將進階條件新增至 Microsoft Sentinel 自動化規則
本文說明如何將進階「Or」條件新增至 Microsoft Sentinel 中的自動化規則,以取得更有效的事件分級。
在自動化規則的 [條件] 區段中,以條件群組的形式新增「Or」條件。
條件群組可以包含兩個層級的條件:
簡單:至少兩個條件,每個條件都以
OR
運算子分隔:- A
OR
B - A
OR
BOR
C (請參閱下方的範例 1B。) - 依此類推。
- A
複合:超過兩個條件,至少在
OR
運算子的一端至少有兩個條件:- (A
and
B)OR
C - (A
and
B)OR
(Cand
D) - (A
and
B)OR
(Cand
Dand
E) - (A
and
B)OR
(Cand
D)OR
(Eand
F) - 依此類推。
- (A
您可以看到這項功能可讓您在決定何時執行規則時提供絕佳的能力與彈性。 也可讓您將許多舊的自動化規則結合成一個新的規則,以大幅提升您的效率。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
新增條件群組
由於條件群組在建立自動化規則時提供更多強大功能和彈性,因此說明如何執行這項操作的最佳方式是呈現一些範例。
讓我們建立一個規則,將傳入事件的嚴重性從任何狀態變更為「高」,假設其符合我們設定的條件。
針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]。
從 [自動化] 頁面頂端的按鈕列選取 [建立] > [自動化規則]。
如需詳細資訊,請參閱建立自動化規則的一般指示。
為規則命名:「分級:將嚴重性變更為高」
選取 [建立事件時] 觸發程序。
在 條件下,如果您看到 事件提供者 和 Analytics 規則名稱 條件,請將它們保留為現狀。 如果您的工作區已上線至 Microsoft Defender 入口網站,則無法使用這些條件。 不論是哪一種情況,我們稍後都會在此程序中新增更多條件。
在 [動作] 下,從下拉式清單中選取 [變更嚴重性]。
從出現在 [變更嚴重性] 下方的下拉式清單中選取 [高]。
例如,下列索引標籤會顯示從上線至 Defender 入口網站的工作區、Azure 或 Defender 入口網站中的範例,以及未上線的工作區:
範例 1:簡單條件
在此第一個範例中,我們將會建立簡單的條件群組:如果條件 A 或 條件 B 為 true,則會執行規則,並將事件的嚴重性設定為 [高]。
選取 [+ 新增] 展開器,然後從下拉式清單中選擇 [條件群組 (或)]。
請查看顯示的兩組條件欄位,以
OR
運算子分隔。 這些是上述的「A」和「B」條件:如果 A 或 B 為 true,規則將會執行。
(不要被「新增」連結的所有不同層混淆 - 這些全部都會說明。)讓我們決定這些條件是什麼。 也就是說,哪兩個不同的狀況會導致事件嚴重性變更為高? 我們的建議如下:
如果事件的關聯 MITRE ATT&CK 策略 包含我們從下拉式清單中選取的四個其中之一 (請參閱下圖),則嚴重性應提升為 [高]。
如果事件包含名為「SUPER_SECURE_STATION」的主機名稱實體,則嚴重性應該會提升為 [高]。
只要至少其中一個條件為 true,我們在規則中定義的動作就會執行,並將事件的嚴重性變更為 [高]。
範例 1A:在單一條件內新增 OR 值
假設我們不是有一個而是有兩個超敏感工作站,而我們想要讓其事件成為高嚴重性。 我們可以藉由選取現有值右邊的骰子圖示並新增下列新值,將其他值新增至現有條件 (針對根據實體屬性的任何條件)。
範例 1B:新增更多 OR 條件
假設我們想要讓此規則在三個 (或以上) 條件的其中一個為 true 時執行。 如果 A 或 B 或 C 為 true,規則將會執行。
記得所有「新增」連結嗎? 若要新增另一個 OR 條件,請選取以線條與
OR
運算子連結的 [+ 新增]。現在,請填入此條件的參數和值,就像您對前兩個條件所執行的動作一樣。
範例 2:複合條件
現在,我們決定要有更多選擇。 我們想要將更多條件新增至原始 OR 條件的每一端。 也就是說,我們想要讓規則在 A 和 B 為 true,或 C 和 D 為 true 時執行。
若要將條件新增至 OR 條件群組的一端,請選取位於現有條件正下方的 [+ 新增] 連結,在您要新增新條件的
OR
運算子 (位於相同藍色區域) 同一端。您會看到在現有條件下新增的新資料列 (位於相同的藍色陰影區域中),以
AND
運算子連結至該資料列。請填入此條件的參數和值,就像您對其他條件所執行的動作一樣。
重複上述兩個步驟,將 AND 條件新增至 OR 條件群組的任一端。
介紹完畢 您可以使用這裡學到的內容來新增更多條件和條件群組,使用 AND
和 OR
運算子的不同組合來建立強大、彈性且有效率的自動化規則,以真正協助 SOC 順暢地執行,並降低您的回應和解決時間。
下一步
在本文件中,您已了解如何使用 OR
運算子將條件群組新增至自動化規則。
- 如需建立基本自動化規則的指示,請參閱建立和使用 Microsoft Sentinel 自動化規則來管理回應。
- 若要深入了解自動化規則,請參閱在 Microsoft Sentinel 中使用自動化規則來自動化事件處理
- 若要深入了解進階自動化選項,請參閱在 Microsoft Sentinel 使用劇本將威脅回應自動化。
- 如需協助實作自動化規則和劇本,請參閱教學課程:使用劇本將 Microsoft Sentinel 中的威脅回應自動化。