Создание правил автоматизации
Правила автоматизации — это способ централизованного управления автоматизацией обработки инцидентов, который позволяет выполнять простые задачи автоматизации без использования сборника схем. Например, правила автоматизации позволяют автоматически назначать инциденты нужному персоналу, добавлять теги к инцидентам для их классификации, а также изменять состояние инцидентов и закрывать их. С помощью правил автоматизации также можно автоматизировать ответы для нескольких правил аналитики одновременно, управлять порядком выполняемых действий и запускать сборники схем для тех случаев, когда необходимы более сложные задачи автоматизации. Вкратце, правила автоматизации модернизируют использование автоматизации в Microsoft Sentinel, позволяя упростить сложные рабочие процессы для оркестрации инцидентов.
Создание правил автоматизации и управление ими
Создавать правила автоматизации и управлять ими можно из различных точек интерфейса Microsoft Sentinel в зависимости от конкретных потребностей и варианта использования.
Колонка автоматизации
Централизованное управление правилами автоматизации осуществляется в новой колонке Автоматизация (заменила колонку Сборники схем) на вкладке Правила автоматизации. (Теперь управлять сборниками схем можно в этой колонке на вкладке Сборники схем.) Здесь можно создавать новые правила автоматизации и редактировать существующие. Кроме того, можно перетаскивать правила автоматизации, чтобы изменять порядок их выполнения, а также включать или отключать их.
В колонке Автоматизация представлены все правила, определенные в рабочей области, а также их состояние (включено/отключено) и правила аналитики, к которым они применяются.
Если правило автоматизации необходимо применить к большому количеству правил аналитики, создавать его следует непосредственно в колонке Автоматизация. В верхнем меню выберите Создать и Добавить новое правило, после чего откроется панель Создание правила автоматизации. Здесь можно полностью настроить правило: можно применять его к любым правилам аналитики (включая будущие) и определять самый широкий диапазон условий и действий.
Мастер правил аналитики
На вкладке Автоматизированный ответ мастера правил аналитики можно просматривать и создавать правила автоматизации для применения к конкретному правилу аналитики, которое создается или изменяется в мастере, а также управлять ими.
По нажатию кнопки Создать и при выборе одного из типов правил (Правило запроса по расписанию или Правило создания инцидента Майкрософт) в верхнем меню в колонке Аналитика или при выборе существующего правила аналитики и по нажатию кнопки Изменить открывается мастер правил. При выборе вкладки Автоматизированный ответ отображается раздел Автоматизация инцидентов, содержащий правила автоматизации, которые в настоящее время применяются к этому правилу. Можно выбрать существующее правило автоматизации для изменения или нажать кнопку "Добавить новое" для создания нового.
Обратите внимание, что при создании правила автоматизации на панели Создание правила автоматизации условие правила аналитики отображается как недоступное, поскольку оно уже настроено для применения только к правилу аналитики, которое вы редактируете в мастере. Все остальные параметры конфигурации по-прежнему доступны.
Колонка инцидентов
Для ответа на один повторяющийся инцидент можно создать правило автоматизации в колонке Инциденты. Это полезно при создании правила подавления для автоматического закрытия "пропускаемых" инцидентов. Выберите инцидент из очереди и щелкните "Создать правило автоматизации" в верхнем меню.
На панели Создание правила автоматизации все поля будут заполнены значениями из инцидента. Правилу присваивается то же самое имя, что и инциденту, после чего оно применяется к правилу аналитики, создавшему инцидент, а все доступные сущности в инциденте используются в качестве условий правила. Кроме того, для правила предлагается действие подавления (закрытие) по умолчанию и дата окончания срока действия. Добавлять или удалять условия и действия, а также изменять дату окончания срока действия можно по своему усмотрению.
Компоненты правила автоматизации
Правила автоматизации состоят из нескольких компонентов.
Триггер. Правила автоматизации активируются при создании инцидента.
На проверку: инциденты создаются на основе оповещений по правилам аналитики нескольких различных типов, как описано в учебнике Обнаружение угроз с помощью встроенных правил аналитики в Microsoft Sentinel.
Условия. Для управления запуском действий (см. ниже) можно задавать сложные наборы условий. Эти условия обычно основываются на состояниях или значениях атрибутов инцидентов и их сущностей и могут включать операторы AND/OR/NOT/CONTAINS.
Действия. Можно задавать запуск действий при выполнении условий (см. выше). В правиле можно определить множество действий, а также выбрать порядок их выполнения (см. ниже). Следующие действия можно определить с помощью правил автоматизации без использования дополнительных функциональных возможностей сборника схем.
Изменение состояния инцидента с поддержанием рабочего процесса в актуальном состоянии.
Когда состояние изменяется на «Закрыто», указывается причина закрытия и добавляется комментарий. Это позволяет следить за производительностью и эффективностью, а также выполнять точную настройку для сокращения числа ложноположительных результатов.
Изменение серьезности инцидента: можно переоценивать и изменять приоритеты в зависимости от наличия, отсутствия, значений или атрибутов сущностей, вовлеченных в инцидент.
Назначение инцидента владельцу: помогает направлять типы инцидентов сотрудникам, которые наилучшим образом подходят для работы с ними, или самым свободным сотрудникам.
Добавление тега к инциденту. Полезно при классификации инцидентов по темам, злоумышленникам или другим общим чертам.
Кроме того, можно определить действие для запуска сборника схем, чтобы выполнять более сложные ответные действия, в том числе все действия, затрагивающие внешние системы. В правилах автоматизации можно использовать только сборники схем, которые активируются триггером инцидента. Можно определить действие, включающее несколько сборников схем или сочетаний сборников схем с другими действиями, а также порядок их запуска.
Сборники схем с использованием любой версии Logic Apps ("Стандартный" или "Потребление") будут доступны для запуска из правил автоматизации.
Дата окончания срока действия. Можно определить дату окончания срока действия правила автоматизации. По прошествии этой даты правило будет отключено. Это полезно при обработке (т. е. закрытии) "пропускаемых" инцидентов, вызванных запланированными, ограниченными по времени действиями, такими как тест на проникновение.
Порядок. Можно определить порядок, в котором будут выполняться правила автоматизации. Последующие правила автоматизации будут оценивать условия инцидента в соответствии с его состоянием после принятия мер предыдущими правилами автоматизации.
Например, если "Первое правило автоматизации" изменило серьезность инцидента со средней на низкую, а "Второе правило автоматизации" по определению выполняется только для инцидентов со средним или более высоким уровнем серьезности, выполняться для этого инцидента оно не будет.