Delen via

Geavanceerde voorwaarden toevoegen aan automatiseringsregels van Microsoft Sentinel

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt uitgelegd hoe u geavanceerde 'Or'-voorwaarden toevoegt aan automatiseringsregels in Microsoft Sentinel, voor een effectievere sortering van incidenten.

Voeg 'Of'-voorwaarden toe in de vorm van voorwaardegroepen in de sectie Voorwaarden van uw automatiseringsregel.

Voorwaardegroepen kunnen twee niveaus van voorwaarden bevatten:

  • Eenvoudig: Ten minste twee voorwaarden, die elk worden gescheiden door een OR operator:

  • Samengesteld: Meer dan twee voorwaarden, met ten minste twee voorwaarden aan ten minste één kant van een OR operator:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • enzovoort.

U kunt zien dat deze mogelijkheid u grote kracht en flexibiliteit biedt bij het bepalen wanneer regels worden uitgevoerd. Het kan ook uw efficiëntie aanzienlijk verhogen door u in staat te stellen veel oude automatiseringsregels te combineren tot één nieuwe regel.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Een voorwaardengroep toevoegen

Aangezien voorwaardegroepen veel meer vermogen en flexibiliteit bieden bij het maken van automatiseringsregels, kunt u het beste uitleggen hoe u dit doet door enkele voorbeelden te presenteren.

We gaan een regel maken waarmee de ernst van een binnenkomend incident wordt gewijzigd van wat het ook is in High, ervan uitgaande dat deze voldoet aan de voorwaarden die we gaan instellen.

  1. Selecteer voor Microsoft Sentinel in Azure Portal de pagina Configuratieautomatisering>. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel-configuratieautomatisering>>.

  2. Selecteer op de pagina Automation de optie Automation-regel maken > op de knopbalk bovenaan.

    Zie de algemene instructies voor het maken van een automatiseringsregel voor meer informatie.

  3. Geef de regel een naam: 'Triage: Ernst wijzigen in Hoog'

  4. Selecteer de trigger Wanneer een incident wordt gemaakt.

  5. Als u onder Voorwaarden de voorwaarden voor de naam van de incidentprovider en analyseregel ziet, laat u deze staan zoals ze zijn. Deze voorwaarden zijn niet beschikbaar als uw werkruimte is toegevoegd aan de Microsoft Defender-portal. In beide gevallen voegen we later in dit proces meer voorwaarden toe.

  6. Selecteer onder Acties de ernst wijzigen in de vervolgkeuzelijst.

  7. Selecteer Hoog in de vervolgkeuzelijst die wordt weergegeven onder Ernst wijzigen.

Op de volgende tabbladen ziet u bijvoorbeeld voorbeelden van een werkruimte die is toegevoegd aan de Defender-portal, in de Azure- of Defender-portals, en een werkruimte die niet is:

Voorbeeld 1: eenvoudige voorwaarden

In dit eerste voorbeeld maken we een eenvoudige voorwaardegroep: Als voorwaarde A of voorwaarde B waar is, wordt de regel uitgevoerd en wordt de ernst van het incident ingesteld op Hoog.

  1. Selecteer de optie + Expander toevoegen en kies Voorwaardegroep (Of) in de vervolgkeuzelijst.

    Schermopname van het toevoegen van een voorwaardegroep aan de voorwaardenset van een automatiseringsregel.

  2. U ziet dat er twee sets voorwaardevelden worden weergegeven, gescheiden door een OR operator. Dit zijn de bovenstaande voorwaarden 'A' en 'B': Als A of B waar is, wordt de regel uitgevoerd.
    (Verwar niet alle verschillende lagen van 'Add'-koppelingen. Dit wordt allemaal uitgelegd.)

    Schermopname van velden voor lege voorwaardegroepen.

  3. Laten we beslissen wat deze voorwaarden zijn. Dat wil zeggen, welke twee verschillende omstandigheden ertoe leiden dat de ernst van het incident wordt gewijzigd in Hoog? Laten we het volgende voorstellen:

    • Als de bijbehorende MITRE ATT&CK-tactieken van het incident een van de vier zijn die we in de vervolgkeuzelijst hebben geselecteerd (zie de onderstaande afbeelding), moet de ernst worden verhoogd naar Hoog.

    • Als het incident een hostnaamentiteit met de naam 'SUPER_SECURE_STATION' bevat, moet de ernst worden verhoogd naar Hoog.

    Schermopname van het toevoegen van eenvoudige OR-voorwaarden aan een automatiseringsregel.

    Zolang ten minste ÉÉN van deze voorwaarden waar is, worden de acties die we in de regel definiëren uitgevoerd, waarbij de ernst van het incident wordt gewijzigd in Hoog.

Voorbeeld 1A: Een OR-waarde binnen één voorwaarde toevoegen

Stel dat we niet één hebben, maar twee supergevoelige werkstations waarvan we incidenten met hoge ernst willen maken. We kunnen nog een waarde toevoegen aan een bestaande voorwaarde (voor alle voorwaarden op basis van entiteitseigenschappen) door het dobbelsteenpictogram rechts van de bestaande waarde te selecteren en de nieuwe waarde hieronder toe te voegen.

Schermopname van het toevoegen van meer waarden aan één voorwaarde.

Voorbeeld 1B: Meer OF-voorwaarden toevoegen

Stel dat deze regel moet worden uitgevoerd als aan een van de drie (of meer) voorwaarden wordt voldaan. Als A of B of C waar is, wordt de regel uitgevoerd.

  1. Herinnert u zich al die 'Add'-koppelingen? Als u een andere OR-voorwaarde wilt toevoegen, selecteert u de +Toevoegen die is verbonden door een regel aan de OR operator.

    Schermopname van het toevoegen van een andere OR-voorwaarde aan een automatiseringsregel.

  2. Vul nu de parameters en waarden van deze voorwaarde in op dezelfde manier als de eerste twee.

    Schermopname van een andere OR-voorwaarde die is toegevoegd aan een automatiseringsregel.

Voorbeeld 2: samengestelde omstandigheden

Nu besluiten we dat we wat meer kieskeurig zullen zijn. We willen meer voorwaarden toevoegen aan elke kant van onze oorspronkelijke OF-voorwaarde. Dat wil wel dat de regel wordt uitgevoerd als A en B waar zijn, OF als C en D waar zijn.

  1. Als u een voorwaarde wilt toevoegen aan één zijde van een OR-voorwaardegroep, selecteert u de +Koppeling toevoegen direct onder de bestaande voorwaarde, aan dezelfde kant van de OR operator (in hetzelfde blauw gearceerde gebied) waaraan u de nieuwe voorwaarde wilt toevoegen.

    Schermopname van het toevoegen van een samengestelde voorwaarde aan een automatiseringsregel.

    Er wordt een nieuwe rij toegevoegd onder de bestaande voorwaarde (in hetzelfde blauw gearceerde gebied), gekoppeld door een AND operator.

    Schermopname van een lege rij met nieuwe voorwaarden in automatiseringsregels.

  2. Vul de parameters en waarden van deze voorwaarde in op dezelfde manier als de anderen.

    Schermopname van nieuwe voorwaardevelden die moeten worden ingevuld om toe te voegen aan automatiseringsregels.

  3. Herhaal de vorige twee stappen om een AND-voorwaarde toe te voegen aan beide zijden van de GROEP OR-voorwaarde.

    Schermopname van het toevoegen van meerdere samengestelde voorwaarden aan een automatiseringsregel.

Dat is het! U kunt wat u hier hebt geleerd gebruiken om meer voorwaarden en voorwaardegroepen toe te voegen, met behulp van verschillende combinaties van AND en OR operators, om krachtige, flexibele en efficiënte automatiseringsregels te maken om uw SOC echt te helpen soepel te werken en uw reactie- en oplossingstijden te verlagen.

Volgende stappen

In dit document hebt u geleerd hoe u voorwaardegroepen toevoegt met behulp van OR operators voor automatiseringsregels.