共用方式為


建立和使用 Microsoft Sentinel 自動化規則來管理回應

本文說明如何在 Microsoft Sentinel 中建立和使用自動化規則來管理及協調威脅回應,將 SOC 的效率與有效性最大化。

在本文中,您將了解如何定義觸發程序和條件,以決定自動化規則何時執行、您可以使規則執行的各種動作,以及其餘的特徵和功能。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

設計自動化規則

建立自動化規則之前,建議您先判斷其範圍和設計,包括構成規則的觸發程序、條件和動作。

決定範圍

設計和定義自動化規則的第一步是找出您想要將其套用至哪些事件或警示。 此判定會直接影響您建立規則的方式。

您也想要決定您的使用案例。 您嘗試使用此自動化完成哪些工作? 請考慮下列選項:

  • 為分析人員建立工作,以追蹤分級、調查和補救事件。
  • 隱藏雜訊事件。 (或者,使用其他方法 在 Microsoft Sentinel 中處理誤判。)
  • 將新事件的狀態從 [新增] 變更為 [作用中],並指派擁有者來分級該事件。
  • 標記事件以將其分類。
  • 指派新的擁有者來呈報事件。
  • 關閉已解決的事件,同時指定原因並新增註解。
  • 分析事件的內容 (警示、實體和其他屬性),並藉由呼叫劇本採取進一步的動作。
  • 處理或回應沒有相關聯事件的警示。

決定觸發程序

您要在建立新事件或警示時啟動此自動化嗎? 或者,每當事件更新時?

建立或更新事件建立警示時會觸發自動化規則。 回想一下,事件包括警示,而且警示和事件都可以由分析規則建立,其中有許多類型,如 Microsoft Sentinel 中的威脅偵測 中所述。

下表顯示會導致自動化規則執行的不同可能案例。

觸發程序類型 導致規則執行的事件
建立事件時 Microsoft Defender 入口網站:
  • 在 Microsoft Defender 入口網站中建立新的事件。

    Microsoft Sentinel 未上線至 Defender 入口網站:
  • 分析規則建立新事件。
  • 從 Microsoft Defender XDR 擷取事件。
  • 手動建立新事件。
  • 更新事件時
  • 事件的狀態已變更 (已關閉/已重新開啟/已分級)。
  • 已指派或變更事件的擁有者。
  • 已提升或降低事件的嚴重性。
  • 警示新增至事件。
  • 註解、標籤或策略新增至事件。
  • 建立警示時
  • 警示是由 Microsoft Sentinel 排程NRT 分析規則建立的。
  • 建立自動化規則

    下列大部分指示適用於您將為其建立自動化規則的任何和所有使用案例。

    如果您要隱藏嘈雜的事件,請嘗試 處理誤判

    如果您要建立要套用至特定分析規則的自動化規則,請參閱 設定自動化回應並建立規則

    若要建立自動化規則

    1. 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]

    2. 從 [Microsoft Sentinel] 導覽功能表中的 [自動化] 頁面,從頂端功能表中選取 [建立],然後選擇 [自動化規則]

    3. [建立新的自動化規則] 面板隨即開啟。 在 [自動化規則名稱] 欄位中,輸入規則的名稱。

    選擇您的觸發程序

    從 [觸發程序] 下拉式清單,根據您要建立自動化規則的情況選取適當的觸發程序:建立事件時事件更新時,或建立警示時

    選取事件建立或事件更新觸發程序的螢幕擷取畫面。

    定義條件

    使用 [條件] 區域中的選項來定義自動化規則的條件。

    • 建立警示時所建立的規則僅支持條件中的 [如果 Analytic 規則名稱] 屬性。 選取是否要包含規則 ([包含]) 或獨佔 ([不包含]),然後從下拉式清單中選取分析規則名稱。

      分析規則名稱值只包含分析規則,而不包含其他類型的規則,例如威脅情報或異常規則。

    • 建立或更新事件時所建立的規則會根據您的環境支援各種不同的條件。 這些選項會從您的工作區是否已上線至 Defender 入口網站開始:

      如果您的工作區已上線至 Defender 入口網站,請從在 Azure 或 Defender 入口網站中選取下列其中一個操作員開始:

      • AND:視為群組一起評估的個別條件。 如果此類型的 所有 條件均滿足,規則就會執行。

        若要使用 AND 運算子,請從下拉式清單中選取 [+ 新增] 展開器,然後選擇 [條件 (And)]。 事件屬性和實體屬性欄位即會填入條件清單。

      • OR (也稱為 條件群組):條件群組,每個條件群組都會獨立評估。 如果一或多個條件群組成立,規則就會執行。 若要了解如何使用這些複雜類型的條件,請參閱將進階條件新增至自動化規則

      例如:

      當您的工作區上線至 Defender 入口網站時,自動化規則條件的螢幕快照。

      如果您選取 [事件更新] 作為觸發程序,請從定義條件開始,然後視需要新增額外的運算子和值。

    若要定義條件

    1. 從左側第一個下拉式方塊中選取屬性。 您可以在搜尋方塊中開始輸入屬性名稱的任何部分,來動態篩選清單,讓您可以快速找到您要尋找的內容。

      在搜尋方塊中輸入以篩選選項清單的螢幕擷取畫面。

    2. 從右邊下一個下拉式方塊中選取運算子。 選取自動化規則條件運算子的螢幕擷取畫面。

      您可以從中選擇的運算子清單會根據選取的觸發程序和屬性而有所不同。

      可與建立觸發程序搭配使用的條件

      屬性 運算子集
      - 標題
      - 說明
      - 所有列出的 實體屬性
        (請參閱支援的實體屬性)
      - 等於/不等於
      - 包含/不包含
      - 開頭為/開頭不是
      - 結尾為/結尾不是
      - 標記 (請參閱 個別與集合) 任何個別標記:
      - 等於/不等於
      - 包含/不包含
      - 開頭為/開頭不是
      - 結尾為/結尾不是

      所有標記的集合:
      - 包含/不包含
      - 嚴重性
      - 狀態
      - 自訂詳細資料鍵
      - 等於/不等於
      - 策略
      - 警示產品名稱
      - 自訂詳細資料值
      - 分析規則名稱
      - 包含/不包含

      可與更新觸發程序搭配使用的條件

      屬性 運算子集
      - 標題
      - 說明
      - 所有列出的 實體屬性
        (請參閱支援的實體屬性)
      - 等於/不等於
      - 包含/不包含
      - 開頭為/開頭不是
      - 結尾為/結尾不是
      - 標記 (請參閱 個別與集合) 任何個別標記:
      - 等於/不等於
      - 包含/不包含
      - 開頭為/開頭不是
      - 結尾為/結尾不是

      所有標記的集合:
      - 包含/不包含
      - 標記 (除上述之外)
      - 警示
      - 註解
      - 已新增
      - 嚴重性
      - 狀態
      - 等於/不等於
      - 已變更
      - 變更自
      - 變更為
      - 負責人 - 已變更
      - 更新者
      - 自訂詳細資料鍵
      - 等於/不等於
      - 策略 - 包含/不包含
      - 已新增
      - 警示產品名稱
      - 自訂詳細資料值
      - 分析規則名稱
      - 包含/不包含

      警示觸發程序可用的條件

      根據警示建立觸發程序的規則可以評估的唯一條件,就是哪一則 Microsoft Sentinel 分析規則建立了該警示。

      根據警示觸發程序的自動化規則只會在 Microsoft Sentinel 建立的警示出現時執行。

    3. 在右側的欄位中輸入值。 視您選擇的屬性而定,這可能是文字輸入區域或從關閉的值清單中選取的下拉式清單。 您也可以選取文字輸入區域右邊的骰子圖示來新增數個值。

      在自動化規則中將值新增至條件的螢幕擷取畫面。

    同樣,若要使用不同欄位設定複雜 Or 條件,請參閱將進階條件新增至自動化規則

    以標記為基礎的條件

    您可以根據標記建立兩種條件:

    • 具有 任何個別標記 運算子的條件都會根據集合中的每個標記評估指定的值。 至少有一個標籤符合條件時,則評估為 true
    • 具有 所有標記集合 運算子的條件會將指定的值對所有標記的集合 (視為單一單元) 進行評估。 只有在整個集合都符合條件時,才會評估為 true

    若要根據事件的標記新增下列其中一個條件,請執行下列步驟:

    1. 如上所述,建立新的自動化規則。

    2. 新增條件或條件群組。

    3. 從 [屬性] 下拉式清單中選取 [標記]

    4. 選取運算子下拉式清單,以顯示可供選擇的可用運算子。

      請參閱運算子如何分割成兩個類別,如先前所述。 根據您想要評估標記的方式,仔細選擇您的運算子。

      如需詳細資訊,請參閱 Tag 屬性:個別與集合

    根據自訂詳細資料的條件

    您可以將事件中呈現的自訂詳細資料的值設定為自動化規則的條件。 回想一下,自訂詳細資料是原始事件記錄檔記錄中的資料點,可以在警示和從中產生的事件中呈現和顯示。 使用自訂詳細資料來取得警示中的實際相關內容,而不需要深入探索查詢結果。

    若要根據自訂詳細資料新增條件

    1. 先前所述,建立新的自動化規則。

    2. 新增條件或條件群組。

    3. 自屬性下拉式清單選取 [自訂詳細資料金鑰]。 自運算子下拉式清單選取 [等於] 或 [不等於]

      針對自訂詳細資料條件,最後下拉式清單中的值來自第一個條件所列出所有分析規則中呈現的自訂詳細資料。 選取所要作為條件的自訂詳細資料。

      新增自訂詳細資料索引鍵作為條件的螢幕擷取畫面。

    4. 您選擇要評估此條件的欄位。 現在指定出現在該欄位中的值,讓此條件評估為 true
      選取 [+ 新增項目條件]

      選取自動化規則新增項目條件的螢幕擷取畫面。

      值條件行如下所示。

      顯示自訂詳細資料值欄位的螢幕擷取畫面。

    5. 自運算子下拉式清單選取 [包含] 或 [不包含]。 在右側的文字方塊中,輸入要讓條件評估為 True 的值。

      已填入自訂詳細資料值欄位的螢幕擷取畫面。

    在此範例中,若事件有自訂詳細資料 DestinationEmail,而且該詳細資料的值是 pwned@bad-botnet.com,則將執行自動化規則中定義的動作。

    新增動作

    選擇您希望此自動化規則採取的動作。 可用的動作包括指派擁有者變更狀態變更嚴重性新增標籤執行劇本。 您可以視需要盡量新增動作。

    注意

    只有使用警示觸發程式的自動化規則才可使用執行劇本動作。

    在自動化規則中選取之動作清單的螢幕擷取畫面。

    無論您選擇哪一個動作,請根據您想要完成的動作填寫該動作所顯示的欄位。

    如果您新增 [執行劇本] 動作,系統會提示您從可用劇本的下拉式清單中選擇。

    • 只有以事件觸發程序開始的劇本可以使用其中一種事件觸發程序從自動化規則執行,因此這類劇本只會出現在清單中。 同樣地,只有以警示觸發程式開頭的劇本才能在自動化規則中使用警示觸發程式。

    • Microsoft Sentinel 必須獲得授與明確權限,才能執行劇本。 如果劇本在下拉式清單中呈現無法使用,表示 Sentinel 沒有存取該劇本資源群組的權限。 若要指派權限,請選取 [管理劇本權限] 連結。

      在開啟的 [管理權限] 面板中,標示包含您要執行劇本的資源群組核取方塊,然後選取 [套用]

      管理權限

      您自己必須在您想要授與 Microsoft Sentinel 權限的任何資源群組中擁有 擁有者 權限,而且您必須在包含您要執行之劇本的任何資源群組中擁有 Microsoft Sentinel 自動化參與者 角色。

    • 如果您還沒有採取所需動作的劇本,請建立新的劇本。 您必須結束自動化規則建立流程,並在建立了劇本之後將其重新啟動。

    移動動作

    即使在新增動作之後,您仍可以變更規則中動作的順序。 選取每個動作旁的藍色向上或向下箭號,以向上或向下移動一個步驟。

    顯示如何向上或向下移動動作的螢幕擷取畫面。

    完成規則的建立

    1. 在 [規則到期] 底下,如果您希望自動化規則到期,請設定到期日,並選擇性地設定時間。 否則,請將它保留為 [無限期]

    2. [順序] 欄位會預先填入規則觸發程序類型的下一個可用號碼。 此號碼會決定此規則將在自動化規則序列 (相同觸發程序類型) 中執行的位置。 如果您想要此規則在現有規則之前執行,您可以變更編號。

      如需詳細資訊,請參閱執行順序和優先順序的注意事項

    3. 選取套用。 大功告成!

    建立自動化規則最後步驟的螢幕擷取畫面。

    稽核自動化規則活動

    瞭解哪些自動化規則可能已對特定事件進行。 您可以在 Azure 入口網站 [記錄] 頁面中的 [SecurityIncident] 資料表,或 Azure 入口網站中的 [進階搜捕] 頁面,取得事件記錄的完整記錄。 使用下列查詢來查看所有自動化規則活動:

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    自動化規則執行

    自動化規則會根據您決定的順序循序執行。 每個自動化規則會在上一個自動化規則完成其執行之後執行。 在自動化規則內,所有動作都會依其定義的順序循序執行。 如需詳細資訊,請參閱執行順序和優先順序的注意事項

    根據下列準則,自動化規則內的劇本動作可能會以不同方式處理:

    劇本執行時間 自動化規則前進到下一個動作…
    少於一秒 劇本完成之後立即執行
    少於兩分鐘 劇本開始執行之後最多兩分鐘,
    但在劇本完成之後不超過 10 秒
    超過兩分鐘 劇本開始執行之後兩分鐘,
    不論其是否已完成

    下一步

    在本文件中,您已了解如何使用自動化規則集中管理 Microsoft Sentinel 事件和警示的回應自動化。