Tworzenie reguł automatyzacji
Reguły automatyzacji to sposób centralnego zarządzania automatyzacją obsługi zdarzeń, co umożliwia wykonywanie prostych zadań automatyzacji bez korzystania z podręczników. Na przykład reguły automatyzacji umożliwiają automatyczne przypisywanie zdarzeń do odpowiedniego personelu, oznaczanie zdarzeń w celu ich klasyfikowania oraz zmienianie stanu zdarzeń i ich zamykanie. Reguły automatyzacji mogą również automatyzować odpowiedzi dla wielu reguł analizy jednocześnie, kontrolować kolejność wykonywanych akcji i uruchamiać podręczniki w tych przypadkach, gdy konieczne są bardziej złożone zadania automatyzacji. Krótko mówiąc, reguły automatyzacji usprawniają korzystanie z automatyzacji w usłudze Microsoft Sentinel, umożliwiając uproszczenie złożonych przepływów pracy dla procesów aranżacji zdarzeń.
Tworzenie reguł automatyzacji i zarządzanie nimi
Reguły automatyzacji można tworzyć i zarządzać nimi z różnych punktów w środowisku usługi Microsoft Sentinel, w zależności od konkretnej potrzeby i przypadku użycia.
Blok automatyzacji
Reguły automatyzacji można centralnie zarządzać w nowym bloku automatyzacji (który zastępuje blok Podręczniki) na karcie Reguły automatyzacji. (Teraz można również zarządzać podręcznikami w tym bloku na karcie Podręczniki). W tym miejscu możesz utworzyć nowe reguły automatyzacji i edytować istniejące. Możesz również przeciągnąć reguły automatyzacji, aby zmienić kolejność wykonywania i włączyć lub wyłączyć je.
W bloku Automatyzacja zostaną wyświetlone wszystkie reguły zdefiniowane w obszarze roboczym wraz z ich stanem (włączone/wyłączone) i regułami analizy, do których są stosowane.
Jeśli potrzebujesz reguły automatyzacji, która będzie stosowana do wielu reguł analizy, utwórz ją bezpośrednio w bloku Automatyzacja. W górnym menu wybierz pozycję Utwórz i Dodaj nową regułę, która otwiera panel Tworzenie nowej reguły automatyzacji. W tym miejscu masz pełną elastyczność konfigurowania reguły: możesz zastosować ją do dowolnych reguł analitycznych (w tym przyszłych) i zdefiniować najszerszy zakres warunków i akcji.
Kreator reguł analizy
Na karcie Automatyczna odpowiedź kreatora reguły analizy można zobaczyć, zarządzać i tworzyć reguły automatyzacji, które mają zastosowanie do określonej reguły analizy tworzonej lub edytowanej w kreatorze.
Po wybraniu pozycji Utwórz i jednym z typów reguł (reguła zaplanowanego zapytania lub reguły tworzenia zdarzeń firmy Microsoft) z górnego menu w bloku Analiza lub jeśli wybierzesz istniejącą regułę analizy i wybierzesz pozycję Edytuj, otworzysz kreatora reguł. Po wybraniu karty Automatyczna odpowiedź zostanie wyświetlona sekcja o nazwie Automatyzacja zdarzeń, w której będą wyświetlane reguły automatyzacji, które są obecnie stosowane do tej reguły. Możesz wybrać istniejącą regułę automatyzacji do edycji lub wybrać pozycję Dodaj nową, aby utworzyć nową.
Zauważysz, że podczas tworzenia reguły automatyzacji z tego miejsca panel Tworzenie nowej reguły automatyzacji wyświetla warunek reguły analizy jako niedostępny, ponieważ ta reguła jest już ustawiona tak, aby miała zastosowanie tylko do reguły analizy edytowanej w kreatorze. Wszystkie inne opcje konfiguracji są nadal dostępne.
Blok Incydenty
Regułę automatyzacji można również utworzyć w bloku Incydenty, aby odpowiedzieć na pojedyncze, cykliczne zdarzenie. Jest to przydatne podczas tworzenia reguły pomijania dla automatycznego zamykania "hałaśliwych" zdarzeń. Wybierz zdarzenie z kolejki i wybierz pozycję Utwórz regułę automatyzacji z górnego menu.
Zauważysz, że panel Tworzenie nowej reguły automatyzacji wypełnił wszystkie pola wartościami z incydentu. Nazywa regułę tą samą nazwą co zdarzenie, stosuje ją do reguły analizy, która wygenerowała zdarzenie, i używa wszystkich dostępnych jednostek w incydencie jako warunków reguły. Sugeruje również domyślnie akcję pomijania (zamykania) i sugeruje datę wygaśnięcia reguły. Możesz dodawać lub usuwać warunki i akcje oraz zmieniać datę wygaśnięcia zgodnie z życzeniem.
Składniki reguły automatyzacji
Reguły automatyzacji składają się z kilku składników:
Wyzwalacz: reguły automatyzacji są wyzwalane przez utworzenie zdarzenia.
Aby przejrzeć — zdarzenia są tworzone na podstawie alertów przez reguły analizy, których istnieje kilka typów, zgodnie z opisem w samouczku Wykrywanie zagrożeń za pomocą wbudowanych reguł analitycznych w usłudze Microsoft Sentinel.
Warunki: można zdefiniować złożone zestawy warunków, aby zarządzać, gdy akcje (patrz poniżej) powinny być uruchamiane. Te warunki są zwykle oparte na stanach lub wartościach atrybutów zdarzeń i ich jednostek, a także mogą zawierać operatory AND/OR/NOT/CONTAINS.
Akcje: akcje można zdefiniować tak, aby uruchamiały się po spełnieniu warunków (patrz powyżej). Możesz zdefiniować wiele akcji w regule i wybrać kolejność ich uruchamiania (zobacz poniżej). Następujące akcje można zdefiniować przy użyciu reguł automatyzacji bez konieczności korzystania z zaawansowanych funkcji podręcznika:
Zmiana stanu zdarzenia, aktualizowanie przepływu pracy.
Po zmianie na "zamknięte" określ przyczynę zamknięcia i dodaj komentarz. Ułatwia to śledzenie wydajności i skuteczności oraz precyzyjne dostosowywanie w celu zmniejszenia liczby wyników fałszywie dodatnich.
Zmiana ważności zdarzenia — można ponownie walidować i reriorytować na podstawie obecności, braku, wartości lub atrybutów jednostek zaangażowanych w zdarzenie.
Przypisywanie zdarzenia do właściciela — ułatwia to kierowanie typów zdarzeń do personelu najlepiej dopasowanego do ich obsługi lub do najbardziej dostępnego personelu.
Dodawanie tagu do zdarzenia — jest to przydatne do klasyfikowania zdarzeń według podmiotu, osoby atakującej lub innego wspólnego mianownika.
Ponadto można zdefiniować akcję uruchamiania podręcznika w celu wykonania bardziej złożonych akcji odpowiedzi, w tym wszystkich obejmujących systemy zewnętrzne. Tylko podręczniki aktywowane przez wyzwalacz zdarzenia są dostępne do użycia w regułach automatyzacji. Można zdefiniować akcję w celu uwzględnienia wielu podręczników lub kombinacji podręczników i innych akcji oraz kolejności ich uruchamiania.
Podręczniki korzystające z jednej z wersji usługi Logic Apps (Standardowa lub Consumption) będą dostępne do uruchamiania z reguł automatyzacji.
Data wygaśnięcia: możesz zdefiniować datę wygaśnięcia reguły automatyzacji. Reguła zostanie wyłączona po tej dacie. Jest to przydatne w przypadku obsługi (czyli zamykania) "szumu" zdarzeń spowodowanych zaplanowanymi, ograniczonymi czasowo działaniami, takimi jak testy penetracyjne.
Kolejność: możesz zdefiniować kolejność uruchamiania reguł automatyzacji. Później reguły automatyzacji będą oceniać warunki zdarzenia zgodnie z jego stanem po wykonaniu działań przez poprzednie reguły automatyzacji.
Na przykład jeśli "Pierwsza reguła automatyzacji" zmieniła ważność zdarzenia z średniej na niską, a opcja "Druga reguła automatyzacji" jest zdefiniowana tak, aby była uruchamiana tylko w przypadku zdarzeń o średniej lub wyższej ważności, nie zostanie uruchomiona w tym zdarzeniu.