Skapa automatiseringsregler

  • 3 minuter

Automationsregler är ett sätt att centralt hantera automatiseringen av incidenthantering, så att du kan utföra enkla automatiseringsuppgifter utan att använda spelböcker. Med automatiseringsregler kan du till exempel automatiskt tilldela incidenter till rätt personal, tagga incidenter för att klassificera dem och ändra status för incidenter och stänga dem. Automatiseringsregler kan också automatisera svar för flera analysregler samtidigt, styra ordningen på åtgärder som körs och köra spelböcker för de fall där mer komplexa automatiseringsuppgifter krävs. Kort och kort, automatiseringsregler effektiviserar användningen av automatisering i Microsoft Sentinel, så att du kan förenkla komplexa arbetsflöden för dina incidentorkestreringsprocesser.

Skapa och hantera automatiseringsregler

Du kan skapa och hantera automatiseringsregler från olika platser i Microsoft Sentinel-upplevelsen, beroende på ditt specifika behov och användningsfall.

Automation-blad

Automatiseringsregler kan hanteras centralt på det nya Automation-bladet (som ersätter bladet Spelböcker) under fliken Automation-regler. (Du kan nu även hantera spelböcker på det här bladet under fliken Spelböcker.) Därifrån kan du skapa nya automatiseringsregler och redigera de befintliga. Du kan också dra automatiseringsregler för att ändra körningsordningen och aktivera eller inaktivera dem.

På bladet Automation ser du alla regler som har definierats på arbetsytan, tillsammans med deras status (aktiverad/inaktiverad) och vilka analysregler de tillämpas på.

När du behöver en automatiseringsregel som gäller för många analysregler skapar du den direkt på Automation-bladet. På den översta menyn väljer du Skapa och Lägg till ny regel, vilket öppnar panelen Skapa ny automatiseringsregel. Härifrån har du fullständig flexibilitet när det gäller att konfigurera regeln: du kan tillämpa den på alla analysregler (inklusive framtida) och definiera det bredaste utbudet av villkor och åtgärder.

Guiden Analysregel

På fliken Automatiserat svar i guiden för analysregler kan du se, hantera och skapa automatiseringsregler som gäller för den specifika analysregel som skapas eller redigeras i guiden.

När du väljer Skapa och en av regeltyperna (schemalagd frågeregel eller Microsoft incidentgenereringsregel) på den översta menyn på bladet Analys, eller om du väljer en befintlig analysregel och väljer Redigera, öppnar du regelguiden. När du väljer fliken Automatiserat svar visas ett avsnitt med namnet Incidentautomatisering, enligt vilket de automatiseringsregler som för närvarande gäller för den här regeln visas. Du kan välja en befintlig automatiseringsregel att redigera eller välja Lägg till ny för att skapa en ny.

Du kommer att märka att när du skapar automatiseringsregeln härifrån visar panelen Skapa ny automatiseringsregel villkoret för analysregeln som otillgängligt, eftersom den här regeln redan är inställd på att endast gälla för den analysregel som du redigerar i guiden. Alla andra konfigurationsalternativ är fortfarande tillgängliga för dig.

Bladet Incidenter

Du kan också skapa en automatiseringsregel från bladet Incidenter för att kunna svara på en enda återkommande incident. Detta är användbart när du skapar en undertryckningsregel för att automatiskt stänga "bullriga" incidenter. Välj en incident i kön och välj Skapa automatiseringsregel på den översta menyn.

Du kommer att märka att panelen Skapa ny automatiseringsregel har fyllt alla fält med värden från incidenten. Den namnger regeln med samma namn som incidenten, tillämpar den på analysregeln som genererade incidenten och använder alla tillgängliga entiteter i incidenten som villkor för regeln. Det föreslår också en undertryckningsåtgärd (stängning) som standard och föreslår ett förfallodatum för regeln. Du kan lägga till eller ta bort villkor och åtgärder och ändra förfallodatumet som du vill.

Komponenter i en automationsregel

Automationsregler består av flera komponenter:

  • Utlösare: Automation-regler utlöses när en incident skapas.

    Granska – incidenter skapas från aviseringar av analysregler, av vilka det finns flera typer, enligt beskrivningen i självstudien Identifiera hot med inbyggda analysregler i Microsoft Sentinel.

  • Villkor: Komplexa uppsättningar med villkor kan definieras för att styra när åtgärder (se nedan) ska köras. Dessa villkor baseras vanligtvis på tillstånd eller värden för attribut för incidenter och deras entiteter, och de kan innehålla OPERATORER FÖR AND/OR/NOT/CONTAINS.

  • Åtgärder: Åtgärder kan definieras att köras när villkoren (se ovan) uppfylls. Du kan definiera många åtgärder i en regel och du kan välja i vilken ordning de ska köras (se nedan). Följande åtgärder kan definieras med hjälp av automatiseringsregler, utan att du behöver de avancerade funktionerna i en spelbok:

    • Ändra status för en incident och hålla arbetsflödet uppdaterat.

      När du ändrar till "stängd" anger du stängningsorsaken och lägger till en kommentar. Detta hjälper dig att hålla reda på din prestanda och effektivitet och finjustera för att minska falska positiva identifieringar.

    • Ändra allvarlighetsgraden för en incident – du kan omvärdera och omprioritera baserat på närvaro, frånvaro, värden eller attribut för entiteter som är inblandade i incidenten.

    • Tilldela en incident till en ägare – detta hjälper dig att dirigera typer av incidenter till den personal som passar bäst för att hantera dem, eller till den mest tillgängliga personalen.

    • Lägga till en tagg i en incident – detta är användbart för att klassificera incidenter efter ämne, av angripare eller av någon annan gemensam nämnare.

    Du kan också definiera en åtgärd för att köra en spelbok för att vidta mer komplexa svarsåtgärder, inklusive alla som omfattar externa system. Endast spelböcker som aktiveras av incidentutlösaren är tillgängliga för användning i automatiseringsregler. Du kan definiera en åtgärd för att inkludera flera spelböcker eller kombinationer av spelböcker och andra åtgärder och i vilken ordning de ska köras.

    Spelböcker som använder antingen version av Logic Apps (standard eller förbrukning) kommer att vara tillgängliga för körning från automatiseringsregler.

  • Förfallodatum: Du kan definiera ett förfallodatum för en automatiseringsregel. Regeln inaktiveras efter det datumet. Detta är användbart för hantering av (dvs. stänga) "brus"-incidenter som orsakas av planerade, tidsbegränsade aktiviteter, till exempel intrångstestning.

  • Ordning: Du kan definiera i vilken ordning automationsregler ska köras. Senare kommer automatiseringsregler att utvärdera villkoren för incidenten enligt dess tillstånd efter att ha följts av tidigare automatiseringsregler.

    Om till exempel "First Automation Rule" ändrade en incidents allvarlighetsgrad från Medel till Låg, och "Second Automation Rule" definieras för att endast köras på incidenter med medelhög eller högre allvarlighetsgrad, körs den inte på den incidenten.