建立自動化規則

  • 3 分鐘

自動化規則是集中管理事件處理自動化的方法,可讓您執行簡單的自動化工作,而不需要使用劇本。 例如,自動化規則可讓您自動將事件指派給適當的人員、標記事件以進行分類,以及變更事件的狀態並將其關閉。 自動化規則也可以一次自動化多個分析規則的回應、控制所執行動作的順序,以及針對需要更複雜自動化工作的情況執行劇本。 簡言之,自動化規則可簡化 Microsoft Sentinel 中自動化的使用,讓您可以為事件協調流程程序簡化複雜工作流程。

建立和管理自動化規則

您可以根據特定需求和使用案例,以從 Microsoft Sentinel 體驗的不同點來建立和管理自動化規則。

自動化窗格

您可以在 [自動化規則] 索引標籤的新 [自動化] 窗格 (取代 [劇本] 窗格) 中集中管理自動化規則 (您現在也可以在 [劇本] 索引標籤的這個窗格中管理劇本)。從這裡,您可以建立新的自動化規則,以及編輯現有自動化規則。 您也可以拖曳自動化規則來變更執行順序,並將其啟用或停用。

在 [自動化] 窗格中,您會看到工作區上定義的所有規則和其狀態 (已啟用/已停用),以及其套用到的分析規則。

當您需要將套用至許多分析規則的自動化規則時,請直接在 [自動化] 窗格中予以建立。 從頂端功能表中,選取 [建立] 和 [新增規則],而這樣會開啟 [建立新的自動化規則] 面板。 在這裡,您可以完全彈性地設定規則:您可以將其套用至任何分析規則 (包括未來的分析規則),以及定義最廣泛的條件和動作。

分析規則精靈

在分析規則精靈的 [自動化回應] 索引標籤中,您可以看到、管理和建立自動化規則,而這些自動化規則會套用至精靈中所建立或編輯的特定分析規則。

當您從 [分析] 窗格頂端功能表中選取 [建立] 和其中一種規則類型 ([已排程查詢規則] 或 [Microsoft 事件建立規則]) 時,或者如果您選取現有分析規則並選取 [編輯],則將會開啟規則精靈。 當您選取 [自動化回應] 索引標籤時,將會看到稱為 [事件自動化] 的區段,其下將會顯示目前套用至此規則的自動化規則。 您可以選取要編輯的現有自動化規則,或選取 [新增] 來建立新的規則。

您會注意到,當您在這裡建立自動化規則時,[建立新的自動化規則] 面板會將分析規則條件顯示為無法使用,因為此規則已設定為只套用至您在精靈中所編輯的分析規則。 您仍然可以使用所有其他設定選項。

事件窗格

您也可以從 [事件] 窗格建立自動化規則,以回應單一週期性事件。 建立隱藏規則以自動關閉「雜訊」事件時,這非常有用。 從佇列中選取事件,然後從頂端功能表中選取 [建立自動化規則]。

您會發現 [建立新的自動化規則] 面板的所有欄位都已填入事件的所有值。 這會將規則命名為與事件相同的名稱、將其套用至已產生事件的分析規則,以及使用事件中的所有可用實體作為規則的條件。 這預設也會建議隱藏 (關閉) 動作,並建議規則的到期日。 您可以視需要新增或移除條件和動作,以及變更到期日。

自動化規則的元件

自動化規則是由數個元件所組成:

  • 觸發程序:事件的建立會觸發自動化規則。

    若要檢閱 – 事件是由分析規則透過警示所建立,其中有數種類型,如〈在 Microsoft Sentinel 中使用內建分析規則來偵測威脅〉教學課程中所說明。

  • 條件:您可以定義要在應該執行動作 (請參閱下方) 時治理的複雜的條件集。 這些條件通常是以事件屬性的狀態或值和其實體為基礎,而且可以包括 AND/OR/NOT/CONTAINS 運算子。

  • 動作:您可以定義要在符合條件 (請參閱上方) 時執行的動作。 您可以在規則中定義許多動作,而且您可以選擇其執行順序 (請參閱下方)。 您可以使用自動化規則來定義下列動作,而不需要劇本的進階功能:

    • 變更事件的狀態,讓您的工作流程保持最新狀態。

      變更為 [已關閉] 時,指定關閉原因,以及新增註解。 這可協助您追蹤效能和有效性,以及微調以減少誤判。

    • 變更事件的嚴重性 – 您可以根據事件中所涉及實體的存在、不存在、值或屬性來重新評估和重新設定優先順序。

    • 將事件指派給擁有者 – 這可協助您將事件類型導向至最適合處理事件的人員或最有空的人員。

    • 將標記新增至事件 – 這適用於依主旨、攻擊者或任何其他常見分母來分類事件。

    您也可以定義要執行劇本的動作,以採取更複雜的回應動作,包括任何涉及外部系統的動作。 只有事件觸發程序所啟動的劇本才可用於自動化規則。 您可以定義一個動作來包括多個劇本,或劇本與其他動作的組合,以及其執行順序。

    使用任一 Logic Apps 版本 (Standard 或 Consumption) 的劇本將可以從自動化規則執行。

  • 到期日:您可以對自動化規則定義到期日。 規則將會在該日期之後予以停用。 這適用於處理 (即關閉) 滲透測試這類計劃性限時活動所造成的「雜訊」事件。

  • 順序:您可以定義自動化規則的執行順序。 之後,自動化規則將會根據先前自動化規則採取動作後的狀態來評估事件的條件。

    例如,如果「第一個自動化規則」將事件的嚴重性從 [中] 變更為 [低],而「第二個自動化規則」定義為只對嚴重性為 [中] 或更高嚴重性的事件執行,則不會對該事件執行。