使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明什麼是 Microsoft Sentinel 自動化規則,以及如何使用這些規則來實作安全性協調流程、自動化和回應 (SOAR) 作業、提高 SOC 的有效性,並節省您的時間和資源。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

什麼是自動化規則?

自動化規則是集中管理 Microsoft Sentinel 自動化的方法,可讓您定義並協調一組可跨不同案例套用的一小組規則。

自動化規則適用於下列使用案例類別:

  • 執行事件處理的基本自動化工作,而不使用劇本。 例如:

    • 為分析師新增要遵循的事件工作
    • 隱藏嘈雜的事件。
    • 將新事件的狀態從 [新增] 變更為 [作用中],並指派擁有者來分級新事件。
    • 標記事件以分類事件。
    • 指派新的擁有者來呈報事件。
    • 關閉已解決的事件,並指定原因並新增批注。

  • 一次將多個分析規則的回應自動化。

  • 控制執行的動作順序。

  • 藉由呼叫劇本來檢查事件的內容(警示、實體和其他屬性),並採取進一步的動作。

  • 自動化規則也可以是您執行劇本以回應未與事件相關聯之警示的機制。

簡言之,自動化規則可簡化在 Microsoft Sentinel 中使用自動化,讓您簡化威脅回應協調流程流程的複雜工作流程。

元件

自動化規則是由數個元件所組成:

觸發程序

建立或更新事件或建立警示時,就會觸發自動化規則。 回想一下,事件包括警示,而且警示和事件都可以由分析規則建立,其中有數種類型,如在 Microsoft Sentinel 中使用內建分析規則偵測威脅中所述

下表顯示會導致自動化規則執行的不同可能案例。

觸發程序類型 導致規則執行的事件
建立事件時 Microsoft Defender 中的整合安全性作業平臺:
  • Microsoft Defender 入口網站中會建立新的事件。

    Microsoft Sentinel 未上線至統一平臺:
  • 分析規則會建立新的事件。
  • 從 Microsoft Defender 全面偵測回應 擷取事件。
  • 系統會手動建立新的事件。
    		•
    事件更新時
  • 事件的狀態已變更(已關閉/重新開啟/分級)。
  • 已指派或變更事件的擁有者。
  • 事件的嚴重性會引發或降低。
  • 警示會新增至事件。
  • 批註、標記或策略會新增至事件。
    		•
    建立警示時
  • Microsoft Sentinel ScheduledNRT 分析規則會建立警示。
    		•

    事件型或以警示為基礎的自動化?

    既然事件自動化和警示自動化都是由自動化規則和劇本集中處理,您應該如何選擇何時使用哪一個?

    在大部分的使用案例中, 事件觸發的自動化 是較佳的方法。 在 Microsoft Sentinel 中, 事件 是「案例檔案」,這是特定調查所有相關證據的匯總。 它是警示、實體、批注、共同作業和其他成品的容器。 單一辨識項不同,事件可修改、狀態最更新,而且可以使用批註、標籤和書籤來擴充。 此事件可讓您追蹤持續隨著新增警示而不斷演進的攻擊案例。

    基於這些原因,在事件周圍建置自動化更有意義。 因此,建立劇本的最適當方式是以 Azure Logic Apps 中的 Microsoft Sentinel 事件觸發程式為基礎。

    使用警示觸發自動化的主要原因,是回應分析規則所產生的警示,而不會建立事件(也就是說,分析規則精靈的 [事件設定] 索引標籤中停用事件建立。

    當 Microsoft Sentinel 工作區上線至統一安全性作業平臺時,此原因特別相關,因為所有事件建立都會在 Microsoft Defender 全面偵測回應 中發生,因此必須停用 Microsoft Sentinel 中的事件建立規則。

    即使未上線至統一入口網站,您還是可能會決定使用警示觸發的自動化,如果您想要使用其他外部邏輯來判斷事件是否和如何從警示建立事件,以及警示是否和如何將警示分組到事件中。 例如:

    • 劇本可由沒有相關事件的警示觸發、使用來自其他來源的信息擴充警示,以及根據某些外部邏輯決定是否要建立事件。

    • 劇本可由警示觸發,而不是建立事件,而是尋找適當的現有事件以新增警示。 深入瞭解 事件擴充

    • 劇本可由警示觸發,並通知SOC人員警示,讓小組可以決定是否要建立事件。

    • 警示可以觸發劇本,並將警示傳送至外部票證系統,以建立和管理事件,為每個警示建立新的票證。

    注意

    • 警示觸發的自動化僅適用於 Scheduled、NRTMicrosoft 安全性分析規則建立的警示。

    • Microsoft Defender 全面偵測回應 所建立之警示的警示觸發自動化無法在統一安全性作業平臺中使用。 如需詳細資訊,請參閱 使用統一安全性作業平臺進行自動化。

    條件

    您可以定義複雜的條件集,以控管何時應該執行動作(請參閱下文)。 這些條件包括觸發規則的事件(事件建立或更新或建立的警示)、事件屬性和 實體屬性 的狀態或值(僅適用於事件觸發程式),以及產生事件或警示的分析規則或規則。

    觸發自動化規則時,它會根據規則中定義的條件檢查觸發事件或警示。 針對事件,屬性型條件會根據 評估發生時的屬性目前狀態 進行評估,或根據 屬性狀態 的變更來評估(如需詳細數據,請參閱下文)。 由於單一事件建立或更新事件可能會觸發數個自動化規則, 因此它們執行的順序 會有所差異,以判斷條件評估的結果。 只有在滿足所有條件時,規則中定義的動作才會執行。

    事件建立觸發程式

    針對使用觸發程式 定義的規則:建立事件時,您可以使用下列一或多個運算符,定義檢查 指定事件屬性清單值目前狀態 的條件:

    事件屬性的值

    • 等於或不等於條件中定義的值。
    • 包含或不包含條件中定義的值。
    • 以 開頭,或不是以條件中定義的值開頭。
    • 以 結尾,或結尾不是以條件中定義的值結尾

    此內容中的目前狀態是指評估條件的那一刻,也就是自動化規則執行的那一刻。 如果已定義多個自動化規則以回應此事件的建立,則先前執行自動化規則對事件的變更會被視為後續執行規則的目前狀態。

    事件更新觸發程式

    使用觸發程式 定義的規則中所評估的條件:更新 事件時,包含針對事件建立觸發程式列出的所有條件。 但更新觸發程式包含更多可評估的屬性。

    其中一個屬性是 更新者。 此屬性可讓您追蹤在事件中進行變更的來源類型。 您可以根據您是否已將工作區上線至統一安全性作業平臺,建立評估事件是否由下列其中一個值更新的條件:

    • 應用程式,包括 Azure 和 Defender 入口網站中的應用程式。
    • 使用者,包括 Azure 和 Defender 入口網站中使用者所做的變更。
    • AIR,透過自動化調查和回應 適用於 Office 365 的 Microsoft Defender
    • 警示群組(已將警示新增至事件),包括由分析規則和內建 Microsoft Defender 全面偵測回應 相互關聯邏輯完成的警示群組
    • 劇本
    • 自動化規則
    • 其他,如果上述值都不適用

    例如,使用這個條件,您可以指示此自動化規則在對事件所做的任何變更上執行,除非它是由另一個自動化規則所建立。

    更進一步的是,更新觸發程式也會使用其他運算符來檢查 事件屬性值中的狀態變更 ,以及其目前狀態。 如果符合狀態變更條件,

    事件屬性的值是

    • 已變更 (不論之前或之後的實際值為何)。
    • 已從 條件中定義的值變更。
    • 已變更為 條件中定義的值。
    • 已新增 至 (這適用於具有值清單的屬性)。

    Tag 屬性:個別與集合

    事件屬性 Tag 是個別專案的集合,單一事件可以套用多個標記。 您可以定義個別檢查集合中每個標記的條件,以及將標籤集合檢查為單位的條件。

    • 任何個別標記 運算子都會根據集合中的每個標記檢查條件。 當至少有一個標籤符合條件時,評估為 true
    • 所有標籤 的集合都會根據標籤示集合來檢查條件,作為單一單位。 只有在整個集合符合條件時,評估才會成立

    當您的條件是負數(不包含),而且集合中的某些標記滿足條件,而其他標籤則不重要。

    讓我們看看一個範例, 其中您的條件是 Tag 不包含 “2024”,而且您有兩個事件,每個事件都有兩個標記:

    \事件 ▶
    Condition ~ \    		 事件 1
    標籤 1:2024
    標籤 2:2023    		 事件 2
    標籤 1:2023
    標籤 2:2022
    任何個別標記
    不包含 “2024”    		 TRUE TRUE
    所有標籤的集合
    不包含 “2024”    		 TRUE

    在此範例中,事件 1

    • 如果條件會個別檢查每個標記,則因為至少有一個 標記符合條件不包含 “2024”),因此整體條件為 true
    • 如果條件會將事件中的所有標記檢查為單一單位,則因為至少有一個標籤標 不符合條件包含 “2024”),整體條件為 false

    事件 2 中,無論定義哪種類型的條件,結果都會相同。

    警示建立觸發程式

    目前唯一可以針對警示建立觸發程式設定的條件是自動化規則將執行的分析規則集。

    動作

    當符合條件時,可以定義要執行的動作。 您可以在規則中定義許多動作,而且您可以選擇其執行順序 (請參閱下方)。 您可以使用自動化規則來定義下列動作,而不需要 劇本的進階功能:

    • 將工作新增至事件 – 您可以建立 分析人員的工作檢查清單,以遵循 事件分級、調查和補救的整個程式,以確保不會遺漏任何重大步驟。

    • 變更事件的狀態,讓您的工作流程保持最新狀態。

      • 變更為「已關閉」時,指定 結尾原因 並新增批注。 這可協助您追蹤效能和有效性,並微調以減少 誤判

    • 變更事件的嚴重性 – 您可以根據事件中所涉及實體的存在、不存在、值或屬性來重新評估和重新設定優先順序。

    • 將事件指派給擁有者 – 這可協助您將事件類型導向至最適合處理事件的人員或最有空的人員。

    • 將標記新增至事件 – 這適用於依主旨、攻擊者或任何其他常見分母來分類事件。

    您也可以定義要執行劇本的動作,以採取更複雜的回應動作,包括任何涉及外部系統的動作。 可用於自動化規則的劇本取決於劇本自動化規則所依據的觸發程式:只有事件觸發程式劇本可以從事件觸發程式自動化規則執行,而只有警示觸發程式劇本可以從警示觸發程式自動化規則執行。 您可以定義多個呼叫劇本的動作,或劇本和其他動作的組合。 動作會依照規則中所列的順序執行。

    使用 任一版 Azure Logic Apps(標準或取用) 的劇本將可從自動化規則執行。

    到期日期

    您可以在自動化規則上定義到期日。 規則將會在該日期之後予以停用。 這適用於處理 (即關閉) 滲透測試這類計劃性限時活動所造成的「雜訊」事件。

    訂單

    您可以定義自動化規則的執行順序。 之後,自動化規則將會根據先前自動化規則採取動作後的狀態來評估事件的條件。

    例如,如果「第一個自動化規則」將事件的嚴重性從 [中] 變更為 [低],而「第二個自動化規則」定義為只對嚴重性為 [中] 或更高嚴重性的事件執行,則不會對該事件執行。

    新增 事件 工作的自動化規則順序會決定工作出現在指定事件中的順序。

    以更新觸發程式為基礎的規則有自己的個別順序佇列。 如果觸發這類規則以在剛建立的事件上執行(由另一個自動化規則所做的變更),則只有在根據建立觸發程式的所有適用規則都已執行之後,才會執行這些規則。

    執行順序和優先順序的注意事項

    • 在自動化規則中設定 訂單 號碼會決定其執行順序。
    • 每個觸發程式類型都會維護自己的佇列。
    • 針對在 Azure 入口網站 中建立的規則,訂單欄位會自動填入相同觸發程式類型之現有規則所使用的最高數目之後的數位。
    • 不過,對於以其他方式建立的規則(命令行、API 等), 必須手動指派訂單 號碼。
    • 沒有任何驗證機制可防止多個規則具有相同的訂單號碼,即使在相同的觸發程式類型內也一樣。
    • 如果您不在意它們執行的順序,您可以允許相同觸發程式類型的兩個或多個規則具有相同的訂單號碼。
    • 對於具有相同訂單號碼的相同觸發程式類型規則,執行引擎會隨機選取將依哪個順序執行哪些規則。
    • 對於不同事件觸發程式類型的規則,具有事件建立觸發程式類型的所有適用規則都會先執行(根據其訂單號碼),然後才執行事件更新觸發程式類型的規則(根據其訂單號碼)。
    • 規則一律會循序執行,絕不平行執行。

    注意

    在上線至統一安全性作業平台之後,如果在五到十分鐘內對相同事件進行多項變更,則會將單一更新傳送至 Microsoft Sentinel,且只有最新的變更。

    常見使用案例和個案

    事件工作

    自動化規則可讓您根據您在自動化規則中設定的條件,以及基礎分析規則中威脅偵測邏輯中設定的條件,建立可套用至單一事件、跨事件群組或所有事件的工作,來標準化和正式化事件分級、調查和補救所需的步驟。 套用至事件的工作會出現在事件的頁面中,因此您的分析師擁有他們所需的整個動作清單,就在事件前面,而且不會錯過任何關鍵步驟。

    事件和警示觸發的自動化

    自動化規則可以藉由建立或更新事件以及建立警示來觸發。 這些出現專案全都可以觸發自動化回應鏈結,其中包括劇本(需要特殊許可權)。

    觸發 Microsoft 提供者的劇本

    自動化規則可將這些規則套用至從警示建立的事件,以自動化 Microsoft 安全性警示的處理方式。 自動化規則可以呼叫劇本(需要特殊許可權),並以其所有詳細數據將事件傳遞給它們,包括警示和實體。 一般而言,Microsoft Sentinel 最佳做法會指示使用事件佇列作為安全性作業的焦點。

    Microsoft 安全性警示包括下列各項:

    • Microsoft Entra ID Protection
    • Microsoft Defender for Cloud
    • Microsoft Defender for Cloud Apps
    • 適用於 Office 365 的 Microsoft Defender
    • 適用於端點的 Microsoft Defender
    • 適用於身分識別的 Microsoft Defender
    • 適用於 IoT 的 Microsoft Defender

    單一規則中的多個循序劇本/動作

    您現在可以完全控制單一自動化規則中動作和劇本的執行順序。 您也可以控制自動化規則本身的執行順序。 這可讓您大幅簡化劇本,將它們縮減為單一工作或一系列小型、直接的工作,並在不同的自動化規則中將這些小型劇本結合在不同的組合中。

    一次將一個劇本指派給多個分析規則

    如果您有想要在所有分析規則上自動化的工作,例如,在外部票證系統中建立支援票證,您可以將單一劇本套用至任何或所有分析規則,包括任何未來的規則。 這使得簡單但重複的維護和管家工作少得多。

    自動指派事件

    您可以自動將事件指派給正確的擁有者。 如果您的SOC有一位專門從事特定平臺的分析師,則任何與該平臺相關的事件都可以自動指派給該分析師。

    事件隱藏

    您可以使用規則來自動解決已知為 false/良性陽性的事件,而不需要使用劇本。 例如,執行滲透測試、執行排程的維護或升級,或測試自動化程式時,可能會建立SOC想要忽略的許多誤判事件。 限時自動化規則可以在建立時自動關閉這些事件,同時以產生原因的描述元標記這些事件。

    限時自動化

    您可以新增自動化規則的到期日。 事件歸並可能以外的案例需要限時自動化。 您可能想要針對特定時間範圍將特定類型的事件指派給特定使用者(例如,實習生或顧問)。 如果事先知道時間範圍,您就可以在相關性結束時有效地使規則停用,而不需要記住這樣做。

    自動標記事件

    您可以將任意文字標籤自動新增至事件,以根據您選擇的任何準則來分組或分類事件。

    更新觸發程式新增的使用案例

    既然對事件所做的變更可以觸發自動化規則,則有更多案例可供自動化使用。

    事件演進時擴充自動化

    當事件調查進行時,您可以使用更新觸發程式將上述許多使用案例套用至事件,而分析師會新增警示、批註和標記。 控制事件中的警示群組。

    更新協調流程和通知

    對事件進行變更時,通知您的各種小組和其他人員,因此不會錯過任何重大更新。 將事件指派給新擁有者,並通知新擁有者指派,以呈報事件。 控制事件重新開啟的時機和方式。

    維護與外部系統的同步處理

    如果您在建立事件時使用劇本在外部系統中建立票證,您可以使用更新觸發程式自動化規則來呼叫將更新這些票證的劇本。

    自動化規則執行

    根據您決定的順序自動化規則會循序執行。 在上一個自動化規則完成其執行之後,就會執行每個自動化規則。 在自動化規則內,所有動作都會依定義的順序循序執行。

    根據下列準則,自動化規則內的劇本動作在某些情況下可能會以不同的方式處理:

    劇本運行時間 自動化規則會前進到下一個動作...
    小於一秒 劇本完成之後立即
    不到兩分鐘 劇本開始執行后最多兩分鐘,
    但在劇本完成之後不超過 10 秒
    超過兩分鐘 劇本開始執行兩分鐘后,
    無論是否已完成

    執行劇本之自動化規則的許可權

    當 Microsoft Sentinel 自動化規則執行劇本時,它會使用特別獲授權執行此動作的特殊 Microsoft Sentinel 服務帳戶。 使用此帳戶 (而不是您的使用者帳戶) 可提升服務的安全性層級。

    為了讓自動化規則可執行劇本,必須將劇本所在資源群組的明確權限授與此帳戶。 這樣一來,所有自動化規則都可以在該資源群組中執行任何劇本。

    當您設定自動化規則並新增 執行劇本 動作時,劇本的下拉式清單隨即出現。 Microsoft Sentinel 沒有許可權的劇本會顯示為無法使用(「灰色」)。 您可以選取 [管理劇本許可權 ] 連結,將 Microsoft Sentinel 許可權授與劇本的資源群組。 若要授與這些許可權,您需要這些資源群組的 擁有者 許可權。 請參閱完整許可權需求

    多租用戶架構中的許可權

    自動化規則完全支援跨工作區和 多租使用者部署 (在多租用戶的情況下,使用 Azure Lighthouse)。

    因此,如果您的 Microsoft Sentinel 部署使用多租用戶架構,您可以在一個租用戶中擁有自動化規則,以執行位於不同租用戶的劇本,但 Sentinel 執行劇本的許可權必須在劇本所在的租使用者中定義,而不是定義自動化規則的租使用者中。

    在受控安全性服務提供者 (MSSP) 的特定案例中,服務提供者租使用者會在客戶租使用者中管理 Microsoft Sentinel 工作區,有兩種特定案例值得注意:

    • 在客戶租使用者中建立的自動化規則會設定為執行位於服務提供者租使用者中的劇本。

      這種方法通常用來保護劇本中的智慧財產權。 此案例不需要任何特殊專案才能運作。 當您在自動化規則中定義劇本動作時,您可以進入在劇本所在的相關資源群組上授與 Microsoft Sentinel 許可權的階段(使用 [管理劇本許可權 ] 面板),您會看到屬於服務提供者租使用者的資源群組, 您可以在您可以選擇的資源群組中。 請參閱這裡概述的整個程式。

    • 在客戶工作區中建立的自動化規則(登入服務提供者租使用者時)已設定為執行位於客戶租用戶的劇本。

      不需要保護智慧財產權時,會使用此組態。 若要讓此案例運作,執行劇本的許可權必須授與這兩個租使用者中的 Microsoft Sentinel。 在客戶租使用者中,您會在 [ 管理劇本許可權 ] 面板中授與他們,就像在上述案例中一樣。 若要授與服務提供者租使用者中相關許可權,您必須在劇本所在的資源群組上新增額外的 Azure Lighthouse 委派,以 Microsoft Sentinel 自動化參與者角色,將存取權授與 Azure Security Insights 應用程式。

      此案例如下所示:

      多租使用者自動化規則架構

      請參閱 我們的設定指示

    建立和管理自動化規則

    您可以 根據您的特定需求和使用案例,從 Microsoft Sentinel 或統一安全性作業平臺中的不同區域建立和管理自動化規則

    • 自動化頁面

      自動化規則可以在自動化頁面的 [自動化規則] 索引標籤下集中管理。您可以從該處建立新的自動化規則,並編輯現有的規則。 您也可以拖曳自動化規則來變更執行順序,並將其啟用或停用。

      在 [ 自動化 ] 頁面中,您會看到工作區上定義的所有規則,以及其狀態 (Enabled/Disabled),以及套用至哪些分析規則。

      當您需要將套用至 Microsoft Defender 全面偵測回應 事件或 Microsoft Sentinel 中許多分析規則的自動化規則時,請直接在 [自動化] 頁面中建立它。

    • 分析規則精靈

      在 Microsoft Sentinel 分析規則精靈的 [自動化回應] 索引標籤中,您可以在 [自動化規則] 下檢視、編輯和建立適用於精靈中建立或編輯之特定分析規則的自動化規則。

      您會注意到,當您從這裡建立自動化規則時,[建立新的自動化規則] 面板會將分析規則條件顯示為無法使用,因為此規則已設定為只套用至您在精靈中編輯的分析規則。 您仍然可以使用所有其他設定選項。

    • 事件頁面

      您也可以從 [事件 ] 頁面建立自動化規則,以響應單一週期性事件。 建立自動關閉「嘈雜」事件的隱藏規則,這非常有用。

      您會注意到,當您從這裡建立自動化規則時,[ 建立新的自動化規則 ] 面板已填入事件值的所有欄位。 這會將規則命名為與事件相同的名稱、將其套用至已產生事件的分析規則,以及使用事件中的所有可用實體作為規則的條件。 這預設也會建議隱藏 (關閉) 動作,並建議規則的到期日。 您可以視需要新增或移除條件和動作,以及變更到期日。

    下一步

    在本檔中,您已瞭解自動化規則如何協助您集中管理 Microsoft Sentinel 事件和警示的回應自動化。