使用自動化規則將 Microsoft Sentinel 中的威脅回應自動化 (部分機器翻譯)
本文會說明何謂 Microsoft Sentinel 自動化規則,以及如何使用這些規則來實作您的安全性協調流程、自動化和回應 (SOAR) 作業。 自動化規則會增加 SOC 的有效性,並節省您的時間和資源。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
什麼是自動化規則?
自動化規則是在 Microsoft Sentinel 中集中管理自動化的方法,方法是讓您定義並協調一小組可套用至不同案例的規則。
自動化規則適用於下列使用案例類別:
執行事件處理的基本自動化工作,而不需使用劇本。 例如:
- 新增事件工作供分析師遵循。
- 隱藏雜訊事件。
- 將新事件的狀態從 [新增] 變更為 [作用中],並指派擁有者來分級該事件。
- 標記事件以將其分類。
- 指派新的擁有者來呈報事件。
- 關閉已解決的事件,同時指定原因並新增註解。
一次將多個分析規則的回應自動化。
控制執行的動作順序。
檢查事件的內容 (警示、實體和其他屬性),並藉由呼叫劇本採取進一步動作。
自動化規則也可以是您據以執行劇本的機制,以回應與事件無關聯的警示。
簡單地說,自動化規則可簡化在 Microsoft Sentinel 中自動化的使用,讓您簡化威脅回應協調程序的複雜工作流程。
元件
自動化規則是由數個元件所組成:
觸發程序
建立或更新事件或建立警示時會觸發自動化規則。 回想一下,事件包括警示,而且警示和事件都可以由分析規則建立如 Microsoft Sentinel 中的威脅偵測中所述。
下表顯示會導致自動化規則執行的不同可能案例。
| 觸發程序類型 | 導致規則執行的事件 |
|---|---|
| 建立事件時 | Microsoft Defender 入口網站: Microsoft Sentinel 未上線至 Defender 入口網站: |
| 更新事件時 | |
| 建立警示時 |
基於事件或警示的自動化?
透過自動化規則集中處理事件和警示的回應,您應該如何選擇要自動化哪些項目,以及哪些情況?
在大部分的使用案例中,事件觸發的自動化是較佳的方法。 在 Microsoft Sentinel 中,事件是「案例檔案」,也就是特定調查的所有相關辨識項的彙總。 它是用於警示、實體、註解、共同作業和其他成品的容器。 不同於屬於辨識項的單一片段的警示,事件可修改的、具有最新狀態,且可以使用註解、標記和書籤來擴充。 事件可讓您追蹤隨著新警示的增加而持續演進的攻擊案例。
基於這些原因,圍繞著事件建置您的自動化更為合理。 因此,建立劇本的最適當方式,就是讓其以 Azure Logic Apps 中的 Microsoft Sentinel 事件觸發程序為基礎。
使用警示觸發的自動化的主要原因,是為了回應分析規則產生的警示,其不會建立事件 (亦即,在 [分析規則精靈] 的 [事件設定] 索引標籤中已停用事件建立)。
當您的 Microsoft Sentinel 工作區上線至 Defender 入口網站時,此原因特別相關。 在此案例中,所有事件建立都會在Defender入口網站中發生,因此必須停用Sentinel中Microsoft事件建立規則。
即使未上線至整合入口網站,如果您想要使用其他外部邏輯來判斷是否及何時從警示建立事件,以及如何將警示分組在一起,您還是可能決定使用警示觸發的自動化。 例如:
由沒有相關聯事件的警示觸發的劇本可使用來自其他來源的資訊來擴充警示,以及根據某些外部邏輯來決定是否要建立事件。
由警示觸發的劇本可以不建立事件,而是尋找要新增警示的適當現有事件。 深入了解事件擴充。
由警示觸發的劇本可以通知 SOC 人員相關的警示,使得小組可以決定是否要建立事件。
由警示觸發的劇本可以將警示傳送至外部票證系統,以建立和管理事件,而該系統會為每個警示建立新的票證。
注意
警示觸發的自動化僅適用於排程、NRT 和 Microsoft 安全性分析規則所建立的警示。
Microsoft Defender 全面偵測回應 所建立警示的警示觸發自動化無法在Defender入口網站中使用。 如需詳細資訊,請參閱 Defender入口網站中的自動化。
條件
您可以定義要在應該執行動作 (請參閱下方) 時治理的複雜條件集。 這些條件包含觸發規則的事件 (已建立或已更新事件,或已建立警示)、事件屬性和實體屬性的狀態或值 (僅適用事件觸發程序),以及產生事件或警示的一或多個分析規則。
觸發自動化規則後,便會根據規則中定義的條件檢查觸發事件或警示。 針對事件,屬性型條件會根據屬性在評估開始時的目前狀態,或根據屬性的狀態變更 來進行評估 (如需詳細資訊,請參閱下文)。 由於單一的事件建立或更新事件可能會觸發多條自動規則,規則執行的順序 (請參閱下文) 會導致不同的條件評估結果。 只有在滿足所有條件時,規則中定義的動作才會執行。
事件建立觸發程序
針對使用建立事件時觸發程序來定義的規則,您可以使用下列一或多個運算子,定義檢查指定事件屬性清單值目前狀態的條件:
- 等於或不等於條件中定義的值。
- 包含或不包含條件中定義的值。
- 開頭為或開頭不為條件中定義的值。
- 結尾為或結尾不為條件中定義的值。
例如,如果您將分析規則名稱定義為包含 == 對雲端電腦的暴力密碼破解攻擊,則對 Azure 入口網站的暴力密碼破解攻擊的分析規則不符合條件。 不過,如果您將分析規則名稱定義為不包含 == 使用者認證,則對雲端電腦的暴力密碼破解攻擊和對 Azure 入口網站的暴力密碼破解分析規則都符合條件。
注意
此內容中的目前狀態 是指評估條件的當下,也就是自動化規則執行的當下。 若定義執行多個自動化規則來回應此事件的建立,便會將較早執行的自動化規則對事件的變更,視為較晚執行規則的目前狀態。
事件更新觸發程序
在使用更新事件時觸發程序定義的規則中評估的條件,包含針對事件建立觸發程序列出的所有條件。 不過更新觸發程序包含更多可評估的屬性。
其中一個屬性是更新者。 此屬性可讓您追蹤對事件進行變更的來源類型。 您可以根據您是否將工作區上線至 Defender 入口網站,建立評估事件是否由下列其中一個值更新的條件:
- 應用程式,包括 Azure 和 Defender 入口網站中的應用程式。
- 使用者,包括 Azure 和 Defender 入口網站中的使用者所做的變更。
- AIR,供適用於 Office 365 的 Microsoft Defender 中的自動化調查和回應用於更新
- 警示群組 (已將警示新增至事件),包括由分析規則和內建的 Microsoft Defender XDR 相互關聯邏輯完成的警示群組
- 劇本
- 自動化規則
- 其他 (如果上述值都不適用)
例如,若您使用此條件,便可指示此自動化規則在所有對事件的變更上執行,除非變更是由另一個自動化規則進行。
此外,更新觸發程序也會使用其他運算子來檢查事件屬性值及其目前狀態的狀態變更。 若出現下列情況,便可符合狀態變更條件:
事件屬性的值
- 已變更 (無論之前或之後的實際值為何)。
- 是從 條件中定義的值變更而來。
- 已變更為條件中定義的值。
- 已新增 (這適用於具有值清單的屬性)。
標籤屬性:個別與集合
事件屬性標籤是個別項目的集合 — 單一事件可套用多個標籤。 您可以定義個別檢查集合中每個標籤的條件,以及將標籤集合視為單位來檢查的條件。
- 任何個別標籤運算子會檢查集合中每個標籤的條件。 至少有一個標籤符合條件時,則評估為 true。
- 所有標籤的集合運算子會將標籤集合視為一個單位來檢查其條件。 只有在整個集合都符合條件時,才會評估為 true。
若條件為否定形式 (不包含),且集合中的部分標籤符合條件,部分不符合,此差異就有其重要性。
我們來看看範例,您的條件是標籤不包含 "2024",且您有兩個事件,分別各有兩個標籤:
| \ 事件 ▶ 條件 ▼ \ |
事件 1 標籤 1:2024 標籤 2:2023 |
事件 2 標籤 1:2023 標籤 2:2022 |
|---|---|---|
| 任何個別標籤 不包含 "2024" |
TRUE | TRUE |
| 所有標籤的集合 不包含 "2024" |
FALSE | TRUE |
在此範例的事件 1 中:
- 如果條件會個別檢查每個標籤,則因為至少有一個標籤符合條件 (不包含 "2024"),整體條件將是 true。
- 如果條件會將事件中的所有標籤視為一個單位來檢查,則因為至少有一個標籤不符合條件 (包含 "2024"),整體條件將是 false。
在事件 2 中,無論定義哪種類型的條件,結果都會相同。
支援的實體屬性
如需支援作為自動化規則條件的實體屬性清單,請參閱 Microsoft Sentinel 自動化規則參考。
警示建立觸發程序
目前可以為警示建立觸發程序設定的唯一條件是自動化規則將執行的一組分析規則。
動作
您可以定義要在符合條件 (請參閱上方) 時執行的動作。 您可以在規則中定義許多動作,且可以選擇動作執行的順序 (請參閱下方)。 您可以使用自動化規則來定義下列動作,而不需要劇本的進階功能:
將工作新增至事件 – 您可以建立在事件分級、調查和補救的整個過程中都可供分析師遵循的工作檢查清單,以確保不會遺漏任何關鍵步驟。
變更事件的狀態,讓您的工作流程保持最新狀態。
變更事件的嚴重性 – 您可以根據事件中所涉及實體的存在、不存在、值或屬性來重新評估和重新設定優先順序。
將事件指派給擁有者 – 這可協助您將事件類型導向至最適合處理事件的人員或最有空的人員。
將標記新增至事件 – 這適用於依主旨、攻擊者或任何其他常見分母來分類事件。
您也可以定義要執行劇本的動作,以採取更複雜的回應動作,包括任何涉及外部系統的動作。 可用於自動化規則的劇本取決於劇本和自動化規則所依據的觸發程式:只有事件觸發程序劇本可以從事件觸發程序自動化規則執行,且只有警示觸發程序劇本可以從警示觸發程序自動化規則執行。 您可以定義多個動作來呼叫劇本,或劇本和其他動作的組合。 動作將依照規則中所列的順序執行。
使用任一 Azure Logic Apps 版本 (標準或使用量) 的劇本將可以從自動化規則執行。
到期日
您可以在自動化規則上定義到期日。 規則會在該日期之後停用。 這適用於處理 (即關閉) 滲透測試這類計劃性限時活動所造成的「雜訊」事件。
訂單
您可以定義自動化規則的執行順序。 後續的自動化規則會根據先前自動化規則所處理後的狀態來評估事件的條件。
例如,如果「第一個自動化規則」已將事件的嚴重性從「中」變更為「低」,而「第二個自動化規則」定義為只在具有「中」或更高嚴重性的事件上執行,則不會在該事件上執行。
新增事件工作的自動化規則順序,會決定工作出現在指定事件中的順序。
以更新觸發程序為基礎的規則擁有自己的個別順序佇列。 若觸發這類規則,使其在剛建立的事件 (由另一個自動化規則所做變更建立) 上執行,規則只會在以建立觸發程序為基礎的所有適用規則完成執行之後執行。
執行順序和優先順序的注意事項
- 在自動化規則中設定順序編號,可決定其執行順序。
- 每個觸發程序類型都保有其本身的佇列。
- 對於在 Azure 入口網站中建立的規則,[順序] 欄位會自動填入相同觸發程序類型的現有規則所使用的最大編號之後的編號。
- 不過,對於以其他方式 (命令列、API 等) 建立的規則,則必須手動指派順序編號。
- 沒有任何驗證機制可防止多個規則具有相同的順序編號,即使在相同的觸發程序類型內亦然。
- 如果您不在意其執行順序,您可以允許兩個或更多屬於相同觸發程序類型的規則具有相同的順序編號。
- 屬於相同觸發程序類型的規則若具有相同的順序編號,執行引擎會隨機選取哪些規則將以何種順序執行。
- 對於不同事件觸發程序類型的規則,所有具有事件建立觸發程序類型的適用規則都會先執行 (根據其順序編號),然後才會執行事件更新觸發程序類型的規則 (根據其順序編號)。
- 規則一律會循序執行,絕不會平行執行。
注意
上線至 Defender 入口網站之後,如果在 5 到 10 分鐘內對相同事件進行多項變更,則只會將單一更新傳送至 Microsoft Sentinel,且只有最新的變更。
常見使用案例和個案
事件工作
自動化規則可讓您擬定事件分級、調查和補救所需的標準化步驟,具體方式為根據您在自動化規則中設定的條件,以及基礎分析規則中的威脅偵測邏輯,建立可套用至單一事件、事件的各個群組或所有事件的工作。 套用至事件的工作會出現在事件的頁面中,分析師所需採取的動作會完整列出,且方便取用,不會遺漏任何關鍵步驟。
事件和警示觸發的自動化
自動化規則可藉由建立或更新事件來觸發,也可以藉由建立警示觸發。 這些出現項目可以觸發自動化回應鏈結,其可以包括劇本 (需要特殊權限)。
為 Microsoft 提供者觸發劇本
自動化規則可讓您將這些規則套用至從警示建立的事件,藉此將 Microsoft 安全性警示的處理自動化。 自動化規則可以呼叫劇本 (需要特殊權限) 並將事件和其所有詳細資料傳遞給劇本,包括警示和實體。 一般而言,Microsoft Sentinel 最佳做法會決定使用事件佇列作為安全性作業的焦點。
Microsoft 安全性警示包含下列各項:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for Cloud Apps
- 適用於 Office 365 的 Microsoft Defender
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- 適用於 IoT 的 Microsoft Defender
單一規則中的多個循序劇本/動作
您現在幾乎可以完全控制單一自動化規則中動作和劇本的執行順序。 您也可以控制自動化規則本身的執行順序。 這可讓您大幅簡化劇本,將其縮減為單一工作或小型直接的工作序列,並在不同的自動化規則中,將這些小型劇本合併為不同的組合。
一次將一個劇本指派給多個分析規則
若您有想要在所有分析規則上自動化的工作 (例如在外部票證系統中建立支援票證),您可以一次將單一劇本套用至任一或所有分析規則,包括未來的規則。 這可減少許多簡單但重複的維護和內務處理工作所帶來的麻煩。
事件的自動指派
您可以將事件自動指派給正確的擁有者。 若您的 SOC 有專門負責某個特定平臺的分析師,便可將與該平臺相關的所有事件自動指派給該分析師。
事件歸併
您可以使用規則來自動解析已知為誤判/良性確判的事件,而不需要使用劇本。 例如,在執行滲透測試、執行排程維護或升級,或測試自動化程序時,可能會建立許多 SOC 想要忽略的誤判事件。 限時自動化規則可以在建立事件時自動關閉這些事件,同時以事件產生原因的描述項來標記這些事件。
限時自動化
您可以新增自動化規則的到期日。 除了事件歸併外,可能會有其他需要限時自動化的情況。 您可能會想要在特定時間範圍內,將特定類型的事件指派給特定使用者 (例如實習生或顧問)。 若事先知道時間範圍,您便可以在規則的相關性結束時有效停用規則,而不需要記得去停用。
自動標記事件
您可以將任意文字標記自動新增至事件,以根據您選擇的任何準則將事件分組或分類。
由更新觸發程序新增的使用案例
現在對事件的變更可以觸發自動化規則,因此更多案例會開放自動化。
在事件演進時擴充自動化
您可以使用更新觸發程序,在進行事件調查和分析師新增警示、註解和標記時,將上述多個使用案例套用至事件。 控制事件中的警示群組。
更新協調流程和通知
對事件進行變更時,請通知您的各種小組和其他人員,避免他們錯過重大更新。 將事件指派給新的擁有者,並通知新的擁有者他們已受到指派,藉此呈報事件。 控制事件重新開啟的時間和方式。
維護與外部系統的同步處理
若建立事件時,您已在外部系統中建立票證,便可使用更新觸發程序自動化規則來呼叫將更新這些票證的劇本。
自動化規則執行
自動化規則會根據您決定的順序循序執行。 每個自動化規則都會在上一個自動化規則完成執行之後執行。 在自動化規則內,所有動作都會依定義的順序循序執行。
根據下列準則,自動化規則內的劇本動作可能會以不同方式處理:
| 劇本執行時間 | 自動化規則前進到下一個動作… |
|---|---|
| 少於一秒 | 劇本完成之後立即執行 |
| 少於兩分鐘 | 劇本開始執行之後最多兩分鐘, 但在劇本完成之後不超過 10 秒 |
| 超過兩分鐘 | 劇本開始執行之後兩分鐘, 不論其是否已完成 |
自動化規則的劇本執行權限
當 Microsoft Sentinel 自動化規則執行劇本時,該規則會使用特別授權進行此動作的特殊 Microsoft Sentinel 服務帳戶。 使用此帳戶 (而不是您的使用者帳戶) 可提升服務的安全性層級。
為了讓自動化規則可執行劇本,必須將劇本所在資源群組的明確權限授與此帳戶。 這時,所有自動化規則即可在該資源群組中執行任何劇本。
當您在設定自動化規則和新增 [執行劇本] 動作時,會出現劇本的下拉式清單。 Microsoft Sentinel 無權使用的劇本會顯示為無法使用 (「灰色」)。 您可以選取 [管理劇本權限] 連結,即刻將 Microsoft Sentinel 權限授與劇本的資源群組。 若要授與這些權限,您會需要這些資源群組的擁有者權限。 請參閱完整權限需求。
多租用戶架構中的權限
自動化規則完全支援跨工作區和多租用戶部署 (在多租用戶的情況下,並會使用 Azure Lighthouse 進行支援)。
因此,若您的 Microsoft Sentinel 部署使用多租用戶架構,您可以讓一個租用戶中的自動化規則執行位於不同租用戶的劇本,但 Sentinel 的劇本執行權限必須在劇本所在的租用戶中定義,而不是定義自動化規則的租用戶。
在受控安全性服務提供者 (MSSP) 的特定案例中 (即服務提供者租用戶會在客戶租用戶中管理 Microsoft Sentinel 工作區),有兩個需要注意的特定案例:
將在客戶租用戶中建立的自動化規則設定為執行位於服務提供者租用戶的劇本。
此方法通常用來保護劇本中的智慧財產。 要運作此案例並不需要特殊項目。 當您在自動化規則中定義劇本動作,並進入在劇本所在的相關資源群組上授與 Microsoft Sentinel 權限的階段 (使用 [管理劇本權限] 面板) 時,便可以在您可選擇的資源群組中看到屬於服務提供者租用戶的資源群組。 請參閱此處概述的整個流程。
將在客戶工作區建立 (並登入服務提供者租用戶) 的自動化規則設定為執行位於客戶租用戶的劇本。
不需要保護智慧財產時,就會使用此設定。 若要讓此案例能夠運作,必須將執行劇本的權限授予「兩個租用戶」中的 Microsoft Sentinel。 在客戶租用戶中,您應在 [管理劇本權限] 面板中授與權限,如同上述案例。 若要在服務提供者租用戶中授與相關權限,您必須新增額外的 Azure Lighthouse 委派,以透過 Microsoft Sentinel 自動化參與者角色,在劇本所在的資源群組上授與對 Azure Security Insights 應用程式的存取權。
此案例如下所示:
請參閱我們的指示來進行設定。
建立和管理自動化規則
您可以 根據您的特定需求和使用案例,從Microsoft Sentinel 或 Defender 入口網站中的不同區域建立和管理自動化規則 。
自動化頁面
自動化規則可以在 [自動化] 頁面的 [自動化規則] 索引標籤下集中管理。您可以從該處建立新的自動化規則,以及編輯現有的規則。 您也可以拖曳自動化規則來變更執行順序,並將其啟用或停用。
在 [自動化] 頁面中,您會看到工作區上定義的所有規則及其狀態 (已啟用/已停用),和加以套用的分析規則。
若您希望有自動化規則會套用至 Microsoft Defender XDR 中的事件或 Microsoft Sentinel 中多項分析規則的事件,請直接在 [自動化] 頁面中建立。
分析規則精靈
在 Microsoft Sentinel 分析規則精靈的 [自動化回應] 索引標籤中,您可以在 [自動化規則] 底下檢視、編輯和建立會對在精靈中建立或編輯的特定分析規則套用的自動化規則。
當您在這裡建立自動化規則時,[建立新的自動化規則] 面板會將 [分析規則] 條件顯示為無法使用,因為此規則已設定為只套用至您正在精靈中編輯的分析規則。 您仍然可以使用所有其他設定選項。
事件頁面
您也可以從 [事件] 頁面建立自動化規則,以回應單一週期性事件。 這在建立歸併規則以自動關閉「雜訊」事件時非常有用。
當您在這裡建立自動化規則時,[建立新的自動化規則] 面板的所有欄位都已填入事件的值。 這會將規則命名為與事件相同的名稱、將其套用至已產生事件的分析規則,以及使用事件中的所有可用實體作為規則的條件。 這預設也會建議隱藏 (關閉) 動作,並建議規則的到期日。 您可以視需要新增或移除條件和動作,以及變更到期日。
匯出和匯入自動化規則
將自動化規則匯出至 Azure Resource Manager (ARM) 範本檔案,並從這些檔案匯入規則,作為管理及控制將 Microsoft Sentinel 部署作為程式碼的一部分。 匯出動作會在瀏覽器的下載位置中建立 JSON 檔案,然後您可以重新命名、移動,以及像任何其他檔案一樣處理。
匯出的 JSON 檔案與工作區無關,因此可以匯入至其他工作區,甚至是其他租用戶。 程式碼也可以由版本控制、更新和部署在受控 CI/CD 架構中。
檔案包含自動化規則中定義的所有參數。 任何觸發程序類型的規則都可以匯出至 JSON 檔案。
如需匯出和匯入自動化規則的指示,請參閱匯出和匯入Microsoft Sentinel 自動化規則。
下一步
在本文件中,您已了解自動化規則如何能夠協助您集中管理 Microsoft Sentinel 事件和警示的回應自動化。
- 建立和使用 Microsoft Sentinel 自動化規則來管理事件。
- 使用自動化規則建立分析師的工作清單。
- 若要深入了解進階自動化選項,請參閱在 Microsoft Sentinel 使用劇本將威脅回應自動化。
- 如需協助實作劇本,請參閱教學課程:使用劇本將 Microsoft Sentinel 中的威脅回應自動化。