Создание и использование правил автоматизации Microsoft Sentinel для управления реагированием на угрозы
Эта статья содержит сведения о том, как создать и использовать правила автоматизации в Microsoft Sentinel для управления реагированием на угрозы и их оркестрации с целью повысить эффективность и результативность SOC.
В этой статье вы узнаете, как определить триггеры и условия, определяющие, когда будет выполняться правило автоматизации, различные действия, которые могут выполняться правилом, а также остальные функции и функциональные возможности.
Внимание
В настоящее время в предварительной версии доступны отмеченные функции правил автоматизации. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Проектирование правила автоматизации
Перед созданием правила автоматизации рекомендуется определить его область и дизайн, включая триггер, условия и действия, которые будут создавать правило.
Определение области
Первым шагом в разработке и определении правила автоматизации является определение инцидентов или оповещений, к которым он будет применяться. Это определение напрямую повлияет на создание правила.
Вы также определите вариант использования. Что вы пытаетесь выполнить с помощью этой автоматизации? Следуйте приведенным ниже рекомендациям.
- Создавайте задачи для аналитиков, которые следует выполнять в трех случаях, расследовав и исправляя инциденты.
- Подавление инцидентов с помехами. (Кроме того, используйте другие методы для обработки ложных срабатываний в Microsoft Sentinel.)
- Рассмотрение новых инцидентов путем изменения их состояния с "Новый" на "Активный" и назначения владельца.
- Добавление меток к инцидентам, чтобы классифицировать их.
- Эскалация инцидента путем назначения нового владельца.
- Закрытие разрешенных инцидентов путем указания причины и добавления комментариев.
- Проанализируйте содержимое инцидента (оповещения, сущности и другие свойства) и выполните дальнейшие действия путем вызова сборника схем.
- Обработка или реагирование на оповещение без связанного инцидента.
Определение триггера
Необходимо ли активировать эту автоматизацию при создании новых инцидентов или оповещений? Или когда инцидент обновляется?
Правила автоматизации активируются при создании или обновлении инцидента или при создании оповещения. Помните, что инциденты включают оповещения, и что оповещения и инциденты можно создавать с помощью правил аналитики, из которых существует несколько типов, как описано в статье "Обнаружение угроз со встроенными правилами аналитики в Microsoft Sentinel".
В следующей таблице показаны различные возможные сценарии, которые приводят к запуску правила автоматизации.
| Тип триггера | События, вызывающие выполнение правила |
|---|---|
| При создании инцидента | Единая платформа операций безопасности в Microsoft Defender: Microsoft Sentinel не подключен к унифицированной платформе: |
| При обновлении инцидента | |
| При создании оповещения |
Создание правила автоматизации
Большинство приведенных ниже инструкций применяются ко всем вариантам использования, для которых вы создадите правила автоматизации.
Если вы хотите отключить шумные инциденты, попробуйте обработать ложные срабатывания.
Если вы хотите создать правило автоматизации для применения к определенному правилу аналитики, см. статью "Задать автоматические ответы" и создать это правило.
Чтобы создать правило автоматизации, выполните приведенные действия.
Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.
На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать" в верхнем меню и выберите правило автоматизации.
Откроется панель Create new automation rule (Создание правила автоматизации). В поле имени правила автоматизации введите имя правила.
Выбор триггера
В раскрывающемся списке триггера выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации: при создании инцидента, при обновлении инцидента или при создании оповещения.
Определение условий
Используйте параметры в области условий, чтобы определить условия для правила автоматизации.
Правила, создаваемые при создании оповещения, поддерживают только свойство "Если имя правила аналитики" в условии. Выберите, должно ли правило быть включающим (содержит) или эксклюзивным (не содержит), а затем выберите имя правила аналитики из раскрывающегося списка.
Значения имени правила аналитики включают только правила аналитики и не включают другие типы правил, такие как аналитика угроз или правила аномалий.
Правила, создаваемые при создании или обновлении инцидента, поддерживают большое количество условий в зависимости от среды. Эти параметры начинаются с подключения рабочей области к единой платформе операций безопасности:
Если ваша рабочая область подключена к единой платформе операций безопасности, начните с выбора одного из следующих операторов на портале Azure или Defender:
И: отдельные условия, которые оцениваются как группа. Правило выполняется, если выполняются все условия этого типа.
Чтобы работать с оператором AND, выберите элемент +Добавить расширитель и выберите условие (И) в раскрывающемся списке. Список условий заполняется в соответствии с полями свойства инцидента и свойства сущности.
ИЛИ (также известные как группы условий): группы условий, каждая из которых оценивается независимо. Правило выполняется, если одно или несколько групп условий имеют значение true. Сведения о работе с этими сложными типами условий см. в статье Добавление расширенных условий в правила автоматизации.
Например:
Если вы выбрали при обновлении инцидента в качестве триггера, начните с определения условий, а затем добавьте дополнительные операторы и значения по мере необходимости.
Чтобы определить условия, выполните следующие действия.
Выберите свойство в первом раскрывающемся списке слева. Вы можете начать вводить любую часть имени свойства в поле поиска для динамической фильтрации списка, чтобы быстро найти нужные элементы.
Выберите оператора из следующего раскрывающегося списка справа.
Список операторов, которых можно выбрать, зависит от выбранного триггера и свойства.
Условия, доступные с помощью триггера создания
Свойство Оператор задан - Заголовок
- Description
- Все перечисленные свойства сущности– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на- Тег (см . отдельную коллекцию и коллекцию) Любой отдельный тег:
– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на
Коллекция всех тегов:
– содержит/не содержит- Уровень серьезности
- Состояние
- Ключ пользовательских сведений– равно/не равно - Тактики
- Имена продуктов оповещений
- Значение пользовательских сведений
- Имя правила аналитики– содержит/не содержит Условия, доступные с помощью триггера обновления
Свойство Оператор задан - Заголовок
- Description
- Все перечисленные свойства сущности– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на- Тег (см . отдельную коллекцию и коллекцию) Любой отдельный тег:
– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на
Коллекция всех тегов:
– содержит/не содержит- Тег (помимо выше)
- Оповещения
- Комментарии– добавлено - Уровень серьезности
- Состояние– равно/не равно
– изменено
– изменено с
– изменено на- Ответственное лицо – изменено - Обновлено
- Ключ пользовательских сведений– равно/не равно - Тактики – содержит/не содержит
– добавлено- Имена продуктов оповещений
- Значение пользовательских сведений
- Имя правила аналитики– содержит/не содержит Условия, доступные с триггером генерации оповещений
Единственное условие, которое можно оценить правилами на основе триггера создания оповещений, является то, что правило аналитики Microsoft Sentinel создало оповещение.
Поэтому правила автоматизации на основе триггера оповещений будут выполняться только для оповещений, созданных Microsoft Sentinel.
Введите значение в поле справа. В зависимости от выбранного свойства это может быть текстовое поле или раскрывающееся окно, в котором вы выбираете из закрытого списка значений. Вы также можете добавить несколько значений, щелкнув значок кости справа от текстового поля.
Сведения о настройке сложных условий ИЛИ с различными полями см. в разделе Добавление расширенных условий в правила автоматизации.
Условия на основе тегов
Вы можете создать два типа условий на основе тегов:
- Условия с любыми отдельными операторами тегов оценивают указанное значение по каждому тегу в коллекции. Оценка имеет значение true , если по крайней мере один тег удовлетворяет условию.
- Условия с коллекцией всех операторов тегов оценивают указанное значение для коллекции тегов в виде одной единицы. Оценка имеет значение true , только если коллекция в целом удовлетворяет условию.
Чтобы добавить одно из этих условий на основе тегов инцидента, сделайте следующее:
Создайте новое правило автоматизации, как описано выше.
Добавьте условие или группу условий.
Выберите тег из раскрывающегося списка свойств.
Выберите раскрывающийся список операторов, чтобы открыть доступные операторы для выбора.
Узнайте, как операторы разделены на две категории, как описано ранее. Тщательно выберите оператор на основе способа оценки тегов.
Дополнительные сведения см. в разделе "Свойство Тега : отдельная коллекция и коллекция".
Условия на основе пользовательских сведений
Вы можете установить значение пользовательских сведений, отображаемых в инциденте, в качестве условия правила автоматизации. Напомним, что пользовательские сведения — это точки данных в необработанных записях журнала событий, которые могут отображаться в оповещениях и инцидентах, создаваемых на их основе. Используйте пользовательские сведения, чтобы получить фактическое соответствующее содержимое в оповещениях без необходимости копаться в результатах запроса.
Чтобы добавить условие на основе пользовательской детали, выполните приведенные ниже действия.
Создайте новое правило автоматизации, как описано ранее.
Добавьте условие или группу условий.
Выберите ключ настраиваемых сведений из раскрывающегося списка свойств. Выберите Равно или Не равно в раскрывающемся списке операторов.
Для условия пользовательских сведений значения в последнем раскрывающемся списке поступают из пользовательских сведений, которые появились во всех правилах аналитики, перечисленных в первом условии. Выберите пользовательские сведения, которые вы хотите использовать в качестве условия.
Вы выбрали поле, которое вы хотите оценить для этого условия. Теперь укажите значение, отображаемое в этом поле, которое делает это условие значение true.
Выберите + Добавить условие элемента.
Строка условия значения отображается ниже.
Выберите Содержит или Не содержит в раскрывающемся списке операторов. В текстовом поле справа введите значение, при котором условие будет истинным.
В этом примере, если в инциденте есть пользовательские сведения DestinationEmail и если значение этих сведений равно pwned@bad-botnet.com, будут выполняться действия, определенные в правиле автоматизации.
Добавление действий
Выберите действия, которые должно выполнять это правило автоматизации. Доступные действия: назначение владельца, изменение состояния, изменение серьезности, добавление тегов и запуск сборника схем. Вы можете добавить любое количество действий по своему усмотрению.
Примечание.
Только действие Запуск сборника схем доступно в правилах автоматизации с помощью триггера оповещения.
Для любого выбранного действия заполните поля, отображаемые для этого действия в соответствии с нужным действием.
Если вы добавите действие Запустить сборник схем, вам будет предложено выбрать сборник из раскрывающегося списка доступных сборников схем.
Только сборники схем, которые начинаются с триггера инцидента, могут запускаться из правил автоматизации с использованием одного из триггеров инцидента, поэтому только они будут отображаться в списке. Аналогичным образом, только сборники схем, которые начинаются с триггера оповещения, доступны в правилах автоматизации с помощью триггера оповещения.
Microsoft Sentinel необходимо предоставить явные разрешения на запуск сборников схем. Если сборник схем в раскрывающемся списке неактивен, это означает, что у Sentinel нет разрешения на доступ к группе ресурсов этого сборника. Щелкните ссылку Управление разрешениями для сборника схем, чтобы назначить разрешения.
На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить.
У вас должны быть разрешения владельца для любой группы ресурсов, в которой требуется предоставить разрешения Microsoft Sentinel, и у вас должна быть роль участника службы автоматизации Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые вы хотите запустить.
Если у вас еще нет сборника схем, который будет выполнять запланированные вами действия, создайте новый сборник схем. Вам придется выйти из процесса создания правила автоматизации и перезапустить его после создания сборника схем.
Перемещение действий вокруг
Вы можете изменить порядок действий в правиле даже после их добавления. Выберите синие стрелки вверх или вниз рядом с каждым действием, чтобы переместить его вверх или вниз на один шаг.
Завершите создание правила
В разделе "Срок действия правила", если требуется срок действия правила автоматизации, задайте дату окончания срока действия (и, при необходимости, время). В противном случае оставьте его неопределенным.
Поле order предварительно заполнено следующим доступным номером для типа триггера правила. Это число определяет, где будет выполняться последовательность правил автоматизации (одного типа триггера). Можно изменить номер, если нужно, чтобы это правило выполнялось до существующего правила.
Дополнительные сведения см . в заметках о порядке выполнения и приоритете .
Выберите Применить. Готово!
Аудит действия правила автоматизации
Узнайте, какие правила автоматизации могли бы сделать с заданным инцидентом. У вас есть полный список историй инцидентов, доступных вам в таблице SecurityIncident на странице журналов в портал Azure, или на странице расширенной охоты на портале Defender. Для просмотра всех действий правила автоматизации используйте следующий запрос:
SecurityIncident
| where ModifiedBy contains "Automation"
Выполнение правил автоматизации
Правила автоматизации выполняются последовательно в соответствии с порядком, который вы установите. Каждое правило автоматизации выполняется после завершения предыдущего. В рамках правила автоматизации все действия выполняются последовательно в том порядке, в котором они определены. Дополнительные сведения см . в заметках о порядке выполнения и приоритете .
Действия сборника схем в правиле автоматизации могут обрабатываться по-разному в некоторых случаях в соответствии со следующими критериями:
| Время выполнения сборника схем | Правило автоматизации переходит к следующему действию... |
|---|---|
| Меньше секунды | Непосредственно после завершения выполнения сборника схем |
| Менее двух минут | До двух минут после начала работы сборника схем, но после завершения выполнения сборника схем не более 10 секунд |
| Более двух минут | Две минуты после начала работы сборника схем, независимо от того, был ли она выполнен |
Следующие шаги
В этом документе представлены сведения о том, как использовать правила автоматизации для централизованного управления автоматизацией реагирования на инциденты и оповещения Microsoft Sentinel.
- Сведения о добавлении расширенных условий с операторами
ORв правила автоматизации см. в статье Добавление расширенных условий в правила автоматизации Microsoft Sentinel. - Дополнительные сведения о правилах автоматизации см. в статье Автоматизация обработки инцидентов с помощью правил автоматизации в Microsoft Sentinel
- Дополнительные сведения о расширенных параметрах автоматизации см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
- Сведения об использовании правил автоматизации для добавления задач в инциденты см. в статье "Создание задач инцидентов в Microsoft Sentinel с помощью правил автоматизации".
- Сведения о переносе сборников схем триггеров оповещений, которые будут вызываться правилами автоматизации, см. в разделеМиграция сборников схем триггеров оповещений Microsoft Sentinel в правила автоматизации
- Справку по реализации правил автоматизации и сборников схем см. в учебнике Использование сборников схем для автоматизации реагирования на угрозы в Microsoft Sentinel.