Dela via

Lägga till avancerade villkor i Microsoft Sentinel-automatiseringsregler

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln beskriver hur du lägger till avancerade "Eller"-villkor i automatiseringsregler i Microsoft Sentinel för effektivare sortering av incidenter.

Lägg till "Eller"-villkor i form av villkorsgrupper i avsnittet Villkor i din automatiseringsregel.

Villkorsgrupper kan innehålla två villkorsnivåer:

  • Enkelt: Minst två villkor, var och en avgränsad med en OR operator:

  • Sammansatt: Fler än två villkor, med minst två villkor på minst en sida av en OR operatör:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • och så vidare.

Du kan se att den här funktionen ger dig stor kraft och flexibilitet när du ska avgöra när regler ska köras. Det kan också öka effektiviteten avsevärt genom att du kan kombinera många gamla automatiseringsregler till en ny regel.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Lägg till en villkorsgrupp

Eftersom villkorsgrupper ger mycket mer kraft och flexibilitet när det gäller att skapa automatiseringsregler är det bästa sättet att förklara hur du gör detta genom att presentera några exempel.

Nu ska vi skapa en regel som ändrar allvarlighetsgraden för en inkommande incident från vad den än är till Hög, förutsatt att den uppfyller de villkor som vi anger.

  1. För Microsoft Sentinel i Azure-portalen väljer du sidan Konfigurationsautomatisering>. För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Automation.

  2. På sidan Automation väljer du Skapa > Automation-regel i knappfältet längst upp.

    Mer information finns i de allmänna anvisningarna för att skapa en automatiseringsregel .

  3. Ge regeln ett namn: "Triage: Ändra allvarlighetsgrad till Hög"

  4. Välj utlösaren När incidenten skapas.

  5. Om du ser villkoren för incidentprovidernoch analytics-regelns namn under Villkor lämnar du dem som de är. Dessa villkor är inte tillgängliga om din arbetsyta är registrerad på den enhetliga säkerhetsåtgärdsplattformen. I båda fallen lägger vi till fler villkor senare i den här processen.

  6. Under Åtgärder väljer du Ändra allvarlighetsgrad i listrutan.

  7. Välj Hög i listrutan som visas under Ändra allvarlighetsgrad.

Följande flikar visar till exempel exempel från en arbetsyta som är registrerad på den enhetliga säkerhetsåtgärdsplattformen, antingen i Azure- eller Defender-portalerna och en arbetsyta som inte är det:

Exempel 1: enkla villkor

I det här första exemplet skapar vi en enkel villkorsgrupp: Om villkor A eller villkor B är sant körs regeln och incidentens allvarlighetsgrad anges till Hög.

  1. Välj + Lägg till expanderare och välj Villkorsgrupp (Eller) i listrutan.

    Skärmbild av att lägga till en villkorsgrupp i en automationsregels villkorsuppsättning.

  2. Se att två uppsättningar villkorsfält visas, avgränsade med en OR operator. Det här är villkoren "A" och "B" som vi nämnde ovan: Om A eller B är sant körs regeln.
    (Bli inte förvirrad av alla de olika lagren i länkarna "Lägg till" – alla dessa förklaras.)

    Skärmbild av tomma villkorsgruppsfält.

  3. Nu ska vi bestämma vilka dessa villkor ska vara. Vilka två olika villkor gör att incidentens allvarlighetsgrad ändras till Hög? Vi föreslår följande:

    • Om incidentens associerade MITRE ATT&CK-taktik inkluderar någon av de fyra vi har valt i listrutan (se bilden nedan) bör allvarlighetsgraden höjas till Hög.

    • Om incidenten innehåller en värdnamnsentitet med namnet "SUPER_SECURE_STATION" bör allvarlighetsgraden höjas till Hög.

    Skärmbild av att lägga till enkla ELLER-villkor i en automatiseringsregel.

    Så länge minst ett av dessa villkor är sant körs de åtgärder som vi definierar i regeln, vilket ändrar allvarlighetsgraden för incidenten till Hög.

Exempel 1A: Lägg till ett OR-värde i ett enda villkor

Låt oss säga att vi inte har en, utan två superkänsliga arbetsstationer vars incidenter vi vill göra hög allvarlighetsgrad. Vi kan lägga till ytterligare ett värde i ett befintligt villkor (för alla villkor baserat på entitetsegenskaper) genom att välja tärningsikonen till höger om det befintliga värdet och lägga till det nya värdet nedan.

Skärmbild av att lägga till fler värden i ett enda villkor.

Exempel 1B: Lägg till fler ELLER-villkor

Anta att vi vill att den här regeln ska köras om ett av tre (eller flera) villkor är sant. Om A eller B eller C är sant körs regeln.

  1. Kommer du ihåg alla dessa "Lägg till"-länkar? Om du vill lägga till ett annat OR-villkor väljer du + Lägg till ansluten med en rad till operatorn OR .

    Skärmbild av att lägga till ett annat OR-villkor i en automatiseringsregel.

  2. Fyll nu i parametrarna och värdena för det här villkoret på samma sätt som du gjorde de två första.

    Skärmbild av ett annat OR-villkor som lagts till i en automatiseringsregel.

Exempel 2: sammansatta förhållanden

Nu bestämmer vi oss för att bli lite mer kräsna. Vi vill lägga till fler villkor på varje sida av vårt ursprungliga OR-villkor. Det innebär att vi vill att regeln ska köras om A och B är sanna, ELLER om C och D är sanna.

  1. Om du vill lägga till ett villkor på ena sidan av en OR-villkorsgrupp väljer du länken + Lägg till direkt under det befintliga villkoret, på samma sida av operatorn OR (i samma blåtonade område) som du vill lägga till det nya villkoret till.

    Skärmbild av att lägga till ett sammansatt villkor i en automatiseringsregel.

    Du ser en ny rad som lagts till under det befintliga villkoret (i samma blåtonade område) länkad till den av en AND operator.

    Skärmbild av den tomma nya villkorsraden i automatiseringsregler.

  2. Fyll i parametrarna och värdena för det här villkoret på samma sätt som du gjorde med de andra.

    Skärmbild av nya villkorsfält som ska fyllas i för att lägga till automatiseringsregler.

  3. Upprepa de föregående två stegen för att lägga till ett AND-villkor på vardera sidan av villkorsgruppen OR.

    Skärmbild av att lägga till flera sammansatta villkor i en automatiseringsregel.

Det var allt! Du kan använda det du har lärt dig här för att lägga till fler villkors- och villkorsgrupper, med olika kombinationer av AND och OR operatorer, för att skapa kraftfulla, flexibla och effektiva automatiseringsregler för att verkligen hjälpa din SOC att köra smidigt och sänka svars- och lösningstiderna.

Nästa steg

I det här dokumentet har du lärt dig hur du lägger till villkorsgrupper med operatorer OR i automatiseringsregler.