Udostępnij za pośrednictwem


Reguły zaplanowanej analizy w usłudze Microsoft Sentinel

Zdecydowanie najbardziej typowym typem reguły analizy zaplanowane reguły są oparte na zapytaniach Kusto, które są skonfigurowane do uruchamiania w regularnych odstępach czasu i badają nieprzetworzone dane z zdefiniowanego okresu "lookback". Zapytania mogą wykonywać złożone operacje statystyczne na danych docelowych, ujawniając punkty odniesienia i wartości odstające w grupach zdarzeń. Jeśli liczba wyników przechwyconych przez zapytanie przekroczy próg skonfigurowany w regule, reguła generuje alert.

Ten artykuł ułatwia zrozumienie sposobu tworzenia zaplanowanych reguł analizy oraz przedstawia wszystkie opcje konfiguracji i ich znaczenie. Informacje przedstawione w tym artykule są przydatne w dwóch scenariuszach:

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Szablony reguł analizy

Zapytania w zaplanowanych szablonach reguł zostały napisane przez ekspertów ds. zabezpieczeń i nauki o danych od firmy Microsoft lub od dostawcy rozwiązania dostarczającego szablon.

Użyj szablonu reguły analizy, wybierając nazwę szablonu z listy szablonów i tworząc regułę na jej podstawie.

Każdy szablon zawiera listę wymaganych źródeł danych. Po otwarciu szablonu źródła danych są automatycznie sprawdzane pod kątem dostępności. Dostępność oznacza, że źródło danych jest połączone i że dane są pozyskiwane regularnie. Jeśli którekolwiek z wymaganych źródeł danych nie jest dostępne, nie będzie można utworzyć reguły i może zostać wyświetlony komunikat o błędzie.

Podczas tworzenia reguły na podstawie szablonu zostanie otwarty kreator tworzenia reguły na podstawie wybranego szablonu. Wszystkie szczegóły są wypełniane automatycznie i można dostosować logikę i inne ustawienia reguły, aby lepiej dopasować je do konkretnych potrzeb. Ten proces można powtórzyć, aby utworzyć więcej reguł na podstawie szablonu. Po osiągnięciu końca kreatora tworzenia reguły dostosowania zostaną zweryfikowane i zostanie utworzona reguła. Nowe reguły są wyświetlane na karcie Aktywne reguły na stronie Analiza . Podobnie na karcie Szablony reguł szablony szablonu, z którego utworzono regułę, jest teraz wyświetlany za pomocą tagu In use .

Szablony reguł analizy są stale obsługiwane przez ich autorów, aby naprawić usterki lub udoskonalić zapytanie. Gdy szablon otrzyma aktualizację, wszystkie reguły oparte na tym szablonie są wyświetlane z tagiem Update i masz możliwość zmodyfikowania tych reguł, aby uwzględnić zmiany wprowadzone w szablonie. Możesz również przywrócić wszelkie zmiany wprowadzone w regule z powrotem do oryginalnej wersji opartej na szablonach. Aby uzyskać więcej informacji, zobacz Zarządzanie wersjami szablonów dla zaplanowanych reguł analizy w usłudze Microsoft Sentinel.

Po zapoznaniu się z opcjami konfiguracji w tym artykule zobacz Tworzenie zaplanowanych reguł analizy na podstawie szablonów.

W pozostałej części tego artykułu wyjaśniono wszystkie możliwości dostosowywania konfiguracji reguł.

Konfiguracja reguły analizy

W tej sekcji opisano kluczowe zagadnienia, które należy wziąć pod uwagę przed rozpoczęciem konfigurowania reguł.

Nazwa i szczegóły reguły analizy

Pierwsza strona kreatora reguł analizy zawiera podstawowe informacje reguły.

Nazwa: nazwa reguły wyświetlana na liście reguł i w dowolnych filtrach opartych na regułach. Nazwa musi być unikatowa dla obszaru roboczego.

Opis: dowolny tekst opis celu reguły.

ID: identyfikator GUID reguły jako zasób platformy Azure używany między innymi w żądaniach interfejsu API i odpowiedziach. Ten identyfikator GUID jest przypisywany tylko wtedy, gdy reguła jest tworzona, dlatego jest wyświetlany tylko podczas edytowania istniejącej reguły. Ponieważ jest to pole tylko do odczytu, jest wyświetlane jako wyszarawe i nie można go zmienić. Nie istnieje jeszcze podczas tworzenia nowej reguły na podstawie szablonu lub od podstaw.

Ważność: ocena w celu nadania alertom wygenerowanym przez tę regułę. Ważność działania to obliczenie potencjalnego negatywnego wpływu wystąpienia działania.

Ważność opis
Informacyjne Brak wpływu na system, ale informacje mogą wskazywać na przyszłe kroki planowane przez aktora zagrożeń.
Niska Natychmiastowy wpływ byłby minimalny. Aktor zagrożeń prawdopodobnie będzie musiał wykonać wiele kroków przed osiągnięciem wpływu na środowisko.
Medium Aktor zagrożenia może mieć pewien wpływ na środowisko z tym działaniem, ale byłoby ograniczone w zakresie lub wymagałoby dodatkowej aktywności.
Wysoka Zidentyfikowane działanie zapewnia aktorowi zagrożeń szeroki dostęp do wykonywania działań w środowisku lub jest wyzwalany przez wpływ na środowisko.

Wartości domyślne na poziomie ważności nie są gwarancją bieżącego lub poziomu wpływu na środowisko. Dostosuj szczegóły alertu, aby dostosować ważność, taktykę i inne właściwości danego wystąpienia alertu przy użyciu wartości dowolnych odpowiednich pól z danych wyjściowych zapytania.

Definicje ważności szablonów reguł analizy usługi Microsoft Sentinel są istotne tylko dla alertów utworzonych przez reguły analizy. W przypadku alertów pozyskanych z innych usług ważność jest definiowana przez źródłową usługę zabezpieczeń.

MITRE ATT&CK: specyfikacja taktyki i technik ataku reprezentowanych przez działania przechwycone przez tę regułę. Są one oparte na taktyki i technikach struktury MITRE ATT&CK®.

Taktyka i techniki MITRE ATT&CK zdefiniowane tutaj w regule dotyczą wszystkich alertów generowanych przez regułę. Mają one również zastosowanie do wszelkich zdarzeń utworzonych na podstawie tych alertów.

Aby uzyskać więcej informacji na temat maksymalizacji zasięgu środowiska zagrożeń MITRE ATT&CK, zobacz Omówienie pokrycia zabezpieczeń przez strukturę MITRE ATT&CK®.

Stan: Po utworzeniu reguły jej stan jest domyślnie włączony , co oznacza, że jest uruchamiany natychmiast po zakończeniu tworzenia reguły. Jeśli nie chcesz, aby był uruchamiany natychmiast, masz dwie opcje:

  • Wybierz pozycję Wyłączone, a reguła jest tworzona bez uruchamiania. Jeśli chcesz, aby reguła była uruchamiana, znajdź ją na karcie Aktywne reguły i włącz ją z tego miejsca.
  • Zaplanuj uruchamianie reguły o określonej dacie i godzinie. Ta metoda jest obecnie dostępna w wersji zapoznawczej. Zobacz Planowanie zapytań w dalszej części tego artykułu.

Zapytanie reguły

Jest to istota reguły: decydujesz, jakie informacje są w alertach utworzonych przez tę regułę i jak informacje są zorganizowane. Ta konfiguracja ma wpływ na to, jak wyglądają wynikowe zdarzenia oraz jak łatwo lub trudno jest je zbadać, skorygować i rozwiązać. Ważne jest, aby alerty były tak bogate w informacje, jak to możliwe, i aby były łatwo dostępne.

Wyświetl lub wprowadź zapytanie Kusto, które analizuje nieprzetworzone dane dziennika. Jeśli tworzysz regułę od podstaw, warto zaplanować i zaprojektować zapytanie przed otwarciem tego kreatora. Zapytania można tworzyć i testować na stronie Dzienniki .

Wszystko, co wpisujesz w oknie zapytania reguły, jest natychmiast weryfikowane, więc od razu dowiesz się, czy popełnisz jakiekolwiek błędy.

Najlepsze rozwiązania dotyczące zapytań reguł analizy

  • Zalecamy użycie analizatora Advanced Security Information Model (ASIM) jako źródła zapytania zamiast używania tabeli natywnej. Zapewni to, że zapytanie obsługuje dowolne bieżące lub przyszłe źródło danych lub rodzinę źródeł danych, zamiast polegać na jednym źródle danych.

  • Długość zapytania powinna wynosić od 1 do 10 000 znaków i nie może zawierać znaków "search *" lub "union *". Za pomocą funkcji zdefiniowanych przez użytkownika można przezwyciężyć ograniczenie długości zapytania, ponieważ pojedyncza funkcja może zastąpić dziesiątki wierszy kodu.

  • Używanie funkcji ADX do tworzenia zapytań usługi Azure Data Explorer w oknie zapytania usługi Log Analytics nie jest obsługiwane.

  • Jeśli używasz bag_unpack funkcji w zapytaniu, jeśli rzutujesz kolumny jako pola przy użyciuproject field1 "", a kolumna nie istnieje, zapytanie zakończy się niepowodzeniem. Aby chronić się przed tym zdarzeniem, należy zaprojektować kolumnę w następujący sposób:

    project field1 = column_ifexists("field1","")

Aby uzyskać więcej informacji na temat tworzenia zapytań Kusto, zobacz język zapytań Kusto w usłudze Microsoft Sentinel i Najlepsze rozwiązania dotyczące zapytań język zapytań Kusto.

Ulepszenie alertu

Jeśli chcesz, aby alerty były widoczne dla ich wyników, aby mogły być natychmiast widoczne w zdarzeniach i odpowiednio śledzone i badane, użyj konfiguracji ulepszenia alertu, aby wyświetlić wszystkie ważne informacje w alertach.

To ulepszenie alertu ma dodatkową zaletę prezentowania wyników w łatwy i dostępny sposób.

Istnieją trzy typy ulepszeń alertów, które można skonfigurować:

  • Mapowanie jednostek
  • Szczegóły niestandardowe
  • Szczegóły alertu (nazywane również zawartością dynamiczną)

Mapowanie jednostek

Jednostki są graczami po obu stronach każdej historii ataku. Identyfikowanie wszystkich jednostek w alercie jest niezbędne do wykrywania i badania zagrożeń. Aby upewnić się, że usługa Microsoft Sentinel identyfikuje jednostki w danych pierwotnych, musisz zamapować typy jednostek rozpoznawane przez usługę Microsoft Sentinel na pola w wynikach zapytania. To mapowanie integruje zidentyfikowane jednostki z polem Jednostki w schemacie alertu.

Aby dowiedzieć się więcej na temat mapowania jednostek i uzyskać pełne instrukcje, zobacz Mapowanie pól danych na jednostki w usłudze Microsoft Sentinel.

Szczegóły niestandardowe

Domyślnie tylko jednostki alertu i metadane są widoczne w zdarzeniach bez przechodzenia do szczegółów nieprzetworzonych zdarzeń w wynikach zapytania. Aby nadać innym polam z zapytania natychmiastowego wglądu w alerty i zdarzenia, zdefiniuj je jako szczegóły niestandardowe. Usługa Microsoft Sentinel integruje te szczegóły niestandardowe z polem ExtendedProperties w alertach, co powoduje wyświetlanie ich z góry w alertach oraz we wszystkich zdarzeniach utworzonych na podstawie tych alertów.

Aby dowiedzieć się więcej na temat przeglądania niestandardowych szczegółów i uzyskania pełnych instrukcji, zobacz Szczegóły zdarzenia niestandardowego urządzenia Surface w alertach w usłudze Microsoft Sentinel.

Szczegóły alertu

To ustawienie umożliwia dostosowanie właściwości alertu w inny sposób zgodnie z zawartością różnych pól w poszczególnych alertach. Te dostosowania są zintegrowane z polem ExtendedProperties w alertach. Można na przykład dostosować nazwę alertu lub opis, aby uwzględnić nazwę użytkownika lub adres IP proponowany w alercie.

Aby dowiedzieć się więcej na temat dostosowywania szczegółów alertu i uzyskać pełne instrukcje, zobacz Dostosowywanie szczegółów alertu w usłudze Microsoft Sentinel.

Uwaga

W portalu usługi Microsoft Defender aparat korelacji XDR usługi Defender jest odpowiedzialny wyłącznie za zdarzenia nazewnictwa, więc wszelkie dostosowane nazwy alertów mogą zostać zastąpione podczas tworzenia zdarzeń na podstawie tych alertów.

Planowanie zapytań

Poniższe parametry określają, jak często będzie uruchamiana zaplanowana reguła i jaki okres będzie sprawdzać przy każdym uruchomieniu.

Ustawienie Zachowanie
Uruchamianie zapytania co Określa interwał zapytania: jak często jest uruchamiane zapytanie.
Wyszukiwanie danych z ostatniego Określa okres wyszukiwania: okres objęty zapytaniem.
  • Dozwolony zakres dla obu tych parametrów wynosi od 5 minut do 14 dni.

  • Interwał zapytania musi być krótszy lub równy okresowi wyszukiwania. Jeśli jest krótszy, okresy zapytań nakładają się i może to spowodować duplikowanie wyników. Walidacja reguły nie pozwoli jednak ustawić interwału dłuższego niż okres wyszukiwania, ponieważ spowoduje to przerwy w pokryciu.

Ustawienie Rozpocznij uruchamianie , teraz w wersji ZAPOZNAWCZEJ, umożliwia utworzenie reguły ze stanem Włączone, ale opóźnienie jego pierwszego wykonania do wstępnie określonej daty i godziny. To ustawienie jest przydatne, jeśli chcesz, aby czas wykonywania reguł był zgodny z oczekiwaniami na pozyskiwanie danych ze źródła lub do momentu rozpoczęcia dnia roboczego przez analityków SOC.

Ustawienie Zachowanie
Automatycznie Reguła zostanie uruchomiona po raz pierwszy po raz pierwszy po utworzeniu, a następnie w interwale ustawionym w zapytaniu Uruchom każde ustawienie.
W określonym czasie (wersja zapoznawcza) Ustaw datę i godzinę pierwszego uruchomienia reguły, po której zostanie uruchomiona w interwale ustawionym w zapytaniu Uruchom każde ustawienie.
  • Czas uruchamiania musi należeć do przedziału od 10 minut do 30 dni od czasu utworzenia reguły (lub włączenia).

  • Wiersz tekstu w ustawieniu Rozpocznij uruchamianie (z ikoną informacji po lewej stronie) zawiera podsumowanie bieżących ustawień planowania zapytań i wyszukiwania zwrotnego.

    Zrzut ekranu przedstawiający zaawansowany przełącznik planowania i ustawienia.

Uwaga

Opóźnienie pozyskiwania

Aby uwzględnić opóźnienia , które mogą wystąpić między generowaniem zdarzenia w źródle i jego pozyskiwaniem do usługi Microsoft Sentinel, a także zapewnić pełne pokrycie bez duplikowania danych, usługa Microsoft Sentinel uruchamia zaplanowane reguły analizy w ciągu pięciu minut od zaplanowanego czasu.

Aby uzyskać więcej informacji, zobacz Handle ingestion delay in scheduled analytics rules (Obsługa opóźnień pozyskiwania w zaplanowanych regułach analizy).

Próg alertu

Wiele typów zdarzeń zabezpieczeń jest normalnych lub nawet oczekiwano w małych liczbach, ale są oznaką zagrożenia w większej liczbie. Różne skali dużych liczb mogą oznaczać różne rodzaje zagrożeń. Na przykład dwie lub trzy nieudane próby logowania w ciągu minuty to znak użytkownika, który nie pamięta hasła, ale pięćdziesiąt w ciągu minuty może być oznaką ataku ludzkiego, a tysiąc jest prawdopodobnie automatycznym atakiem.

W zależności od rodzaju działania, które próbuje wykryć reguła, można ustawić minimalną liczbę zdarzeń (wyników zapytania) niezbędnych do wyzwolenia alertu. Próg ma zastosowanie oddzielnie do każdego uruchomienia reguły, a nie zbiorczo.

Próg można również ustawić na maksymalną liczbę wyników lub dokładną liczbę.

Grupowanie zdarzeń

Istnieją dwa sposoby obsługi grupowania zdarzeń w alerty:

  • Grupuj wszystkie zdarzenia w jeden alert: jest to ustawienie domyślne. Reguła generuje pojedynczy alert za każdym razem, gdy jest uruchamiany, o ile zapytanie zwraca więcej wyników niż określony próg alertu opisany w poprzedniej sekcji. Ten pojedynczy alert zawiera podsumowanie wszystkich zdarzeń zwracanych w wynikach zapytania.

  • Wyzwalanie alertu dla każdego zdarzenia: reguła generuje unikatowy alert dla każdego zdarzenia (wynik) zwracanego przez zapytanie. Ten tryb jest przydatny, jeśli chcesz, aby zdarzenia były wyświetlane indywidualnie lub jeśli chcesz zgrupować je według określonych parametrów — według użytkownika, nazwy hosta lub czegoś innego. Te parametry można zdefiniować w zapytaniu. |

Reguły analizy mogą generować maksymalnie 150 alertów. Jeśli ustawienie Grupowanie zdarzeń ma wartość Wyzwalanie alertu dla każdego zdarzenia, a zapytanie reguły zwraca więcej niż 150 zdarzeń, pierwsze 149 zdarzeń spowoduje wygenerowanie unikatowego alertu (dla 149 alertów), a 150 alert będzie podsumowywać cały zestaw zwracanych zdarzeń. Innymi słowy, 150. alert zostałby wygenerowany, gdyby grupowanie zdarzeń zostało ustawione na Grupowanie wszystkich zdarzeń w jeden alert.

Wyzwalanie alertu dla każdego ustawienia zdarzenia może spowodować problem polegający na tym, że wyniki zapytania wydają się być brakujące lub inne niż oczekiwano. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz Rozwiązywanie problemów z regułami analizy w usłudze Microsoft Sentinel | Problem: Brak zdarzeń wyświetlanych w wynikach zapytania.

Pomijanie

Jeśli chcesz, aby ta reguła przestała działać przez pewien czas po wygenerowaniu alertu, włącz ustawienie Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu. Następnie należy ustawić opcję Zatrzymaj uruchamianie zapytania przez czas, przez który zapytanie powinno przestać działać, do 24 godzin.

Symulacja wyników

Kreator reguł analizy umożliwia przetestowanie jego skuteczności, uruchamiając ją w bieżącym zestawie danych. Po uruchomieniu testu w oknie Symulacja wyników zostanie wyświetlony wykres wyników, które zapytanie wygenerowałoby w ciągu ostatnich 50 razy, zgodnie z aktualnie zdefiniowanym harmonogramem. Jeśli zmodyfikujesz zapytanie, możesz ponownie uruchomić test, aby zaktualizować graf. Wykres przedstawia liczbę wyników w zdefiniowanym przedziale czasu, który jest określany zgodnie z zdefiniowanym harmonogramem zapytania.

Oto, jak może wyglądać symulacja wyników dla zapytania na powyższym zrzucie ekranu. Lewa strona jest widokiem domyślnym, a po prawej stronie jest to, co widzisz po umieszczeniu wskaźnika myszy na punkcie w czasie na grafie.

Zrzuty ekranu przedstawiający symulacje wyników.

Jeśli zobaczysz, że zapytanie wyzwoli zbyt wiele lub zbyt częste alerty, możesz eksperymentować z ustawieniami planowania i progu i ponownie uruchomić symulację.

Ustawienia zdarzenia

Wybierz, czy usługa Microsoft Sentinel zamienia alerty w zdarzenia z możliwością działania.

Tworzenie zdarzenia jest domyślnie włączone. Usługa Microsoft Sentinel tworzy pojedyncze, oddzielne zdarzenie od każdego alertu wygenerowanego przez regułę.

Jeśli nie chcesz, aby ta reguła powodowała utworzenie jakichkolwiek zdarzeń (na przykład jeśli ta reguła służy tylko do zbierania informacji na potrzeby kolejnej analizy), ustaw tę opcję na wartość Wyłączone.

Ważne

Jeśli dołączysz usługę Microsoft Sentinel do portalu usługi Defender, usługa Microsoft Defender jest odpowiedzialna za tworzenie zdarzeń. Niemniej jednak jeśli chcesz, aby usługa Defender XDR utworzyła zdarzenia dla tego alertu, musisz pozostawić to ustawienie włączone. Usługa Defender XDR przyjmuje instrukcję zdefiniowaną tutaj.

Nie należy tego mylić z regułą analizy typu zabezpieczeń firmy Microsoft, która tworzy zdarzenia dla alertów generowanych w usługach Microsoft Defender. Te reguły są automatycznie wyłączone podczas dołączania usługi Microsoft Sentinel do portalu usługi Defender.

Jeśli chcesz utworzyć pojedyncze zdarzenie na podstawie grupy alertów, zamiast jednego dla każdego alertu, zobacz następną sekcję.

Grupowanie alertów

Określ, czy alerty są grupowane razem w zdarzeniach. Domyślnie usługa Microsoft Sentinel tworzy zdarzenie dla każdego wygenerowanego alertu. Istnieje możliwość grupowania kilku alertów razem w jeden incydent.

Zdarzenie jest tworzone dopiero po wygenerowaniu wszystkich alertów. Wszystkie alerty są dodawane do zdarzenia natychmiast po jego utworzeniu.

Maksymalnie 150 alertów można zgrupować w jeden incydent. Jeśli więcej niż 150 alertów jest generowanych przez regułę, która grupuje je w jeden incydent, nowe zdarzenie jest generowane z tymi samymi szczegółami zdarzenia co oryginał, a nadmiarowe alerty są grupowane w nowe zdarzenie.

Aby grupować alerty razem, ustaw ustawienie grupowania alertów na Włączone.

Istnieje kilka opcji, które należy wziąć pod uwagę podczas grupowania alertów:

  • Przedział czasu: domyślnie alerty utworzone do 5 godzin po dodaniu pierwszego alertu w zdarzeniu do tego samego zdarzenia. Po 5 godzinach zostanie utworzone nowe zdarzenie. Ten okres można zmienić na dowolny od 5 minut do 7 dni.

  • Kryteria grupowania: wybierz sposób określania, które alerty są uwzględnione w grupie. W poniższej tabeli przedstawiono możliwe opcje:

    Opcja Opis
    Grupuj alerty w jeden incydent, jeśli wszystkie jednostki są zgodne Alerty są grupowane razem, jeśli współdzielą identyczne wartości dla każdej z zamapowanych jednostek zdefiniowanych wcześniej. Jest to zalecane ustawienie.
    Grupuj wszystkie alerty wyzwalane przez tę regułę w jeden incydent Wszystkie alerty generowane przez tę regułę są grupowane razem, nawet jeśli nie mają identycznych wartości.
    Grupuj alerty w jeden incydent, jeśli wybrane jednostki i szczegóły są zgodne Alerty są grupowane razem, jeśli współdzielą identyczne wartości dla wszystkich zamapowanych jednostek, szczegółów alertu i szczegółów niestandardowych wybranych dla tego ustawienia. Wybierz jednostki i szczegóły z list rozwijanych wyświetlanych po wybraniu tej opcji.

    Możesz użyć tego ustawienia, jeśli na przykład chcesz utworzyć oddzielne zdarzenia na podstawie źródłowych lub docelowych adresów IP, lub jeśli chcesz zgrupować alerty zgodne z określoną jednostką i ważnością.

    Uwaga: po wybraniu tej opcji musisz wybrać co najmniej jedną jednostkę lub szczegóły dla reguły. W przeciwnym razie sprawdzanie poprawności reguły zakończy się niepowodzeniem i reguła nie zostanie utworzona.
  • Ponowne otwieranie zdarzeń: jeśli zdarzenie zostało rozwiązane i zamknięte, a później zostanie wygenerowany inny alert, który powinien należeć do tego zdarzenia, ustaw to ustawienie na Włączone , jeśli chcesz, aby zamknięte zdarzenie zostało ponownie otwarte i pozostaw je jako Wyłączone , jeśli nowy alert ma utworzyć nowe zdarzenie.

    Opcja ponownego otwarcia zamkniętych zdarzeń nie jest dostępna , jeśli dołączono usługę Microsoft Sentinel do portalu usługi Defender.

Automatyczna odpowiedź

Usługa Microsoft Sentinel umożliwia ustawianie automatycznych odpowiedzi, które mają wystąpić, gdy:

  • Alert jest generowany przez tę regułę analizy.
  • Zdarzenie jest tworzone na podstawie alertów generowanych przez tę regułę analizy.
  • Zdarzenie jest aktualizowane przy użyciu alertów generowanych przez tę regułę analizy.

Aby dowiedzieć się więcej o różnych rodzajach odpowiedzi, które mogą być spreparowane i zautomatyzowane, zobacz Automatyzowanie reagowania na zagrożenia w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji.

W obszarze nagłówka Reguły automatyzacji kreator wyświetla listę reguł automatyzacji zdefiniowanych już w całym obszarze roboczym, których warunki mają zastosowanie do tej reguły analizy. Możesz edytować dowolną z tych istniejących reguł lub utworzyć nową regułę automatyzacji, która ma zastosowanie tylko do tej reguły analizy.

Reguły automatyzacji umożliwiają wykonywanie podstawowych klasyfikacji, przypisywania, przepływu pracy i zamykania zdarzeń.

Automatyzacja bardziej złożonych zadań i wywoływanie odpowiedzi z systemów zdalnych w celu skorygowania zagrożeń przez wywołanie podręczników z tych reguł automatyzacji. Można wywoływać podręczniki dla zdarzeń, a także dla poszczególnych alertów.

  • Aby uzyskać więcej informacji i instrukcji dotyczących tworzenia podręczników i reguł automatyzacji, zobacz Automatyzowanie odpowiedzi na zagrożenia.

  • Aby uzyskać więcej informacji o tym, kiedy używać wyzwalacza utworzonego zdarzenia, wyzwalacza zaktualizowanego zdarzenia lub wyzwalacza utworzonego alertu, zobacz Używanie wyzwalaczy i akcji w podręcznikach usługi Microsoft Sentinel.

  • W nagłówku Automatyzacja alertów (wersja klasyczna) może zostać wyświetlona lista podręczników skonfigurowanych do automatycznego uruchamiania przy użyciu starej metody z powodu wycofania się w marcu 2026 r. Nie można dodać niczego do tej listy. Wszystkie podręczniki wymienione w tym miejscu powinny mieć utworzone reguły automatyzacji na podstawie wyzwalacza utworzonego alertu w celu wywołania podręczników. Po wykonaniu tej czynności wybierz wielokropek na końcu wiersza podręcznika wymienionego tutaj, a następnie wybierz pozycję Usuń. Aby uzyskać pełne instrukcje, zobacz Migrowanie podręczników wyzwalacza alertów usługi Microsoft Sentinel do reguł automatyzacji.

Następne kroki

W przypadku używania reguł analizy usługi Microsoft Sentinel do wykrywania zagrożeń w środowisku należy włączyć wszystkie reguły skojarzone z połączonymi źródłami danych, aby zapewnić pełne pokrycie zabezpieczeń dla danego środowiska.

Aby zautomatyzować włączanie reguł, reguły wypychania do usługi Microsoft Sentinel za pośrednictwem interfejsu API i programu PowerShell, chociaż wymaga to dodatkowego nakładu pracy. W przypadku korzystania z interfejsu API lub programu PowerShell należy najpierw wyeksportować reguły do formatu JSON przed włączeniem reguł. Interfejs API lub program PowerShell może być przydatny podczas włączania reguł w wielu wystąpieniach usługi Microsoft Sentinel z identycznymi ustawieniami w każdym wystąpieniu.

Aby uzyskać więcej informacji, zobacz:

Zapoznaj się również z przykładem używania niestandardowych reguł analizy podczas monitorowania funkcji Zoom przy użyciu łącznika niestandardowego.