创建自动化规则

  • 3 分钟

自动化规则是一种集中管理事件处理自动化的方法,使您无需使用运行手册即可执行简单的自动化任务。 例如,自动化规则允许你自动将事件分配给适当的人员,标记事件以对其进行分类,并更改事件的状态并关闭事件。 自动化规则还可以一次性自动化多个分析规则的响应操作,控制所执行操作的顺序,并在需要更复杂自动化任务的情况下运行剧本(playbook)。 简言之,自动化规则简化了 Microsoft Sentinel 中的自动化使用,使你能够简化事件协调过程中的复杂工作流。

创建和管理自动化规则

可以根据特定需求和用例,根据Microsoft Sentinel 体验中的不同点创建和管理自动化规则。

自动化边栏选项卡

可以在新的自动化边栏中集中管理自动化规则(该边栏取代了原来的 Playbooks 边栏),在“自动化规则”选项卡下进行操作。现在还可以在此边栏的“Playbooks”选项卡中管理 playbooks。在此处,可以创建新的自动化规则并编辑现有规则。 此外,还可以拖动自动化规则来更改其执行顺序,以及启用或禁用它们。

在“自动化”面板中,可以看到工作区上定义的所有规则及其状态(已启用/禁用),以及应用于哪些分析规则。

如果需要自动化规则应用于多个分析规则,请直接在“自动化”窗格中创建它。 在顶部菜单中,选择“创建并添加新规则”,这将打开“创建新自动化规则”面板。 在这里,你可以完全灵活地配置规则:你可以将其应用到任何分析规则(包括未来规则),并定义最广泛的条件和作。

分析规则向导

在分析规则向导的“自动响应”选项卡中,可以看到、管理和创建适用于在向导中创建或编辑的特定分析规则的自动化规则。

从“分析”边栏选项卡顶部菜单中选择“创建”和其中一种规则类型(计划查询规则或Microsoft事件创建规则),或者如果选择现有分析规则并选择“编辑”,将打开规则向导。 选择“自动响应”选项卡时,你将看到一个名为“事件自动化”的部分,其中将显示当前应用于此规则的自动化规则。 可以选择要编辑的现有自动化规则,或选择要新建的自动化规则。

你会注意到,从此处创建自动化规则时,“新建自动化规则”面板将显示分析规则条件不可用,因为此规则已设置为仅适用于在向导中编辑的分析规则。 所有其他配置选项仍可使用。

“事件”面板

还可以从“事件”边栏选项卡中创建自动化规则,以便响应单个定期事件。 创建抑制规则以自动关闭“干扰”事件时,这非常有用。 从队列中选择事件,然后从顶部菜单中选择“创建自动化规则”。

你会注意到,“新建自动化规则”面板已将所有字段填充为来自事件的值。 它将为规则命名与事件相同的名称,将其应用于生成该事件的分析规则,并使用该事件中所有可用的实体作为规则条件。 此外,它默认建议使用抑制(关闭)操作,并且提供了建议的规则到期日期。 可以根据需要添加或删除条件和操作,以及更改到期日期。

自动化规则的组件

自动化规则由多个组件组成:

  • 触发: 自动化规则是通过创建事件触发的。

    若要审阅:事件是由多种分析规则生成的警报所创建,如教程《使用 Microsoft Sentinel 内置分析规则检测威胁》中所述。

  • 条件: 可以定义复杂的条件集,以控制何时应运行作(如下所示)。 这些条件通常基于事件属性及其实体的状态或值,它们可以包括 AND/OR/NOT/CONTAINS 运算符。

  • 操作: 操作可以定义为在满足条件(见上文)时运行。 可以在一条规则中定义许多操作,并且可以选择它们的运行顺序(请参阅下文)。 可以使用自动化规则定义以下操作,而无需 playbook 的高级功能:

    • 更改事件的状态,使工作流保持最新状态。

      When changing to “closed,” specifying the closing reason and adding a comment. This helps you keep track of your performance and effectiveness, and fine-tune to reduce false positives.

    • 更改事件的严重性 - 可以根据事件中涉及的实体的存在、缺失、值或属性重新计算和重新评估。

    • 将事件分配给所有者 - 这有助于将事件类型定向到最适合处理事件的人员,或最可用的人员。

    • 向事件添加标记 - 这对于按主题、攻击者或任何其他公共分母对事件进行分类非常有用。

      此外,还可以定义一项操作来运行 playbook,以便执行更复杂的响应操作,包括涉及外部系统的任何操作。 只有事件触发器激活的 Playbook 可用于自动化规则。 可以定义操作来包括多个 playbook 或 playbook 与其他操作的组合,还可以定义它们的运行顺序。

      使用任一版本的逻辑应用(标准版或消耗版)的 playbook 都可以在自动化规则中运行。

  • 有效期: 可以在自动化规则上定义到期日期。 该规则将在该日期之后禁用。 这对于处理和关闭因计划中的限时活动(如渗透测试)导致的“噪音”事件很有用。

  • 次序: 可以定义将运行自动化规则的顺序。 之后的自动化规则将根据事件受先前自动化规则作用后的状态来评估事件的条件。

    例如,如果“第一个自动化规则”将事件的严重性从“中”更改为“低”,并且“第二个自动化规则”定义为仅在具有中等或更高严重性的事件上运行,则不会在该事件上运行。