使用自動化規則在 Microsoft Sentinel 中建立事件工作
本文說明如何使用自動化規則來建立事件工作清單,以標準化 Microsoft Sentinel 中的分析師工作流程程式。
事件工作 不僅可以由自動化規則自動建立,也可以由劇本,以及手動、臨機操作,從事件內建立。
不同角色的使用案例
本文說明適用於SOC經理、資深分析師和自動化工程師的下列案例:
下列隨附文章將說明另一個這類案例:
在下列連結的另一篇文章中,說明將更多適用於SOC分析師的案例:
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
需要 Microsoft Sentinel 回應程式角色才能建立自動化規則,以及檢視和編輯事件,這兩者都需要新增、檢視和編輯工作。
使用事件工作動作檢視自動化規則
在 [ 自動化 ] 頁面中,您可以篩選自動化規則的檢視,只查看已 定義 [新增工作 動作] 的檢視。
選取 [ 動作 ] 篩選條件。
取消標記 [ 選取所有 ] 複選框。
向下捲動並標示 [ 新增工作 ] 複選框。
選取 [ 確定 ],並查看結果。
這些是將工作新增至事件的自動化規則。 [ 分析規則名稱 ] 資料行會告訴您這些自動化規則所設定的分析規則,因此您將大致瞭解哪些事件受到影響。
注意
若要確切瞭解自動化規則是否會套用至特定事件,您必須開啟規則,以查看除了分析規則條件之外是否有定義任何其他條件。 如果已定義其他條件,受影響事件的範圍將會相應縮小。
使用自動化規則將工作新增至事件
在 [ 自動化 ] 頁面中,選取 [+ 建立 ],然後選取 [ 自動化規則]。
[ 建立新的自動化規則 ] 面板會在右側開啟。
為您的自動化規則指定描述其用途的名稱。選取 [事件建立 為觸發程式時] (您也可以使用 [事件更新時] 。
新增 條件 以判斷要新增哪些事件的新工作。
例如,依 分析規則名稱進行篩選:
您可能會想要根據分析規則偵測到的威脅類型或一組需要根據特定工作流程處理的分析規則,將工作新增至事件。 從下拉式清單中搜尋並選取相關的分析規則。
或者,您可能想要在所有類型的威脅中新增與事件相關的工作(在此情況下,保留預設的 [全部 ] 選項。
不論是哪一種情況,您都可以新增更多條件,以縮小將套用自動化規則的事件範圍。 深入瞭解如何將 進階條件新增至自動化規則。
您需要考慮的一件事是,工作出現在事件中的順序取決於工作的建立時間。 您可以設定自動化規則的順序,讓新增所有事件所需工作的規則會先執行,然後才執行新增特定分析規則所產生事件所需的任何規則。
在 [動作] 底下,選取 [新增工作]。
針對每個任務,在 [任務標題] 字段中輸入標題 ,然後 (選擇性地) 選取 [+ 新增描述] 以開啟描述 字段。
事件的工作清單面板中預設只會顯示任務標題。 只有在展開工作專案時,才會顯示工作的描述。在描述欄位中,您可以為工作新增自由格式描述,包括影像、連結和 RTF 格式設定(請參閱下列範例中的超連結、編號清單和程式代碼區塊格式化文字)。
選取 [+ 新增動作 ] 並重複最後三個步驟,將更多工作新增至相同的事件群組。
系統會根據自動化規則中新增工作動作的順序,建立工作並新增至事件。
完成其餘步驟、 規則到期 和 順序,然後選取結尾的 [ 套用 ],以完成建立自動化規則。 如需完整詳細數據,請參閱 建立和使用 Microsoft Sentinel 自動化規則來管理回應 。
關於 [順序 ] 設定:工作出現在事件中的順序取決於兩件事:
- 自動化規則的執行順序,取決於 [順序] 設定中的數位,以及...
- 在每個自動化規則內定義的新增工作動作順序。