分享方式:

使用工作來管理 Microsoft Sentinel 中的事件

  • 文章

有效且有效率地執行安全性作業(SecOps)最重要的因素之一是 程序標準化。 SecOps 分析師預計將在分級、調查或補救事件的過程中執行步驟或工作清單。 標準化和正規化工作清單有助於讓SOC順利執行,確保所有分析師都適用相同的需求。 如此一來,無論誰在輪班,事件總是會得到相同的處理和 SLA。 分析師不需要花時間思考該怎麼做,也不需要擔心遺漏關鍵步驟。 這些步驟是由 SOC 經理或資深分析師(第 2/3 層)根據常見的安全性知識(例如 NIST)、過去事件的經驗,或偵測到事件的安全性廠商所提供的建議來定義。

使用案例

  • 您的SOC分析師可以使用單一中央檢查清單來處理事件分級、調查和回應的程式,而不必擔心遺漏關鍵步驟。

  • 您的 SOC 工程師或資深分析師可以記錄、更新及調整分析師小組和班次的事件回應標準。 他們也可以建立工作檢查清單,以訓練新分析師或分析師遇到新類型的事件。

  • 身為 SOC 經理或 MSSP,您可以確定事件會根據相關的 SLA/SOP 進行處理。

必要條件

需要 Microsoft Sentinel 回應程式角色才能建立自動化規則,以及檢視和編輯事件,這兩者都需要新增、檢視和編輯工作。

建立和編輯劇本需要Logic Apps 參與者角色。

案例

分析人員

處理事件時,請遵循工作

當您選取事件並 檢視完整詳細資料時,在事件詳細資料頁面上,您會在右側面板上看到所有已新增至該事件的工作,無論是手動或透過自動化規則。

展開工作以查看其完整描述,包括使用者、自動化規則或建立它的劇本。

選取其 「核取方塊」圓形來標記工作完成。

Screenshot of incident tasks panel for analysts on incident details screen.

在現場將工作新增至事件

您可以將工作新增至您正在處理的開啟事件,要麽提醒自己您發現需要採取的行動,要麽記錄您主動採取但未出現在任務列表中的行動。 以這種方式新增的工作只會套用至開啟的事件。

工作流程建立者

使用自動化規則將工作新增至事件

使用自動化規則中的 新增工作 動作,自動為所有事件提供分析師的工作清單。 在您的自動化規則中設定 Analytics 規則名稱 條件,以判斷範圍:

  • 將自動化規則套用至 所有分析規則 以定義要套用至所有事件的標準工作集。

  • 藉由將自動化規則套用至 一組有限的分析規則,您可以根據分析規則或產生這些事件的規則所偵測到的威脅,將特定工作指派給特定事件。

請把工作出現在事件中的順序當作會透過工作的建立時間來決定。 您可以設定自動化規則的順序,讓新增所有事件所需工作的規則會先執行,然後才執行新增特定分析規則所產生事件所需的任何規則。 在單一規則內,定義動作的順序會控管它們出現在事件中的順序。

在您建立新的自動化規則之前,請先查看現有自動化規則和工作涵蓋哪些事件。
使用自動化規則清單上的 [動作] 篩選器,以查看新增工作至事件的規則,並查看這些分析規則適用於哪些分析規則,以了解會在哪些事件新增這些工作。

使用劇本將工作新增至事件

使用 Microsoft Sentinel 連接器中劇本的 [新增工作] 動作自動將工作新增至觸發劇本的事件。

然後,在各自的Logic Apps 連接器中使用其他劇本動作來完成工作的內容。

最後,使用 [標記為已完成] 的動作,(又是在 Microsoft Sentinel 連接器中) 以自動標示工作完成。

請把下列案例作當作範例:

  • 讓劇本新增和完成工作: 建立事件時,它會觸發執行下列動作的劇本:

    1. 將工作新增至事件,以重設使用者的密碼。
    2. 透過對使用者佈建系統發出 API 呼叫以重設使用者的密碼來執行工作。
    3. 等候來自系統的回應,以得知重設成功或失敗。
      • 如果密碼重設成功,劇本接著會將它剛才在事件中建立的工作標示為已完成。
      • 如果密碼重設失敗,劇本將不會將工作標示為已完成,會讓分析師去執行。

  • 讓劇本評估是否應該新增條件式工作: 建立事件時,它會觸發從外部威脅情報來源要求 IP 位址報告的劇本。

    • 如果 IP 位址是惡意的,劇本會新增特定工作 (例如:「封鎖此 IP 位址」)。
    • 否則,劇本不會採取進一步的動作。

使用自動化規則或劇本來新增工作?

應該考慮什麽因素來決定該使用哪一種方法來建立事件工作?

  • 自動化規則:盡可能使用。 用於不需要互動的純文字、靜態工作。
  • 劇本:用於進階使用案例—根據條件建立工作,或使用整合式自動化動作建立工作。

下一步