Sdílet prostřednictvím


Vytváření a používání pravidel automatizace Microsoft Sentinelu ke správě odezvy

Tento článek vysvětluje, jak vytvářet a používat pravidla automatizace v Microsoft Sentinelu ke správě a orchestraci reakcí na hrozby, aby se maximalizovala efektivita a efektivita soC.

V tomto článku se dozvíte, jak definovat triggery a podmínky, které určují, kdy se pravidlo automatizace spustí, různé akce, které můžete pravidlo provést, a zbývající funkce a funkce.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Návrh pravidla automatizace

Před vytvořením pravidla automatizace doporučujeme určit jeho rozsah a návrh, včetně triggeru, podmínek a akcí, které tvoří vaše pravidlo.

Určení oboru

Prvním krokem při návrhu a definování pravidla automatizace je zjištění incidentů nebo upozornění, na které se má použít. Toto určení přímo ovlivňuje způsob vytvoření pravidla.

Chcete také určit váš případ použití. Čeho se snažíte s touto automatizací dosáhnout? Zvažte následující možnosti:

  • Vytvořte pro analytiky úkoly, které budou sledovat při třídění, vyšetřování a odstraňování incidentů.
  • Potlačit hlučné incidenty. (Alternativně můžete použít jiné metody pro zpracování falešně pozitivních výsledků v Microsoft Sentinelu.)
  • Třídění nových incidentů změnou stavu Nové na Aktivní a přiřazením vlastníka
  • Označte incidenty a klasifikujte je.
  • Eskalujte incident přiřazením nového vlastníka.
  • Zavření vyřešených incidentů, zadání důvodu a přidání komentářů
  • Analyzujte obsah incidentu (výstrahy, entity a další vlastnosti) a proveďte další akce voláním playbooku.
  • Zpracování výstrahy nebo reakce na ni bez přidruženého incidentu

Určení triggeru

Chcete tuto automatizaci aktivovat při vytváření nových incidentů nebo upozornění? Nebo se incident aktualizuje?

Pravidla automatizace se aktivují při vytvoření nebo aktualizaci incidentu nebo při vytvoření výstrahy. Vzpomeňte si, že incidenty zahrnují výstrahy a že výstrahy i incidenty je možné vytvořit analytickými pravidly, z nichž existuje několik typů, jak je vysvětleno v detekci hrozeb v Microsoft Sentinelu.

Následující tabulka uvádí různé možné scénáře, které způsobují spuštění pravidla automatizace.

Typ aktivační události Události, které způsobují spuštění pravidla
Při vytvoření incidentu Portál Microsoft Defenderu:
  • Na portálu Microsoft Defenderu se vytvoří nový incident.

    Microsoft Sentinel není onboardovaný na portál Defenderu:
  • Nový incident se vytvoří analytickým pravidlem.
  • Incident se ingestuje z XDR v programu Microsoft Defender.
  • Nový incident se vytvoří ručně.
  • Při aktualizaci incidentu
  • Stav incidentu se změní (zavřeno, znovu otevřeno nebo třídění).
  • Vlastník incidentu se přiřadí nebo změní.
  • Závažnost incidentu je vyvolána nebo nižší.
  • Výstrahy se přidají do incidentu.
  • Komentáře, značky nebo taktiky se přidají do incidentu.
  • Při vytvoření výstrahy
  • Výstrahu vytvoří pravidlo naplánované služby Microsoft Sentinel nebo analytické pravidlo NRT.
  • Vytvoření pravidla automatizace

    Většina následujících pokynů platí pro všechny případy použití, pro které vytvoříte pravidla automatizace.

    Pokud chcete potlačit hlučné incidenty, zkuste zpracovat falešně pozitivní výsledky.

    Pokud chcete vytvořit pravidlo automatizace, které se použije pro konkrétní analytické pravidlo, přečtěte si téma Nastavení automatizovaných odpovědí a vytvoření pravidla.

    Vytvoření pravidla automatizace:

    1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation.

    2. Na stránce Automation v navigační nabídce Microsoft Sentinelu vyberte v horní nabídce vytvořit a zvolte pravidlo Automatizace.

    3. Otevře se panel Vytvořit nové pravidlo automatizace. Do pole Název pravidla automation zadejte název pravidla.

    Volba triggeru

    V rozevíracím seznamu Aktivační událost vyberte odpovídající aktivační událost podle okolností, pro které vytváříte pravidlo automatizace – Při vytvoření incidentu, při aktualizaci incidentu nebo při vytvoření výstrahy.

    Snímek obrazovky s výběrem triggeru vytvoření incidentu nebo aktualizace incidentu

    Definování podmínek

    Pomocí možností v oblasti Podmínky můžete definovat podmínky pro vaše pravidlo automatizace.

    • Pravidla, která vytvoříte pro vytvoření výstrahy, podporují pouze vlastnost Název analytického pravidla ve vaší podmínce. Vyberte, jestli má být pravidlo inkluzivní (obsahuje) nebo výhradní (neobsahuje) a pak v rozevíracím seznamu vyberte název analytického pravidla.

      Hodnoty názvů analytických pravidel zahrnují pouze analytická pravidla a neobsahují jiné typy pravidel, jako jsou analýzy hrozeb nebo pravidla anomálií.

    • Pravidla, která vytvoříte pro vytvoření nebo aktualizaci incidentu, podporují širokou škálu podmínek v závislosti na vašem prostředí. Tyto možnosti začínají tím, jestli je váš pracovní prostor onboardovaný na portálu Defender:

      Pokud je váš pracovní prostor onboardovaný na portálu Defender, začněte výběrem jednoho z následujících operátorů na portálu Azure nebo Defender:

      • AND: jednotlivé podmínky, které se vyhodnocují jako skupina Pravidlo se spustí, pokud jsou splněny všechny podmínky tohoto typu.

        Pokud chcete pracovat s operátorem AND, vyberte rozbalovač + Přidat a v rozevíracím seznamu zvolte Podmínka (A). Seznam podmínek je naplněn vlastnostmi incidentu a poli vlastností entity.

      • OR (označované také jako skupiny podmínek): skupiny podmínek, z nichž každá se vyhodnocuje nezávisle. Pravidlo se spustí, pokud platí jedna nebo více skupin podmínek. Informace o tom, jak pracovat s těmito složitými typy podmínek, najdete v tématu Přidání rozšířených podmínek do pravidel automatizace.

      Příklad:

      Snímek obrazovky s podmínkami pravidla automatizace při onboardingu pracovního prostoru na portálu Defender

      Pokud jste jako trigger vybrali možnost Při aktualizaci incidentu, začněte definováním podmínek a přidáním dalších operátorů a hodnot podle potřeby.

    Definování podmínek:

    1. V prvním rozevíracím seznamu vlevo vyberte vlastnost. Do vyhledávacího pole můžete začít psát libovolnou část názvu vlastnosti, abyste mohli seznam dynamicky filtrovat, abyste rychle našli, co hledáte.

      Snímek obrazovky s zadáním do vyhledávacího pole pro filtrování seznamu voleb

    2. V dalším rozevíracím seznamu napravo vyberte operátor. Snímek obrazovky s výběrem operátoru podmínky pro pravidla automatizace

      Seznam operátorů, ze které si můžete vybrat, se liší podle vybrané aktivační události a vlastnosti.

      Podmínky dostupné pomocí triggeru pro vytvoření

      Vlastnost Sada operátorů
      - Název
      - Popis
      – Všechny vlastnosti uvedené entity
        (viz podporované vlastnosti entity)
      - Rovná se/Nerovná se
      - Obsahuje/neobsahuje
      - Začíná na/Nezačíná na
      - Končí/Nekončí na
      - Značka (viz jednotlivé vs. kolekce) Každá jednotlivá značka:
      - Rovná se/Nerovná se
      - Obsahuje/neobsahuje
      - Začíná na/Nezačíná na
      - Končí/Nekončí na

      Kolekce všech značek:
      - Obsahuje/neobsahuje
      - Závažnost
      - Stav
      - Vlastní klíč podrobností
      - Rovná se/Nerovná se
      - Taktika
      - Názvy produktů upozornění
      - Vlastní hodnota podrobností
      - Název analytického pravidla
      - Obsahuje/neobsahuje

      Podmínky dostupné s triggerem aktualizace

      Vlastnost Sada operátorů
      - Název
      - Popis
      – Všechny vlastnosti uvedené entity
        (viz podporované vlastnosti entity)
      - Rovná se/Nerovná se
      - Obsahuje/neobsahuje
      - Začíná na/Nezačíná na
      - Končí/Nekončí na
      - Značka (viz jednotlivé vs. kolekce) Každá jednotlivá značka:
      - Rovná se/Nerovná se
      - Obsahuje/neobsahuje
      - Začíná na/Nezačíná na
      - Končí/Nekončí na

      Kolekce všech značek:
      - Obsahuje/neobsahuje
      - Značka (kromě výše)
      - Výstrahy
      - Komentáře
      -Přidán
      - Závažnost
      - Stav
      - Rovná se/Nerovná se
      -Změnil
      - Změněno z
      - Změněno na
      - Vlastník -Změnil
      - Aktualizováno uživatelem
      - Vlastní klíč podrobností
      - Rovná se/Nerovná se
      - Taktika - Obsahuje/neobsahuje
      -Přidán
      - Názvy produktů upozornění
      - Vlastní hodnota podrobností
      - Název analytického pravidla
      - Obsahuje/neobsahuje

      Podmínky dostupné s triggerem upozornění

      Jedinou podmínkou, kterou můžou vyhodnotit pravidla na základě triggeru vytváření upozornění, je pravidlo analýzy Microsoft Sentinelu, které výstrahu vytvořilo.

      Pravidla automatizace, která jsou založená na triggeru upozornění, se spouštějí jenom na upozorněních vytvořených službou Microsoft Sentinel.

    3. Do pole vpravo zadejte hodnotu. V závislosti na zvolené vlastnosti to může být textové pole nebo rozevírací seznam, ve kterém vyberete ze seznamu uzavřených hodnot. Můžete také přidat několik hodnot tak, že vyberete ikonu kostky napravo od textového pole.

      Snímek obrazovky s přidáním hodnot do podmínky v pravidlech automatizace

    Opět platí, že pokud chcete nastavit složité podmínky nebo s různými poli, přečtěte si článek Přidání rozšířených podmínek do pravidel automatizace.

    Podmínky založené na značkách

    Na základě značek můžete vytvořit dva druhy podmínek:

    • Podmínky s jednotlivými operátory značek vyhodnocují zadanou hodnotu pro každou značku v kolekci. Vyhodnocení platí, pokud podmínka splňuje alespoň jednu značku.
    • Podmínky s kolekcí všech operátorů značek vyhodnocují zadanou hodnotu pro kolekci značek jako jednu jednotku. Vyhodnocení platí pouze v případě, že kolekce jako celek splňuje podmínku.

    Pokud chcete přidat jednu z těchto podmínek na základě značek incidentu, proveďte následující kroky:

    1. Vytvořte nové pravidlo automatizace, jak je popsáno výše.

    2. Přidejte podmínku nebo skupinu podmínek.

    3. V rozevíracím seznamu vlastností vyberte Možnost Značka .

    4. Výběrem rozevíracího seznamu operátorů zobrazte dostupné operátory, ze které si můžete vybrat.

      Podívejte se, jak jsou operátory rozdělené do dvou kategorií, jak je popsáno dříve. Na základě toho, jak chcete, aby se značky vyhodnocovaly, pečlivě zvolte operátor.

      Další informace naleznete v tématu Tag property: individual vs. collection.

    Podmínky založené na vlastních podrobnostech

    Hodnotu vlastního detailu v incidentu můžete nastavit jako podmínku pravidla automatizace. Vzpomeňte si, že vlastní podrobnosti jsou datové body v nezpracovaných záznamech protokolu událostí, které se dají zobrazit a zobrazit v upozorněních a incidentech vygenerovaných z nich. Pomocí vlastních podrobností se můžete dostat ke skutečnému relevantnímu obsahu v upozorněních, aniž byste museli procházet výsledky dotazů.

    Přidání podmínky na základě vlastních podrobností:

    1. Vytvořte nové pravidlo automatizace, jak je popsáno výše.

    2. Přidejte podmínku nebo skupinu podmínek.

    3. V rozevíracím seznamu vlastností vyberte Klíč vlastních podrobností . V rozevíracím seznamu operátorů vyberte Rovná se nebo Nerovná se.

      Pro podmínku vlastních podrobností pocházejí hodnoty v posledním rozevíracím seznamu z vlastních podrobností, které byly uvedeny ve všech analytických pravidlech uvedených v první podmínce. Vyberte vlastní podrobnosti, které chcete použít jako podmínku.

      Snímek obrazovky s přidáním vlastního klíče podrobností jako podmínky

    4. Zvolili jste pole, které chcete vyhodnotit pro tuto podmínku. Teď zadejte hodnotu, která se zobrazí v tomto poli, která tuto podmínku vyhodnotí jako true.
      Vyberte + Přidat podmínku položky.

      Snímek obrazovky s výběrem podmínky přidat položku pro pravidla automatizace

      Řádek podmínky hodnoty se zobrazí níže.

      Snímek obrazovky s polem vlastní hodnoty podrobností, které se zobrazuje

    5. V rozevíracím seznamu operátorů vyberte Možnost Obsahuje nebo Neobsahuje . Do textového pole vpravo zadejte hodnotu, pro kterou má být podmínka vyhodnocena jako true.

      Snímek obrazovky s vyplněným polem vlastní hodnoty podrobností

    V tomto příkladu, pokud má incident vlastní podrobnosti DestinationEmail a pokud je pwned@bad-botnet.comhodnota tohoto detailu, akce definované v pravidle automatizace se spustí.

    Přidání akcí

    Zvolte akce, které má toto pravidlo automatizace provést. Mezi dostupné akce patří Přiřazení vlastníka, Změna stavu, Závažnost změn, Přidání značek a Playbook Spustit. Můžete přidat libovolný počet akcí.

    Poznámka:

    V pravidlech automatizace pomocí triggeru upozornění je k dispozici pouze akce run playbooku.

    Snímek obrazovky se seznamem akcí, které se mají vybrat v pravidle automatizace

    Podle toho, kterou akci zvolíte, vyplňte pole, která se zobrazí pro danou akci podle toho, co chcete udělat.

    Pokud přidáte akci run playbooku, zobrazí se výzva k výběru z rozevíracího seznamu dostupných playbooků.

    • Pomocí jednoho z aktivačních událostí incidentu je možné spouštět pouze playbooky, které začínají triggerem incidentu, takže se zobrazí jenom v seznamu. Podobně jsou v pravidlech automatizace pomocí triggeru upozornění k dispozici pouze playbooky, které začínají triggerem upozornění.

    • Aby bylo možné spouštět playbooky, musí být službě Microsoft Sentinel udělena explicitní oprávnění. Pokud se playbook v rozevíracím seznamu zobrazí jako nedostupný, znamená to, že Sentinel nemá oprávnění pro přístup ke skupině prostředků daného playbooku. Pokud chcete přiřadit oprávnění, vyberte odkaz Spravovat oprávnění playbooku.

      Na panelu Spravovat oprávnění , který se otevře, označte políčka skupin prostředků obsahujících playbooky, které chcete spustit, a vyberte Použít.

      Spravovat oprávnění

      Vy sami musíte mít oprávnění vlastníka pro libovolnou skupinu prostředků, ke které chcete udělit oprávnění služby Microsoft Sentinel, a musíte mít roli Přispěvatel služby Microsoft Sentinel pro libovolnou skupinu prostředků obsahující playbooky, které chcete spustit.

    • Pokud ještě nemáte playbook, který provede požadovanou akci, vytvořte nový playbook. Po vytvoření playbooku musíte ukončit proces vytváření pravidel automatizace a restartovat ho.

    Přesouvání akcí

    Pořadí akcí v pravidle můžete změnit i po jejich přidání. Výběrem modrých šipek nahoru nebo dolů vedle každé akce ji posunete o krok nahoru nebo dolů.

    Snímek obrazovky znázorňující, jak přesunout akce nahoru nebo dolů

    Dokončení vytváření pravidla

    1. Pokud chcete, aby platnost pravidla automatizace vypršela, nastavte datum vypršení platnosti a volitelně čas v části Vypršení platnosti pravidla. V opačném případě ponechte ho na neomezenou dobu.

    2. Pole Objednávka je předem vyplněno dalším dostupným číslem pro typ triggeru pravidla. Toto číslo určuje, kde se v posloupnosti pravidel automatizace (stejného typu triggeru) spouští toto pravidlo. Číslo můžete změnit, pokud chcete toto pravidlo spustit před existujícím pravidlem.

      Další informace najdete v tématu Poznámky k pořadí provádění a prioritě.

    3. Vyberte Použít. Už jste hotovi!

    Snímek obrazovky s posledním postupem vytvoření pravidla automatizace

    Aktivita pravidla automatizace auditu

    Zjistěte, jaká pravidla automatizace mohla s daným incidentem provést. Máte k dispozici úplný záznam o incidentech v tabulce SecurityIncident na stránce Protokoly na webu Azure Portal nebo na stránce Rozšířené vyhledávání na portálu Defender. Pomocí následujícího dotazu zobrazíte všechny aktivity pravidel automatizace:

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    Spouštění pravidel automatizace

    Pravidla automatizace se spouštějí postupně v pořadí, které určíte. Každé pravidlo automatizace se spustí po dokončení předchozího. V rámci pravidla automatizace se všechny akce spouštějí postupně v pořadí, v jakém jsou definované. Další informace najdete v tématu Poznámky k pořadí spouštění a prioritám.

    Akce playbooku v rámci pravidla automatizace se můžou za určitých okolností zpracovávat odlišně podle následujících kritérií:

    Čas spuštění playbooku Pravidlo automatizace přejde na další akci...
    Méně než sekunda Ihned po dokončení playbooku
    Méně než dvě minuty Až dvě minuty po spuštění playbooku,
    ale po dokončení playbooku maximálně 10 sekund
    Více než dvě minuty Dvě minuty po spuštění playbooku,
    bez ohledu na to, zda byl dokončen nebo nebyl dokončen

    Další kroky

    V tomto dokumentu jste zjistili, jak pomocí pravidel automatizace centrálně spravovat automatizaci reakcí pro incidenty a výstrahy Microsoft Sentinelu.