Vytvoření pravidel automatizace

  • 3 min

Pravidla automatizace představují způsob, jak centrálně spravovat automatizaci zpracování incidentů, což vám umožní provádět jednoduché úlohy automatizace bez použití playbooků. Pravidla automatizace například umožňují automaticky přiřazovat incidenty správným pracovníkům, označovat incidenty, které je klasifikují, a měnit stav incidentů a zavřít je. Pravidla automatizace můžou také automatizovat odpovědi na několik analytických pravidel najednou, řídit pořadí spuštěných akcí a spouštět playbooky pro ty případy, kdy jsou potřeba složitější úlohy automatizace. Stručně řečeno, pravidla automatizace zjednodušují používání automatizace v Microsoft Sentinelu, což vám umožní zjednodušit složité pracovní postupy pro procesy orchestrace incidentů.

Vytváření a správa pravidel automatizace

Pravidla automatizace můžete vytvářet a spravovat z různých bodů v prostředí Microsoft Sentinelu v závislosti na konkrétním případě potřeby a použití.

Okno Automatizace

Pravidla automatizace je možné centrálně spravovat v novém okně Automation (která nahrazuje okno Playbooky) na kartě Pravidla automatizace. (V tomto okně můžete také spravovat playbooky na kartě Playbooky.) Odtud můžete vytvořit nová pravidla automatizace a upravit stávající pravidla. Pravidla automatizace můžete také přetáhnout, aby se změnilo pořadí provádění, a můžete je povolit nebo zakázat.

V okně Automation uvidíte všechna pravidla definovaná v pracovním prostoru spolu se stavem (Povoleno/Zakázáno) a na jaká analytická pravidla se použijí.

Pokud potřebujete pravidlo automatizace, které bude platit pro mnoho analytických pravidel, vytvořte ho přímo v okně Automation. V horní nabídce vyberte Vytvořit a přidat nové pravidlo, které otevře panel Vytvořit nové pravidlo automatizace. Odsud máte úplnou flexibilitu při konfiguraci pravidla: můžete ho použít na všechna analytická pravidla (včetně budoucích) a definovat nejširší škálu podmínek a akcí.

Průvodce analytickým pravidlem

Na kartě Automatizovaná odpověď v průvodci analytickým pravidlem můžete zobrazit, spravovat a vytvářet pravidla automatizace, která se vztahují na konkrétní analytické pravidlo, které se vytváří nebo upravuje v průvodci.

Když v horní nabídce v okně Analýza vyberete Vytvořit a jeden z typů pravidel (pravidlo naplánovaného dotazu nebo pravidlo vytvoření incidentu Microsoftu), nebo pokud vyberete existující analytické pravidlo a vyberete Upravit, otevřete průvodce pravidlem. Když vyberete kartu Automatizovaná odpověď, zobrazí se část s názvem Automatizace incidentů, ve které se zobrazí pravidla automatizace, která se na toto pravidlo aktuálně vztahují. Můžete vybrat existující pravidlo automatizace, které chcete upravit, nebo můžete vybrat Přidat nové a vytvořit nové.

Všimněte si, že při vytváření pravidla automatizace se na panelu Vytvořit nové pravidlo automatizace zobrazuje podmínka analytického pravidla jako nedostupná, protože toto pravidlo je už nastavené tak, aby platilo jenom pro analytické pravidlo, které upravujete v průvodci. Všechny ostatní možnosti konfigurace jsou pro vás stále dostupné.

Okno Incidenty

Můžete také vytvořit pravidlo automatizace z okna Incidenty, abyste mohli reagovat na jeden opakovaný incident. To je užitečné při vytváření pravidla potlačení pro automatické zavření "hlučných" incidentů. Vyberte incident z fronty a v horní nabídce vyberte Vytvořit pravidlo automatizace.

Všimněte si, že panel Vytvořit nové pravidlo automatizace naplnil všechna pole hodnotami z incidentu. Pojmenuje pravidlo stejným názvem jako incident, použije ho na analytické pravidlo, které incident vygenerovalo, a jako podmínky pravidla použije všechny dostupné entity v incidentu. Ve výchozím nastavení navrhuje také akci potlačení (uzavření) a navrhne datum vypršení platnosti pravidla. Můžete přidat nebo odebrat podmínky a akce a změnit datum vypršení platnosti podle potřeby.

Komponenty pravidla automatizace

Pravidla automatizace se skládají z několika komponent:

  • Trigger: Pravidla automatizace se aktivují vytvořením incidentu.

    Ke kontrole – incidenty se vytvářejí z upozornění analytickými pravidly, z nichž existuje několik typů, jak je vysvětleno v kurzu Detekce hrozeb pomocí předdefinovaných analytických pravidel v Microsoft Sentinelu.

  • Podmínky: Komplexní sady podmínek je možné definovat tak, aby se řídily, kdy se mají spustit akce (viz níže). Tyto podmínky jsou obvykle založeny na stavech nebo hodnotách atributů incidentů a jejich entit a mohou zahrnovat operátory AND/OR/NOT/CONTAINS.

  • Akce: Akce lze definovat, aby se spustily, když jsou splněny podmínky (viz výše). V pravidlu můžete definovat mnoho akcí a můžete zvolit pořadí, ve kterém se budou spouštět (viz níže). Následující akce je možné definovat pomocí pravidel automatizace, aniž by bylo nutné provádět pokročilé funkce playbooku:

    • Změna stavu incidentu a udržování pracovního postupu v aktualizovaném stavu

      Při změně na "uzavřeno" zadejte důvod uzavření a přidání komentáře. To vám pomůže sledovat výkon a efektivitu a doladit, abyste snížili falešně pozitivní výsledky.

    • Změna závažnosti incidentu – můžete znovu vyhodnotit a přepsat na základě přítomnosti, nepřítomnosti, hodnot nebo atributů entit zapojených do incidentu.

    • Přiřazení incidentu vlastníkovi – to vám pomůže směrovat typy incidentů na pracovníky, kteří jsou nejvhodnější pro jejich řešení nebo pro ty nejpřístupnější pracovníky.

    • Přidání značky k incidentu – to je užitečné pro klasifikaci incidentů podle předmětu, podle útočníka nebo jakéhokoli jiného společného jmenovatele.

    Můžete také definovat akci pro spuštění playbooku, aby bylo možné provádět složitější akce reakce, včetně všech externích systémů. V pravidlech automatizace jsou k dispozici pouze playbooky aktivované triggerem incidentu. Můžete definovat akci, která bude obsahovat více playbooků nebo kombinací playbooků a dalších akcí a pořadí, ve kterém se budou spouštět.

    Playbooky využívající buď verzi Logic Apps (Standard, nebo Consumption), budou k dispozici ke spuštění z pravidel automatizace.

  • Datum vypršení platnosti: Datum vypršení platnosti můžete definovat u pravidla automatizace. Pravidlo bude po tomto datu zakázané. To je užitečné pro zpracování (tj. uzavření) incidentů "šumu" způsobených plánovanými, časově omezenými aktivitami, jako je penetrační testování.

  • Pořadí: Můžete definovat pořadí, ve kterém se budou pravidla automatizace spouštět. Později pravidla automatizace vyhodnotí podmínky incidentu podle jeho stavu po provedení předchozích pravidel automatizace.

    Pokud například "První pravidlo automatizace" změnilo závažnost incidentu ze střední na nízké a druhé pravidlo automatizace se definuje tak, aby se spustilo jenom u incidentů se střední nebo vyšší závažností, nespustí se u tohoto incidentu.