Compartilhar via

Adicionar condições avançadas às regras de automação do Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como adicionar condições “Ou” avançadas às regras de automação no Microsoft Sentinel para uma triagem mais eficaz de incidentes.

Adicione condições “Ou” na forma de grupos de condições na seção Condições da regra de automação.

Os grupos de condições podem conter dois níveis de condições:

  • Simples: pelo menos duas condições, cada uma separada por um operador OR:

  • Composto: mais de duas condições, com pelo menos duas condições em pelo menos um lado de um operador OR:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • e assim por diante.

Você pode ver que essa funcionalidade oferece grande poder e flexibilidade para determinar quando as regras serão executadas. Ele também pode aumentar muito sua eficiência, permitindo que você combine muitas regras de automação antigas em uma nova regra.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Adicionar um grupo de condição

Como os grupos de condições oferecem muito mais poder e flexibilidade na criação de regras de automação, a melhor maneira de explicar isso é apresentando alguns exemplos.

Vamos criar uma regra que alterará a gravidade de um incidente de entrada, qualquer que seja, para Alta, supondo que ele atenda às condições que definiremos.

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Automação. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação.

  2. Na página Automação, selecione Criar > regra de Automação na barra de botões na parte superior.

    Confira as instruções gerais para criar uma regra de automação para obter mais detalhes.

  3. Dê um nome à regra: “Triagem: alterar a gravidade para Alta”

  4. Selecione o gatilho Quando o incidente for criado.

  5. Em Condições, se você vir as condições Provedor de incidentes e Nome da regra do Analytics, deixe-as como estão. Essas condições não estão disponíveis se o workspace estiver integrado à plataforma de operações de segurança unificada. Em ambos os casos, adicionaremos mais condições posteriormente nesse processo.

  6. Em Ações, selecione Alterar gravidade na lista suspensa.

  7. Selecione Alta na lista suspensa que aparece abaixo de Alterar gravidade.

Por exemplo, as guias a seguir mostram exemplos de um workspace integrado à plataforma de operações de segurança unificada, nos portais do Azure ou do Defender, e um workspace que não é:

Exemplo 1: condições simples

Neste primeiro exemplo, criaremos um grupo de condições simples: se a condição A ou a condição B for verdadeira, a regra será executada e a gravidade do incidente será definida como Alta.

  1. Selecione o expansor + Adicionar e escolha Grupo de condição (Ou) na lista suspensa.

    Captura de tela da adição de um grupo de condições ao conjunto de condições de uma regra de automação.

  2. Veja se dois conjuntos de campos de condição são exibidos, separados por um operador OR. Estas são as condições “A” e “B” mencionadas acima: se A ou B for verdadeiro, a regra será executada.
    (Não se confunda com todas as diferentes camadas de links “Adicionar” – todas elas serão explicadas.)

    Captura de tela dos campos vazios do grupo de condições.

  3. Vamos decidir quais serão essas condições. Ou seja, quais das duas condições diferentes farão com que a gravidade do incidente seja alterada para Alta? Sugerimos o seguinte:

    • Se as Táticas MITRE ATT&CK incluírem qualquer uma das quatro que selecionamos na lista suspensa (veja a imagem abaixo), a severidade deverá ser elevada para Alta.

    • Se o incidente contiver uma entidade de Nome de host chamada “SUPER_SECURE_STATION”, a severidade deverá ser elevada para Alta.

    Captura de tela da adição de condições OR simples a uma regra de automação.

    Desde que pelo menos uma dessas condições seja verdadeira, as ações definidas na regra serão executadas, alterando a severidade do incidente para Alta.

Exemplo 1A: Adicionar um valor OR dentro de uma única condição

Digamos que não temos uma, mas duas estações de trabalho super sensíveis cujos incidentes queremos tornar de alta severidade. Podemos adicionar outro valor a uma condição existente (para quaisquer condições com base nas propriedades da entidade) selecionando o ícone de dados à direita do valor existente e adicionando o novo valor abaixo.

Captura de tela da adição de mais valores a uma única condição.

Exemplo 1B: Adicionar mais condições OR

Digamos que queremos que essa regra seja executada se uma das TRÊS (ou mais) condições for verdadeira. Se A ou B ou C forem verdadeiros, a regra será executada.

  1. Lembra-se de todos esses links “Adicionar”? Para adicionar outra condição OR, selecione + Adicionar conectado por uma linha ao operador OR.

    Captura de tela da adição de outra condição OR a uma regra de automação.

  2. Agora, preencha os parâmetros e os valores dessa condição da mesma forma que você fez os dois primeiros.

    Captura de tela de outra condição OR adicionada a uma regra de automação.

Exemplo 2: condições compostas

Agora decidimos que seremos um pouco mais exigentes. Queremos adicionar mais condições a cada lado da nossa condição OR original. Ou seja, queremos que a regra seja executada se A e B forem true, OR se C e D forem true.

  1. Para adicionar uma condição a um lado de um grupo de condições OR, selecione o link + Adicionar imediatamente abaixo da condição existente, no mesmo lado do operador OR (na mesma área sombreada em azul) ao qual você deseja adicionar a nova condição.

    Captura de tela da adição de outra condição de componente a uma regra de automação.

    Você verá uma nova linha adicionada na condição existente (na mesma área sombreada em azul), vinculada a ela por um operador AND.

    Captura de tela da nova linha de condição vazia nas regras de automação.

  2. Preencha os parâmetros e os valores dessa condição da mesma forma que você fez com os outros.

    Captura de tela dos novos campos de condição a serem preenchidos para adicionar às regras de automação.

  3. Realize novamente as duas etapas anteriores para adicionar uma condição AND ao outro lado do grupo de condições OR.

    Captura de tela da adição de condições compostas a uma regra de automação.

É isso! Você pode usar o que aprendeu aqui para adicionar mais condições e grupos de condições, usando diferentes combinações de operadores AND e OR, para criar regras de automação poderosas, flexíveis e eficientes para realmente ajudar seu SOC a executar sem problemas e reduzir seus tempos de resposta e resolução.

Próximas etapas

Neste documento, você aprendeu a adicionar grupos de condições usando operadores OR a regras de automação.