Dela via


Skapa och använda Microsoft Sentinel-automatiseringsregler för att hantera svar

Den här artikeln beskriver hur du skapar och använder automatiseringsregler i Microsoft Sentinel för att hantera och samordna hotsvar för att maximera soc-effektiviteten och effektiviteten.

I den här artikeln får du lära dig hur du definierar utlösare och villkor som avgör när din automatiseringsregel körs, de olika åtgärder som du kan låta regeln utföra och återstående funktioner.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Utforma din automatiseringsregel

Innan du skapar automatiseringsregeln rekommenderar vi att du fastställer dess omfång och design, inklusive utlösare, villkor och åtgärder som utgör din regel.

Fastställa omfånget

Det första steget i att utforma och definiera din automatiseringsregel är att ta reda på vilka incidenter eller aviseringar du vill att den ska gälla för. Den här bestämningen påverkar direkt hur du skapar regeln.

Du vill också fastställa ditt användningsfall. Vad försöker du åstadkomma med den här automatiseringen? Överväg följande alternativ:

  • Skapa uppgifter som dina analytiker kan följa när de sorterar, undersöker och åtgärdar incidenter.
  • Undertryck brusande incidenter. (Du kan också använda andra metoder för att hantera falska positiva identifieringar i Microsoft Sentinel.)
  • Sortera nya incidenter genom att ändra deras status från Ny till Aktiv och tilldela en ägare.
  • Tagga incidenter för att klassificera dem.
  • Eskalera en incident genom att tilldela en ny ägare.
  • Stäng lösta incidenter, ange en orsak och lägg till kommentarer.
  • Analysera incidentens innehåll (aviseringar, entiteter och andra egenskaper) och vidta ytterligare åtgärder genom att anropa en spelbok.
  • Hantera eller svara på en avisering utan en associerad incident.

Fastställa utlösaren

Vill du att den här automatiseringen ska aktiveras när nya incidenter eller aviseringar skapas? Eller när en incident uppdateras?

Automatiseringsregler utlöses när en incident skapas eller uppdateras eller när en avisering skapas. Kom ihåg att incidenter inkluderar aviseringar och att både aviseringar och incidenter kan skapas av analysregler, av vilka det finns flera typer, enligt beskrivningen i Hotidentifiering i Microsoft Sentinel.

I följande tabell visas de olika möjliga scenarier som gör att en automatiseringsregel körs.

Utlösartyp Händelser som gör att regeln körs
När incidenten skapas Enhetlig säkerhetsåtgärdsplattform i Microsoft Defender:
  • En ny incident skapas i Microsoft Defender-portalen.

    Microsoft Sentinel har inte registrerats för enhetlig plattform:
  • En ny incident skapas av en analysregel.
  • En incident matas in från Microsoft Defender XDR.
  • En ny incident skapas manuellt.
  • När incidenten uppdateras
  • Status för en incident ändras (stängd/återöppnad/triaged).
  • En incident ägare tilldelas eller ändras.
  • En incidents allvarlighetsgrad höjs eller sänks.
  • Aviseringar läggs till i en incident.
  • Kommentarer, taggar eller taktiker läggs till i en incident.
  • När aviseringen skapas
  • En avisering skapas av en schemalagd Microsoft Sentinel- eller NRT-analysregel.
  • Skapa din automatiseringsregel

    De flesta av följande instruktioner gäller för alla användningsfall där du skapar automatiseringsregler.

    Om du vill förhindra bullriga incidenter kan du prova att hantera falska positiva identifieringar.

    Om du vill skapa en automatiseringsregel som ska tillämpas på en specifik analysregel kan du läsa Ange automatiserade svar och skapa regeln.

    Så här skapar du automatiseringsregeln:

    1. För Microsoft Sentinel i Azure Portal väljer du sidan Konfigurationsautomatisering>. För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel Configuration>>Automation.

    2. På sidan Automation i Microsoft Sentinel-navigeringsmenyn väljer du Skapa på den översta menyn och väljer Automation-regel.

    3. Panelen Skapa ny automatiseringsregel öppnas. I fältet Automation-regelnamn anger du ett namn för regeln.

    Välj utlösare

    I listrutan Utlösare väljer du lämplig utlösare enligt omständigheterna för vilken du skapar automatiseringsregeln – När incidenten skapas, När incidenten uppdateras eller När aviseringen skapas.

    Skärmbild av hur du väljer utlösaren för incidentskapande eller incidentuppdatering.

    Definiera villkor

    Använd alternativen i området Villkor för att definiera villkor för din automatiseringsregel.

    • Regler som du skapar för när en avisering skapas stöder endast egenskapen If Analytic rule name i ditt villkor. Välj om du vill att regeln ska vara inkluderande (innehåller) eller exklusiv (Innehåller inte) och välj sedan analysregelnamnet i listrutan.

      Analysregelns namnvärden innehåller endast analysregler och inkluderar inte andra typer av regler, till exempel hotinformation eller avvikelseregler.

    • Regler som du skapar för när en incident skapas eller uppdateras har stöd för en mängd olika villkor, beroende på din miljö. De här alternativen börjar med om din arbetsyta är registrerad på den enhetliga säkerhetsåtgärdsplattformen:

      Om din arbetsyta är registrerad på plattformen för enhetliga säkerhetsåtgärder börjar du med att välja någon av följande operatorer, antingen i Azure eller Defender-portalen:

      • OCH: enskilda villkor som utvärderas som en grupp. Regeln körs om alla villkor av den här typen är uppfyllda.

        Om du vill arbeta med OPERATORN AND väljer du + Lägg till expanderare och väljer Villkor (Och) i listrutan. Listan över villkor fylls i av fälten incidentegenskap och entitetsegenskap .

      • ELLER (kallas även villkorsgrupper): grupper av villkor, som var och en utvärderas oberoende av varandra. Regeln körs om en eller flera grupper av villkor är sanna. Mer information om hur du arbetar med dessa komplexa typer av villkor finns i Lägga till avancerade villkor i automatiseringsregler.

      Till exempel:

      Skärmbild av villkor för automatiseringsregler när arbetsytan registreras på den enhetliga säkerhetsåtgärdsplattformen.

      Om du har valt När en incident uppdateras som utlösare börjar du med att definiera dina villkor och lägger sedan till extra operatorer och värden efter behov.

    Så här definierar du dina villkor:

    1. Välj en egenskap i den första listrutan till vänster. Du kan börja skriva valfri del av ett egenskapsnamn i sökrutan för att dynamiskt filtrera listan, så att du snabbt kan hitta det du letar efter.

      Skärmbild av att skriva i en sökruta för att filtrera listan med alternativ.

    2. Välj en operator från nästa listruta till höger. Skärmbild av att välja en villkorsoperator för automatiseringsregler.

      Listan över operatorer som du kan välja mellan varierar beroende på den valda utlösaren och egenskapen.

      Villkor som är tillgängliga med create-utlösaren

      Property Operatoruppsättning
      - Title
      - Beskrivning
      – Alla entitetsegenskaper i listan
        (se egenskaper för entiteter som stöds)
      - Lika med/är inte lika med
      - Innehåller/innehåller inte
      - Börjar med/börjar inte med
      - Slutar med/slutar inte med
      - Tagg ( Se enskilda jämfört med samling) Alla enskilda taggar:
      - Lika med/är inte lika med
      - Innehåller/innehåller inte
      - Börjar med/börjar inte med
      - Slutar med/slutar inte med

      Samling med alla taggar:
      - Innehåller/innehåller inte
      - Allvarlighetsgrad
      - Status
      - Nyckel för anpassad information
      - Lika med/är inte lika med
      - Taktik
      - Avisera produktnamn
      - Värde för anpassad information
      - Analysregelnamn
      - Innehåller/innehåller inte

      Villkor som är tillgängliga med uppdateringsutlösaren

      Property Operatoruppsättning
      - Title
      - Beskrivning
      – Alla entitetsegenskaper i listan
        (se egenskaper för entiteter som stöds)
      - Lika med/är inte lika med
      - Innehåller/innehåller inte
      - Börjar med/börjar inte med
      - Slutar med/slutar inte med
      - Tagg ( Se enskilda jämfört med samling) Alla enskilda taggar:
      - Lika med/är inte lika med
      - Innehåller/innehåller inte
      - Börjar med/börjar inte med
      - Slutar med/slutar inte med

      Samling med alla taggar:
      - Innehåller/innehåller inte
      - Tagg ( utöver ovan)
      - Aviseringar
      - Kommentarer
      -Tillade
      - Allvarlighetsgrad
      - Status
      - Lika med/är inte lika med
      -Förändrad
      - Har ändrats från
      - Har ändrats till
      - Ägare -Förändrad
      - Uppdaterad av
      - Nyckel för anpassad information
      - Lika med/är inte lika med
      - Taktik - Innehåller/innehåller inte
      -Tillade
      - Avisera produktnamn
      - Värde för anpassad information
      - Analysregelnamn
      - Innehåller/innehåller inte

      Villkor som är tillgängliga med aviseringsutlösaren

      Det enda villkor som kan utvärderas av regler baserat på utlösaren för att skapa aviseringar är vilken Microsoft Sentinel-analysregel som skapade aviseringen.

      Automatiseringsregler som baseras på aviseringsutlösaren körs endast på aviseringar som skapats av Microsoft Sentinel.

    3. Ange ett värde i fältet till höger. Beroende på vilken egenskap du har valt kan det vara antingen en textruta eller en listruta där du väljer från en sluten lista med värden. Du kan också lägga till flera värden genom att välja tärningsikonen till höger om textrutan.

      Skärmbild av att lägga till värden i villkoret i automatiseringsregler.

    Om du vill ange komplexa eller villkor med olika fält kan du läsa Lägga till avancerade villkor i automatiseringsregler.

    Villkor baserade på taggar

    Du kan skapa två typer av villkor baserat på taggar:

    • Villkor med Alla enskilda taggoperatorer utvärderar det angivna värdet mot varje tagg i samlingen. Utvärderingen är sann när minst en tagg uppfyller villkoret.
    • Villkor med insamling av alla taggar-operatorer utvärderar det angivna värdet mot samlingen av taggar som en enda enhet. Utvärderingen gäller endast om samlingen som helhet uppfyller villkoret.

    Utför följande steg för att lägga till ett av dessa villkor baserat på en incident taggar:

    1. Skapa en ny automatiseringsregel enligt beskrivningen ovan.

    2. Lägg till ett villkor eller en villkorsgrupp.

    3. Välj Tagga i listrutan egenskaper.

    4. Välj listrutan operatorer för att visa tillgängliga operatorer att välja mellan.

      Se hur operatorerna delas in i två kategorier enligt beskrivningen tidigare. Välj din operatör noggrant baserat på hur du vill att taggarna ska utvärderas.

      Mer information finns i Taggegenskap : enskild jämfört med samling.

    Villkor baserade på anpassad information

    Du kan ange värdet för en anpassad detalj som visas i en incident som ett villkor för en automatiseringsregel. Kom ihåg att anpassad information är datapunkter i råa händelseloggposter som kan visas och visas i aviseringar och incidenter som genereras från dem. Använd anpassad information för att komma åt det faktiska relevanta innehållet i dina aviseringar utan att behöva gå igenom frågeresultat.

    Så här lägger du till ett villkor baserat på en anpassad information:

    1. Skapa en ny automatiseringsregel enligt beskrivningen tidigare.

    2. Lägg till ett villkor eller en villkorsgrupp.

    3. Välj Anpassad informationsnyckel i listrutan egenskaper. Välj Lika med eller Är inte lika med i listrutan operatorer.

      För villkoret anpassad information kommer värdena i den senaste listrutan från den anpassade information som visades i alla analysregler som anges i det första villkoret. Välj den anpassade information som du vill använda som ett villkor.

      Skärmbild av att lägga till en anpassad detaljnyckel som ett villkor.

    4. Du valde det fält som du vill utvärdera för det här villkoret. Ange nu det värde som visas i fältet som gör att villkoret utvärderas till sant.
      Välj + Lägg till objektvillkor.

      Skärmbild av hur du väljer lägg till objektvillkor för automatiseringsregler.

      Värdevillkorsraden visas nedan.

      Skärmbild av det anpassade detaljvärdefältet som visas.

    5. Välj Innehåller eller Innehåller inte från listrutan operatorer. I textrutan till höger anger du det värde som du vill att villkoret ska utvärderas till sant för.

      Skärmbild av det anpassade detaljvärdesfältet ifyllt.

    I det här exemplet, om incidenten har den anpassade informationen DestinationEmail, och om värdet för den informationen är pwned@bad-botnet.com, körs de åtgärder som definierats i automatiseringsregeln.

    Lägg till åtgärder

    Välj de åtgärder som du vill att den här automatiseringsregeln ska utföra. Tillgängliga åtgärder är Tilldela ägare, Ändringsstatus, Ändra allvarlighetsgrad, Lägg till taggar och Kör spelbok. Du kan lägga till så många åtgärder du vill.

    Kommentar

    Endast åtgärden Kör spelbok är tillgänglig i automatiseringsregler med hjälp av aviseringsutlösaren.

    Skärmbild av listan över åtgärder som ska väljas i automationsregeln.

    För den åtgärd du väljer fyller du i fälten som visas för åtgärden enligt vad du vill göra.

    Om du lägger till en Run-spelboksåtgärd uppmanas du att välja från listrutan med tillgängliga spelböcker.

    • Endast spelböcker som börjar med incidentutlösaren kan köras från automatiseringsregler med någon av incidentutlösarna, så endast de visas i listan. På samma sätt är endast spelböcker som börjar med aviseringsutlösaren tillgängliga i automatiseringsregler med hjälp av aviseringsutlösaren.

    • Microsoft Sentinel måste beviljas explicita behörigheter för att kunna köra spelböcker. Om en spelbok visas som otillgänglig i listrutan innebär det att Sentinel inte har behörighet att komma åt spelbokens resursgrupp. Om du vill tilldela behörigheter väljer du länken Hantera spelboksbehörigheter .

      I panelen Hantera behörigheter som öppnas markerar du kryssrutorna för de resursgrupper som innehåller de spelböcker som du vill köra och väljer Tillämpa.

      Hantera behörigheter

      Du måste själv ha ägarbehörigheter för alla resursgrupper som du vill bevilja Microsoft Sentinel-behörigheter till, och du måste ha rollen Microsoft Sentinel Automation-deltagare för alla resursgrupper som innehåller spelböcker som du vill köra.

    • Om du ännu inte har en spelbok som vidtar den åtgärd som du vill använda skapar du en ny spelbok. Du måste avsluta processen för att skapa automatiseringsregeln och starta om den när du har skapat din spelbok.

    Flytta runt åtgärder

    Du kan ändra ordningen på åtgärderna i regeln även efter att du har lagt till dem. Välj de blå uppåt- eller nedåtpilarna bredvid varje åtgärd för att flytta den uppåt eller nedåt ett steg.

    Skärmbild som visar hur du flyttar åtgärder uppåt eller nedåt.

    Slutför skapandet av regeln

    1. Om du vill att automationsregeln ska upphöra att gälla under Regelns förfallodatum anger du ett förfallodatum och eventuellt en tid. Annars lämnar du den som Obestämd.

    2. Fältet Order fylls i med nästa tillgängliga nummer för regelns utlösartyp. Det här talet avgör var i sekvensen av automatiseringsregler (av samma utlösartyp) som den här regeln körs. Du kan ändra numret om du vill att den här regeln ska köras före en befintlig regel.

      Mer information finns i Anteckningar om körningsordning och prioritet.

    3. Välj Använd. Du är klar!

    Skärmbild av de sista stegen för att skapa automatiseringsregeln.

    Granska regelaktivitet för automatisering

    Ta reda på vilka automatiseringsregler som kan ha gjort med en viss incident. Du har en fullständig post med incidentkrönikor tillgängliga i tabellen SecurityIncidentsidan Loggar i Azure Portal eller sidan Avancerad jakt i Defender-portalen. Använd följande fråga för att se all automatiseringsregelaktivitet:

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    Körning av automationsregler

    Automatiseringsregler körs sekventiellt enligt den ordning som du fastställer. Varje automatiseringsregel körs när den föregående har slutfört körningen. I en automatiseringsregel körs alla åtgärder sekventiellt i den ordning som de definieras. Mer information finns i Anteckningar om körningsordning och prioritet .

    Spelboksåtgärder inom en automatiseringsregel kan behandlas på olika sätt under vissa omständigheter, enligt följande kriterier:

    Körningstid för spelbok Automationsregeln går vidare till nästa åtgärd...
    Mindre än en sekund Omedelbart efter att spelboken har slutförts
    Mindre än två minuter Upp till två minuter efter att spelboken började köras,
    men högst 10 sekunder efter att spelboken har slutförts
    Mer än två minuter Två minuter efter att spelboken började köras,
    oavsett om den har slutförts eller inte

    Nästa steg

    I det här dokumentet har du lärt dig hur du använder automatiseringsregler för att centralt hantera svarsautomation för Microsoft Sentinel-incidenter och aviseringar.