zależności od wybranej właściwości może to być pole tekstowe lub lista rozwijana, w której wybierasz z zamkniętej listy wartości. Możesz również dodać kilka wartości, wybierając ikonę kostki po prawej stronie pola tekstowego.

      Zrzut ekranu przedstawiający dodawanie wartości do warunku w regułach automatyzacji.

    Ponownie, aby ustawić złożone warunki lub z różnymi polami, zobacz Dodawanie zaawansowanych warunków do reguł automatyzacji.

    Warunki oparte na tagach

    Można utworzyć dwa rodzaje warunków na podstawie tagów:

    • Warunki z dowolnymi poszczególnymi operatorami tagów oceniają określoną wartość względem każdego tagu w kolekcji. Ocena jest prawdziwa, gdy co najmniej jeden tag spełnia warunek.
    • Warunki z kolekcją wszystkich operatorów tagów oceniają określoną wartość względem kolekcji tagów jako pojedynczą jednostkę. Ocena jest prawdziwa tylko wtedy, gdy kolekcja jako całość spełnia warunek.

    Aby dodać jeden z tych warunków na podstawie tagów zdarzenia, wykonaj następujące czynności:

    1. Utwórz nową regułę automatyzacji zgodnie z powyższym opisem.

    2. Dodaj warunek lub grupę warunków.

    3. Wybierz pozycję Tag z listy rozwijanej właściwości.

    4. Wybierz listę rozwijaną operatorów, aby wyświetlić dostępne operatory do wyboru.

      Zobacz, jak operatory są podzielone w dwóch kategoriach zgodnie z opisem wcześniej. Wybierz operatora dokładnie na podstawie sposobu oceniania tagów.

      Aby uzyskać więcej informacji, zobacz Tag property: individual vs. collection (Właściwość tagu : indywidualna a kolekcja).

    Warunki oparte na szczegółach niestandardowych

    Możesz ustawić wartość niestandardowego szczegółu uwidokowanego w incydencie jako warunek reguły automatyzacji. Pamiętaj, że niestandardowe szczegóły to punkty danych w nieprzetworzonych rekordach dziennika zdarzeń, które mogą być widoczne i wyświetlane w alertach i zdarzeniach generowanych na ich podstawie. Użyj niestandardowych szczegółów, aby uzyskać rzeczywistą odpowiednią zawartość w alertach bez konieczności przeglądania wyników zapytania.

    Aby dodać warunek na podstawie szczegółów niestandardowych:

    1. Utwórz nową regułę automatyzacji zgodnie z wcześniejszym opisem.

    2. Dodaj warunek lub grupę warunków.

    3. Wybierz pozycję Klucz szczegółów niestandardowych z listy rozwijanej właściwości. Wybierz pozycję Równa się lub Nie równa się z listy rozwijanej operatory.

      W przypadku warunku szczegółów niestandardowych wartości z ostatniej listy rozwijanej pochodzą ze szczegółów niestandardowych, które zostały wyświetlone we wszystkich regułach analizy wymienionych w pierwszym warunku. Wybierz szczegóły niestandardowe, których chcesz użyć jako warunku.

      Zrzut ekranu przedstawiający dodawanie niestandardowego klucza szczegółów jako warunku.

    4. Wybrano pole, które chcesz ocenić dla tego warunku. Teraz określ wartość wyświetlaną w tym polu, która sprawia, że ten warunek ma wartość true.
      Wybierz pozycję + Dodaj warunek elementu.

      Zrzut ekranu przedstawiający wybieranie warunku dodawania elementu dla reguł automatyzacji.

      Poniżej pojawi się wiersz warunku wartości.

      Zrzut ekranu przedstawiający wyświetlone pole niestandardowej wartości szczegółów.

    5. Wybierz pozycję Zawiera lub nie zawiera z listy rozwijanej operatorów. W polu tekstowym po prawej stronie wprowadź wartość, dla której warunek ma mieć wartość true.

      Zrzut ekranu przedstawiający wypełnione pole niestandardowej wartości szczegółów.

    W tym przykładzie, jeśli zdarzenie ma niestandardową wartość DestinationEmail szczegółów, a wartość tego szczegółu to pwned@bad-botnet.com, zostaną uruchomione akcje zdefiniowane w regule automatyzacji.

    Dodawanie akcji

    Wybierz akcje, które mają zostać wykonane przez tę regułę automatyzacji. Dostępne akcje obejmują przypisywanie właściciela, stan zmiany, ważność zmiany, dodawanie tagów i element playbook. Możesz dodać dowolną liczbę akcji.

    Uwaga

    Tylko akcja Uruchom element playbook jest dostępna w regułach automatyzacji przy użyciu wyzwalacza alertu.

    Zrzut ekranu przedstawiający listę akcji do wybrania w regule automatyzacji.

    W zależności od wybranej akcji wypełnij pola wyświetlane dla tej akcji zgodnie z tym, co chcesz zrobić.

    Jeśli dodasz akcję Uruchom podręcznik , zostanie wyświetlony monit o wybranie z listy rozwijanej dostępnych podręczników.

    • Tylko podręczniki rozpoczynające się od wyzwalacza zdarzenia mogą być uruchamiane z reguł automatyzacji przy użyciu jednego z wyzwalaczy zdarzenia, więc na liście są wyświetlane tylko te elementy. Podobnie tylko podręczniki rozpoczynające się od wyzwalacza alertu są dostępne w regułach automatyzacji przy użyciu wyzwalacza alertu.

    • Aby można było uruchamiać podręczniki, należy przyznać jawne uprawnienia do usługi Microsoft Sentinel. Jeśli element playbook jest niedostępny na liście rozwijanej, oznacza to, że usługa Sentinel nie ma uprawnień dostępu do grupy zasobów tego podręcznika. Aby przypisać uprawnienia, wybierz link Zarządzaj uprawnieniami podręcznika.

      W wyświetlonym panelu Zarządzanie uprawnieniami zaznacz pola wyboru grup zasobów zawierających podręczniki, które chcesz uruchomić, a następnie wybierz pozycję Zastosuj.

      Zarządzaj uprawnieniami

      Musisz mieć uprawnienia właściciela do dowolnej grupy zasobów, do której chcesz udzielić uprawnień usługi Microsoft Sentinel, i musisz mieć rolę Współautor automatyzacji usługi Microsoft Sentinel w dowolnej grupie zasobów zawierającej podręczniki, które chcesz uruchomić.

    • Jeśli nie masz jeszcze podręcznika, który podejmuje odpowiednią akcję, utwórz nowy podręcznik. Musisz zakończyć proces tworzenia reguły automatyzacji i ponownie uruchomić go po utworzeniu podręcznika.

    Przenoszenie akcji wokół

    Kolejność akcji w regule można zmienić nawet po ich dodaniu. Wybierz niebieskie strzałki w górę lub w dół obok każdej akcji, aby przenieść ją w górę lub w dół o jeden krok.

    Zrzut ekranu przedstawiający sposób przenoszenia akcji w górę lub w dół.

    Kończenie tworzenia reguły

    1. W obszarze Wygaśnięcie reguły, jeśli chcesz, aby reguła automatyzacji wygasła, ustaw datę wygaśnięcia i opcjonalnie godzinę. W przeciwnym razie pozostaw go jako nieokreślony.

    2. Pole Kolejność jest wstępnie wypełnione następnym dostępnym numerem dla typu wyzwalacza reguły. Ta liczba określa, gdzie jest uruchamiana sekwencja reguł automatyzacji (tego samego typu wyzwalacza). Możesz zmienić liczbę, jeśli ta reguła ma być uruchamiana przed istniejącą regułą.

      Aby uzyskać więcej informacji, zobacz Uwagi dotyczące kolejności wykonywania i priorytetu.

    3. Wybierz Zastosuj. Wszystko gotowe!

    Zrzut ekranu przedstawiający ostatnie kroki tworzenia reguły automatyzacji.

    Działanie reguły inspekcji automatyzacji

    Dowiedz się, jakie reguły automatyzacji mogły zostać wykonane dla danego zdarzenia. Masz pełny rejestr kroniki zdarzeń dostępnych w tabeli SecurityIncident na stronie Dzienniki w witrynie Azure Portal lub na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Defender. Użyj następującego zapytania, aby wyświetlić wszystkie działania reguły automatyzacji:

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    Wykonywanie reguł automatyzacji

    Reguły automatyzacji są uruchamiane sekwencyjnie zgodnie z kolejnością, którą określisz. Każda reguła automatyzacji jest wykonywana po zakończeniu poprzedniego przebiegu. W ramach reguły automatyzacji wszystkie akcje są uruchamiane sekwencyjnie w kolejności, w której są zdefiniowane. Aby uzyskać więcej informacji, zobacz Uwagi dotyczące kolejności wykonywania i priorytetu .

    Akcje podręcznika w regule automatyzacji mogą być traktowane inaczej w pewnych okolicznościach zgodnie z następującymi kryteriami:

    Czas wykonywania podręcznika Reguła automatyzacji przechodzi do następnej akcji...
    Mniej niż sekunda Natychmiast po zakończeniu podręcznika
    Mniej niż dwie minuty Do dwóch minut po rozpoczęciu działania podręcznika,
    ale nie więcej niż 10 sekund po zakończeniu podręcznika
    Więcej niż dwie minuty Dwie minuty po rozpoczęciu działania podręcznika,
    niezależnie od tego, czy został ukończony

    Następne kroki

    W tym dokumencie przedstawiono sposób używania reguł automatyzacji do centralnego zarządzania automatyzacją odpowiedzi dla zdarzeń i alertów usługi Microsoft Sentinel.