Erstellen von Automatisierungsregeln
Automatisierungsregeln sind eine Möglichkeit, die Automatisierung der Vorfallbehandlung zentral zu verwalten, sodass Sie einfache Automatisierungsaufgaben ohne Playbooks ausführen können. Automatisierungsregeln ermöglichen Ihnen beispielsweise, Incidents automatisch den richtigen Personen zuzuweisen, Incidents zu taggen, um sie zu klassifizieren, den Status von Incidents zu ändern und sie zu schließen. Mit Automatisierungsregeln können Sie auch Reaktionen für mehrere Analyseregeln gleichzeitig automatisieren, die Reihenfolge der ausgeführten Aktionen steuern und Playbooks für Fälle ausführen, in denen komplexere Automatisierungsaufgaben erforderlich sind. Kurz gesagt optimieren Automatisierungsregeln die Verwendung der Automatisierung in Microsoft Sentinel und ermöglichen es Ihnen, komplexe Workflows für Ihre Prozesse zur Orchestrierung von Vorfällen zu vereinfachen.
Erstellen und Verwalten von Automatisierungsregeln
Sie können Automatisierungsregeln von verschiedenen Punkten in der Microsoft Sentinel Umgebung aus erstellen und verwalten, abhängig von Ihrem speziellen Bedarf und Anwendungsfall.
Automatisierung
Automatisierungsregeln können im neuen Blade Automatisierung (das das Blade Playbooks ersetzt) auf der Registerkarte Automatisierungsregeln zentral verwaltet werden. (Sie können jetzt auch Playbooks in diesem Blade unter der Registerkarte Playbooks verwalten.) Von dort aus können Sie neue Automatisierungsregeln erstellen und die vorhandenen Regeln bearbeiten. Sie können auch Automatisierungsregeln verschieben, um die Reihenfolge der Ausführung zu ändern, und sie aktivieren oder deaktivieren.
Auf dem Blatt „Automatisierung“ werden alle Regeln, die im Arbeitsbereich definiert sind, zusammen mit Ihrem Status (aktiviert/deaktiviert) und den Analyseregeln angezeigt, auf die Sie angewandt werden.
Wenn Sie eine Automatisierungsregel benötigen, die auf viele Analyseregeln angewendet wird, erstellen Sie Sie direkt im Automatisierungs- Blade. Wählen Sie im oberen Menü „Neue Regel erstellen und hinzufügen“ aus. Dadurch wird der Bereich „Neue Automatisierungsregel erstellen“ geöffnet. Von hier aus haben Sie die Möglichkeit, die Regel flexibel zu konfigurieren: Sie können Sie auf alle Analyse Regeln (einschließlich zukünftiger) anwenden und die größtmögliche Anzahl von Bedingungen und Aktionen definieren.
Analyseregel-Assistent
In der Registerkarte automatisierte Antwort des Analyseregel-Assistenten können Sie Automatisierungsregeln anzeigen, verwalten und erstellen, die für die bestimmte Analyseregel gelten, die im Assistenten erstellt oder bearbeitet wird.
Wenn Sie „Erstellen“ und einen der Regeltypen (Regel für geplante Abfragen oder Regel für die Erstellung von Microsoft-Incidents) im oberen Menü auf dem Blatt „Analyse“ oder wenn Sie eine vorhandene Analyseregel und dann „Bearbeiten“ auswählen, wird der Regel-Assistent geöffnet. Wenn Sie die Registerkarte „Automatisierte Antwort“ auswählen, wird ein Bereich mit der Bezeichnung „Incidentautomatisierung“ angezeigt, in dem die Automatisierungsregeln angezeigt werden, die zurzeit für diese Regel gelten. Sie können eine vorhandene Automatisierungsregel auswählen, um Sie zu bearbeiten, oder „Neu hinzufügen“ auswählen, um ein neue zu erstellen.
Sie werden feststellen, dass beim Erstellen der Automatisierungsregel von hier aus im Bedienfeld Neue Automatisierungsregel erstellen die Bedingung für diese Analyseregel als nicht verfügbar angezeigt wird, da diese Regel bereits so eingestellt ist, dass sie nur für die Analyseregel gilt, die Sie im Assistenten bearbeiten. Alle anderen Konfigurationsoptionen sind weiterhin verfügbar.
Blatt für Incidents
Sie können auch eine Automatisierungsregel über das Blatt Incidents erstellen, um auf einen einzelnen, wiederkehrenden Incident zu reagieren. Dies ist hilfreich beim Erstellen einer Unterdrückungsregel zum automatischen Schließen „lauter“ Vorfälle. Wählen Sie einen Incident aus der Warteschlange und dann im oberen Menü „Automatisierungsregel erstellen“ aus.
Sie werden feststellen, dass der Bereich neue Automatisierungsregel erstellen alle Felder mit Werten aus dem Incident aufgefüllt hat. Sie benennt die Regel mit demselben Namen wie den Vorfall, wendet sie auf die Analyseregel an, die den Vorfall erzeugt hat, und verwendet alle verfügbaren Entitäten im Incident als Bedingungen der Regel. Außerdem wird standardmäßig eine Unterdrückungsaktion (Schließen) vorgeschlagen, und es wird ein Ablaufdatum für die Regel vorgeschlagen. Sie können Bedingungen und Aktionen hinzufügen oder entfernen und das Ablaufdatum ändern, wie Sie möchten.
Komponenten einer Automatisierungsregel
Automatisierungsregeln bestehen aus mehreren Komponenten:
Trigger: Automatisierungsregeln werden durch die Erstellung eines Incidents ausgelöst.
Zu überprüfen: Vorfälle werden durch Analyseregeln aus Alarmen erstellt, von denen es mehrere Typen gibt, wie im Tutorial Erkennen von Bedrohungen mit integrierten Analyseregeln in Microsoft Sentinel erläutert.
Bedingungen: Es können komplexe Bedingungssätze definiert werden, die bestimmen, wann Aktionen (siehe unten) ausgeführt werden sollen. Diese Bedingungen basieren in der Regel auf den Zuständen oder Werten von Attributen von Incidents und deren Entitäten, und Sie können die Operatoren AND, OR, NOT und CONTAINS einschließen.
Aktionen: Es können Aktionen definiert werden, die ausgeführt werden, wenn die Bedingungen (siehe oben) erfüllt sind. Sie können viele Aktionen in einer Regel definieren, und Sie können die Reihenfolge wählen, in der sie ausgeführt werden (siehe unten). Die folgenden Aktionen können mithilfe von Automatisierungsregeln definiert werden, ohne dass die erweiterte Funktionalität eines Playbookserforderlich ist:
Ändern des Status eines Incidents, sodass der Workflow auf dem neuesten Stand bleibt.
Wenn Sie zu „geschlossen“ wechseln, wird der Schließungsgrund angegeben und ein Kommentar hinzugefügt. Dies hilft Ihnen dabei, ihre Leistung und Effektivität zu verfolgen und eine Feinabstimmung durchführen, um falsch positive Ergebnisse zu reduzieren.
Ändern des Schweregrades eines Incidents: Basierend auf dem Vorhandensein, der Abwesenheit, den Werten oder den Attributen der am Incident beteiligten Entitäten können Sie eine Neubewertung und Neupriorisierung vornehmen.
Zuweisung eines Incidents zu einem Besitzer: Dies hilft Ihnen, Incidenttypen an die Mitarbeiter*innen weiterzuleiten, die am besten geeignet sind, sie zu bearbeiten, oder aber an das am schnellsten verfügbare Personal.
Hinzufügen eines Tags zu einem Incident: Dies ist hilfreich bei der Klassifizierung von Incidents nach Betreff, Angreifer oder nach einem anderen gemeinsamen Nenner.
Außerdem können Sie eine Aktion zum Ausführen eines Playbooks definieren, um komplexere Antwortaktionen zu erstellen, die auch externe Systeme involvieren können. Nur durch den Incidenttrigger aktivierte Playbooks sind für Automatisierungsregeln verfügbar. Sie können eine Aktion so definieren, dass sie mehrere Playbooks oder Kombinationen von Playbooks und anderen Aktionen umfasst, sowie die Reihenfolge, in der sie ausgeführt werden sollen.
Playbooks, die eine der Versionen von Logic Apps (Standard oder Verbrauch) verwenden, stehen zur Ausführung aufgrund von Automatisierungsregeln zur Verfügung.
Ablaufdatum: Sie können ein Ablaufdatum für eine Automatisierungsregel definieren. Die Regel wird nach diesem Datum deaktiviert. Dies ist nützlich für die Behandlung (d. h. das Schließen) von "Rausch"-Incidents, die durch geplante, zeitlich begrenzte Aktivitäten wie Penetrationstests verursacht werden.
Reihenfolge: Sie können die Reihenfolge definieren, in der die Automatisierungsregeln ausgeführt werden. Spätere Automatisierungsregeln bewerten die Bedingungen des Incidents entsprechend seines Zustands, nachdem sie von vorherigen Automatisierungsregeln beeinflusst wurden.
Wenn z. B. die „Erste Automatisierungsregel“ den Schweregrad eines Vorfalls von „Mittel“ auf „Niedrig“ gesetzt hat und die "Zweite Automatisierungsregel" so definiert ist, dass sie nur bei Vorfällen mit mittlerem oder höherem Schweregrad ausgeführt wird, wird sie bei diesem Vorfall nicht ausgeführt.