Automatiseringsregels maken

Voltooid

Automatiseringsregels zijn een manier om de automatisering van incidentafhandeling centraal te beheren, zodat u eenvoudige automatiseringstaken kunt uitvoeren zonder playbooks te gebruiken. Met automatiseringsregels kunt u bijvoorbeeld automatisch incidenten toewijzen aan het juiste personeel, incidenten taggen om ze te classificeren en de status van incidenten te wijzigen en deze te sluiten. Automatiseringsregels kunnen ook antwoorden voor meerdere analyseregels tegelijk automatiseren, de volgorde bepalen van acties die worden uitgevoerd en playbooks uitvoeren voor die gevallen waarin complexere automatiseringstaken nodig zijn. Kortom, automatiseringsregels stroomlijnen het gebruik van automatisering in Microsoft Sentinel, zodat u complexe werkstromen voor uw incidentindelingsprocessen kunt vereenvoudigen.

Automatiseringsregels maken en beheren

U kunt automatiseringsregels maken en beheren op basis van verschillende punten in de Microsoft Sentinel-ervaring, afhankelijk van uw specifieke behoefte en use-case.

Blade Automatisering

Automatiseringsregels kunnen centraal worden beheerd op de nieuwe blade Automation (die de blade Playbooks vervangt), op het tabblad Automatiseringsregels. (U kunt nu ook playbooks beheren op deze blade, op het tabblad Playbooks.) Hier kunt u nieuwe automatiseringsregels maken en de bestaande regels bewerken. U kunt automatiseringsregels ook slepen om de uitvoeringsvolgorde te wijzigen en deze in of uit te schakelen.

Op de blade Automation ziet u alle regels die in de werkruimte zijn gedefinieerd, samen met de status (ingeschakeld/uitgeschakeld) en op welke analyseregels ze worden toegepast.

Wanneer u een automatiseringsregel nodig hebt die van toepassing is op veel analyseregels, maakt u deze rechtstreeks op de blade Automation. Selecteer in het bovenste menu Nieuwe regel maken en toevoegen. Hiermee opent u het deelvenster Nieuwe automatiseringsregel maken. Hier hebt u volledige flexibiliteit bij het configureren van de regel: u kunt deze toepassen op analyseregels (inclusief toekomstige regels) en het breedste scala aan voorwaarden en acties definiëren.

Wizard Analyseregel

Op het tabblad Automatisch antwoord van de wizard Analyseregels kunt u automatiseringsregels bekijken, beheren en maken die van toepassing zijn op de specifieke analyseregel die in de wizard wordt gemaakt of bewerkt.

Wanneer u Maken selecteert en een van de regeltypen (geplande queryregel of regel voor het maken van microsoft-incidenten) selecteert in het bovenste menu op de blade Analyse, of als u een bestaande analyseregel selecteert en Bewerken selecteert, opent u de wizard Regel. Wanneer u het tabblad Automatisch antwoord selecteert, ziet u een sectie met de naam Incidentautomatisering, waaronder de automatiseringsregels die momenteel van toepassing zijn op deze regel worden weergegeven. U kunt een bestaande automatiseringsregel selecteren om te bewerken of nieuwe toevoegen selecteren om een nieuwe te maken.

Wanneer u hier de automatiseringsregel maakt, ziet u dat in het deelvenster Nieuwe automatiseringsregel maken de voorwaarde van de analyseregel niet beschikbaar is, omdat deze regel al is ingesteld om alleen van toepassing te zijn op de analyseregel die u in de wizard bewerkt. Alle andere configuratieopties zijn nog steeds beschikbaar voor u.

Blade Incidenten

U kunt ook een automatiseringsregel maken op de blade Incidenten om te reageren op één terugkerend incident. Dit is handig bij het maken van een onderdrukkingsregel voor het automatisch sluiten van 'luidruchtige' incidenten. Selecteer een incident in de wachtrij en selecteer Automatiseringsregel maken in het bovenste menu.

U ziet dat in het deelvenster Nieuwe automatiseringsregel maken alle velden met waarden van het incident zijn ingevuld. Deze noemt de regel dezelfde naam als het incident, past deze toe op de analyseregel die het incident heeft gegenereerd en gebruikt alle beschikbare entiteiten in het incident als voorwaarden van de regel. Er wordt ook standaard een onderdrukkingsactie (afsluiten) voorgesteld en wordt een vervaldatum voor de regel voorgesteld. U kunt voorwaarden en acties toevoegen of verwijderen en de vervaldatum desgewenst wijzigen.

Onderdelen van een Automation-regel

Automatiseringsregels bestaan uit verschillende onderdelen:

• Trigger: Automatiseringsregels worden geactiveerd door het maken van een incident.

  Om te controleren: incidenten worden gemaakt op basis van analyseregels, waarvan er verschillende typen zijn, zoals wordt uitgelegd in de zelfstudie Bedreigingen detecteren met ingebouwde analyseregels in Microsoft Sentinel.

• Voorwaarden: Complexe sets voorwaarden kunnen worden gedefinieerd om te bepalen wanneer acties (zie hieronder) moeten worden uitgevoerd. Deze voorwaarden zijn doorgaans gebaseerd op de statussen of waarden van kenmerken van incidenten en hun entiteiten, en ze kunnen OPERATORS AND/OR/NOT/CONTAINS bevatten.

• Acties: Acties kunnen worden gedefinieerd om uit te voeren wanneer aan de voorwaarden (zie hierboven) wordt voldaan. U kunt veel acties definiëren in een regel en u kunt de volgorde kiezen waarin ze worden uitgevoerd (zie hieronder). De volgende acties kunnen worden gedefinieerd met behulp van automatiseringsregels, zonder dat u de geavanceerde functionaliteit van een playbook nodig hebt:

  • De status van een incident wijzigen, zodat uw werkstroom up-to-date blijft.

    Wanneer u overschakelen naar 'gesloten', geeft u de reden voor sluiten op en voegt u een opmerking toe. Zo kunt u uw prestaties en effectiviteit bijhouden en afstemmen om fout-positieven te verminderen.

  • De ernst van een incident wijzigen: u kunt de ernst van een incident opnieuw evalueren en herpriritiseren op basis van de aanwezigheid, afwezigheid, waarden of kenmerken van entiteiten die betrokken zijn bij het incident.

  • Het toewijzen van een incident aan een eigenaar : dit helpt u bij het doorsturen van typen incidenten naar het personeel dat het meest geschikt is om ermee om te gaan, of aan het meest beschikbare personeel.

  • Een tag toevoegen aan een incident : dit is handig voor het classificeren van incidenten per onderwerp, door aanvaller of door een andere veelgebruikte noemer.

  U kunt ook een actie definiëren om een playbook uit te voeren om complexere antwoordacties uit te voeren, inclusief acties die betrekking hebben op externe systemen. Alleen playbooks die door de incidenttrigger zijn geactiveerd, kunnen worden gebruikt in automatiseringsregels. U kunt een actie definiëren om meerdere playbooks of combinaties van playbooks en andere acties op te nemen en de volgorde waarin ze worden uitgevoerd.

  Playbooks die gebruikmaken van een van beide versies van Logic Apps (Standard of Consumption) zijn beschikbaar om te worden uitgevoerd vanuit automatiseringsregels.

• Vervaldatum: U kunt een vervaldatum definiëren voor een automatiseringsregel. De regel wordt na die datum uitgeschakeld. Dit is handig voor het verwerken (dat wil gezegd, afsluiten) 'ruis'-incidenten die worden veroorzaakt door geplande, tijdgebonden activiteiten zoals penetratietests.

• Volgorde: U kunt de volgorde definiëren waarin automatiseringsregels worden uitgevoerd. Latere automatiseringsregels evalueren de voorwaarden van het incident op basis van de status ervan nadat ze zijn uitgevoerd door eerdere automatiseringsregels.

  Als 'First Automation Rule' bijvoorbeeld de ernst van een incident heeft gewijzigd van gemiddeld naar laag en 'Tweede Automatiseringsregel' is gedefinieerd om alleen te worden uitgevoerd op incidenten met gemiddelde of hogere ernst, wordt deze niet uitgevoerd op dat incident.