使用自動化規則在 Microsoft Sentinel 中建立事件工作
本文說明如何使用自動化規則來建立事件工作清單,以便管理 Microsoft Sentinel 中的複雜分析師工作流程程序。
事件工作不僅可由自動化規則自動建立,也可由劇本,同時從事件內手動、臨機操作的方式建立。
不同角色的使用案例
本文說明的下列案例適用於 SOC 經理、資深分析師和自動化工程師:
下列隨附文章將說明另一個這類案例:
在下列連結的另一篇文章中,將說明更多適用於 SOC 分析師的案例:
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
必須具備「Microsoft Sentinel 回應者」角色才能建立自動話規則並檢視和編輯事件,兩者都是新增、檢視和編輯工作的必要權限。
使用事件工作動作檢視自動化規則
在 [自動化] 頁面中,您可以篩選自動化規則的檢視,只查看已定義新增工作動作。
選取 [動作] 篩選條件。
取消標示 [選取全部] 核取方塊。
向下卷動並標示 [新增工作] 核取方塊。
選取 [確定] 並查看結果。
這些是將工作新增至事件的自動化規則。 Analytics 規則名稱 資料行會告訴您這些自動化規則所設定的分析規則,讓您大致了解哪些事件受到影響。
注意
若要確切了解自動化規則是否會套用至特定事件,您必須開啟規則,以查看除了分析規則條件之外是否有定義任何其他條件。 如果已定義其他條件,受影響事件的範圍將會相應縮小。
使用自動化規則將工作新增至事件
在 [自動化] 頁面上,選取 [+ 建立] 並選取 [自動化規則]。
[建立新的自動化規則] 面板會在右側開啟。
為您的自動化規則指定描述其用途的名稱。選取 [事件建立時] 為觸發點 (也可以使用 [事件更新時])。
新增條件,以判斷將新增哪些事件的新工作。
例如,依 Analytics 規則名稱篩選:
您可能會想要根據分析規則偵測到的威脅類型或一組需要根據特定工作流程處理的分析規則,將工作新增至事件。 從下拉式清單中搜尋並選取相關的分析規則。
或者,您可能想要在所有類型的威脅中新增與事件相關的工作 (在此案例中,請將 [所有] 的預設選取範圍保留原狀)。
不論是哪一種情況,您都可以新增更多條件,以縮小將套用自動化規則的事件範圍。 深入了解進階條件新增至自動化規則。
您將需要考慮工作出現在事件中的順序取決於工作的建立時間。 您可以設定自動化規則的順序,讓新增所有事件所需工作的規則會先執行,然後才執行新增特定分析規則所產生事件所需的任何規則。
選取 [動作] 下方的 [新增工作]。
針對每個任務,在 [任務標題] 字段中輸入標題,然後(選擇性地) 選取 [+ 新增描述] 以開啟描述字段。
事件的工作清單面板中預設只會顯示任務標題。 只有在展開工作項目時,才會顯示工作的描述。在描述欄位中,您可以為工作新增自由格式描述,包括影像、連結和 RTF 格式設定 (請參閱下列範例中的超連結、編號清單和程式碼區塊格式化文字)。
選取 [+ 新增動作] 並重複最後三個步驟,將更多工作新增至相同的事件群組。
系統會根據在自動化規則中新增工作動作的順序,建立工作並新增至事件。
完成其餘步驟、規則到期和訂單,然後選取結尾的 [套用],以完成建立自動化規則。 請參閱建立和使用 Microsoft Sentinel 自動化規則來管理回應取得完整細節。
關於順序設定:工作出現在事件中的順序取決於兩件事:
- 自動化規則的執行順序,取決於順序設定中的數字,以及...
- 新增工作在每個自動化規則內定義的動作順序。