Partilhar via

Adicionar condições avançadas às regras de automação do Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo explica como adicionar condições avançadas de "Ou" às regras de automação no Microsoft Sentinel, para uma triagem mais eficaz de incidentes.

Adicione condições "Ou" na forma de grupos de condições na seção Condições da sua regra de automação.

Os grupos de condições podem conter dois níveis de condições:

  • Simples: Pelo menos duas condições, cada uma separada por um OR operador:

  • Composto: Mais de duas condições, com pelo menos duas condições em pelo menos um lado de um OR operador:

    • (A and B) OR C
    • A-B and ) C-D OR and )
    • A-B and ) OR (C and D and E)
    • A-B and ) C-D OR and ) OR E and F)
    • e assim por diante.

Você pode ver que esse recurso lhe dá grande poder e flexibilidade para determinar quando as regras serão executadas. Ele também pode aumentar muito sua eficiência, permitindo que você combine muitas regras de automação antigas em uma nova regra.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Adicionar um grupo de condições

Como os grupos de condições oferecem muito mais poder e flexibilidade na criação de regras de automação, a melhor maneira de explicar como fazer isso é apresentando alguns exemplos.

Vamos criar uma regra que mudará a gravidade de um incidente de entrada de qualquer coisa para Alta, supondo que atenda às condições que definiremos.

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Automação da Configuração>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Automation.

  2. Na página Automação, selecione Criar > regra de automação na barra de botões na parte superior.

    Consulte as instruções gerais para criar uma regra de automação para obter detalhes.

  3. Dê um nome à regra: "Triagem: altere a gravidade para alta"

  4. Selecione o gatilho Quando o incidente for criado.

  5. Em Condições, se vir as condições do fornecedor de incidentes e do nome da regra do Analytics, deixe-as como estão. Essas condições não estarão disponíveis se seu espaço de trabalho estiver integrado à plataforma unificada de operações de segurança. Em ambos os casos, adicionaremos mais condições mais tarde neste processo.

  6. Em Ações, selecione Alterar gravidade na lista suspensa.

  7. Selecione Alto na lista suspensa que aparece abaixo de Alterar gravidade.

Por exemplo, as guias a seguir mostram exemplos de um espaço de trabalho integrado à plataforma unificada de operações de segurança, nos portais do Azure ou do Defender, e um espaço de trabalho que não está:

Exemplo 1: condições simples

Neste primeiro exemplo, criaremos um grupo de condições simples: se a condição A ou a condição B for verdadeira, a regra será executada e a gravidade do incidente será definida como Alta.

  1. Selecione o expansor + Adicionar e escolha Grupo de condições (Ou) na lista suspensa.

    Captura de tela mostrando a adição de um grupo de condições ao conjunto de condições de uma regra de automação.

  2. Veja que dois conjuntos de campos de condição são exibidos, separados por um OR operador. Estas são as condições "A" e "B" que mencionamos acima: Se A ou B for verdadeiro, a regra será executada.
    (Não se confunda com todas as diferentes camadas de links "Adicionar" - tudo isso será explicado.)

    Captura de ecrã de campos vazios do grupo de condições.

  3. Vamos decidir quais serão essas condições. Ou seja, que duas condições diferentes farão com que a gravidade do incidente seja alterada para Alta? Vamos sugerir o seguinte:

    • Se as táticas MITRE ATT&CK associadas ao incidente incluírem qualquer uma das quatro que selecionamos na lista suspensa (veja a imagem abaixo), a gravidade deve ser elevada para Alta.

    • Se o incidente contiver uma entidade de nome de host chamada "SUPER_SECURE_STATION", a gravidade deverá ser elevada para Alta.

    Captura de tela da adição de condições OR simples a uma regra de automação.

    Desde que pelo menos UMA dessas condições seja verdadeira, as ações que definimos na regra serão executadas, alterando a gravidade do incidente para Alta.

Exemplo 1A: Adicionar um valor OR dentro de uma única condição

Digamos que temos não uma, mas duas estações de trabalho supersensíveis cujos incidentes queremos tornar de alta gravidade. Podemos adicionar outro valor a uma condição existente (para quaisquer condições baseadas nas propriedades da entidade) selecionando o ícone de dados à direita do valor existente e adicionando o novo valor abaixo.

Captura de ecrã a mostrar a adição de mais valores a uma única condição.

Exemplo 1B: Adicionar mais condições OR

Digamos que queremos que essa regra seja executada se uma das TRÊS (ou mais) condições for verdadeira. Se A ou B ou C for verdadeiro, a regra será executada.

  1. Lembra-se de todos aqueles links "Adicionar"? Para adicionar outra condição OR, selecione + Adicionar conectado por uma linha ao OR operador.

    Captura de tela mostrando a adição de outra condição OR a uma regra de automação.

  2. Agora, preencha os parâmetros e valores desta condição da mesma forma que fez os dois primeiros.

    Captura de tela de outra condição OR adicionada a uma regra de automação.

Exemplo 2: condições compostas

Agora decidimos que vamos ser um pouco mais exigentes. Queremos adicionar mais condições a cada lado da nossa condição OR original. Ou seja, queremos que a regra seja executada se A e B forem verdadeiras, OU se C e D forem verdadeiras.

  1. Para adicionar uma condição a um lado de um grupo de condições OR, selecione o link + Adicionar imediatamente abaixo da condição existente, no mesmo lado do OR operador (na mesma área sombreada em azul) ao qual você deseja adicionar a nova condição.

    Captura de tela mostrando a adição de uma condição composta a uma regra de automação.

    Você verá uma nova linha adicionada sob a condição existente (na mesma área sombreada em azul), vinculada a ela por um AND operador.

    Captura de tela da nova linha de condição vazia nas regras de automação.

  2. Preencha os parâmetros e valores desta condição da mesma forma que fez com os outros.

    Captura de ecrã dos novos campos de condição a preencher para adicionar às regras de automação.

  3. Repita as duas etapas anteriores para adicionar uma condição AND a ambos os lados do grupo de condições OR.

    Captura de tela mostrando a adição de várias condições compostas a uma regra de automação.

Está feito! Você pode usar o que aprendeu aqui para adicionar mais condições e grupos de condições, usando diferentes combinações de e OR operadores, para criar regras de automação poderosas, flexíveis e eficientes para realmente ajudar seu SOC a funcionar sem problemas e reduzir seus tempos de AND resposta e resolução.

Próximos passos

Neste documento, você aprendeu como adicionar grupos de condições usando OR operadores a regras de automação.