Создание и использование правил автоматизации Microsoft Sentinel для управления реагированием на угрозы
Эта статья содержит сведения о том, как создать и использовать правила автоматизации в Microsoft Sentinel для управления реагированием на угрозы и их оркестрации с целью повысить эффективность и результативность SOC.
В этой статье вы узнаете, как определить триггеры и условия, определяющие выполнение правила автоматизации, различные действия, которые могут выполнять правило, и остальные функции и функции.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Проектирование правила автоматизации
Перед созданием правила автоматизации рекомендуется определить область и структуру, включая триггер, условия и действия, составляющие правило.
Определение области
Первым шагом в разработке и определении правила автоматизации является определение инцидентов или оповещений, к которым он будет применяться. Это определение напрямую влияет на создание правила.
Вы также определите вариант использования. Что вы пытаетесь выполнить с помощью этой автоматизации? Следуйте приведенным ниже рекомендациям.
- Создавайте задачи для аналитиков, которые следует выполнять в трех случаях, расследовав и исправляя инциденты.
- Подавление инцидентов с помехами. (Кроме того, используйте другие методы для обработки ложных срабатываний в Microsoft Sentinel.)
- Рассмотрение новых инцидентов путем изменения их состояния с "Новый" на "Активный" и назначения владельца.
- Добавление меток к инцидентам, чтобы классифицировать их.
- Эскалация инцидента путем назначения нового владельца.
- Закрытие разрешенных инцидентов путем указания причины и добавления комментариев.
- Проанализируйте содержимое инцидента (оповещения, сущности и другие свойства) и выполните дальнейшие действия путем вызова сборника схем.
- Обработка или реагирование на оповещение без связанного инцидента.
Определение триггера
Необходимо ли активировать эту автоматизацию при создании новых инцидентов или оповещений? Или когда инцидент обновляется?
Правила автоматизации активируются при создании или обновлении инцидента или при создании оповещения. Помните, что инциденты включают оповещения, и что оповещения и инциденты можно создавать с помощью правил аналитики, из которых существует несколько типов, как описано в описании обнаружения угроз в Microsoft Sentinel.
В следующей таблице показаны различные возможные сценарии, которые приводят к выполнению правила автоматизации.
Тип триггера | События, вызывающие выполнение правила |
---|---|
При создании инцидента | Портал Microsoft Defender: Microsoft Sentinel не подключен к порталу Defender: |
При обновлении инцидента | |
При создании оповещения |
Создание правила автоматизации
Большинство приведенных ниже инструкций применяются ко всем вариантам использования, для которых вы создадите правила автоматизации.
Если вы хотите отключить шумные инциденты, попробуйте обработать ложные срабатывания.
Если вы хотите создать правило автоматизации для применения к определенному правилу аналитики, см. статью "Задать автоматические ответы" и создать это правило.
Чтобы создать правило автоматизации, выполните приведенные действия.
Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.
На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать" в верхнем меню и выберите правило автоматизации.
Откроется панель Create new automation rule (Создание правила автоматизации). В поле имени правила автоматизации введите имя правила.
Выбор триггера
В раскрывающемся списке триггера выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации: при создании инцидента, при обновлении инцидента или при создании оповещения.
Определение условий
Используйте параметры в области условий, чтобы определить условия для правила автоматизации.
Правила, создаваемые при создании оповещения, поддерживают только свойство "Если имя правила аналитики" в условии. Выберите, должно ли правило быть включающим (содержит) или эксклюзивным (не содержит), а затем выберите имя правила аналитики из раскрывающегося списка.
Значения имени правила аналитики включают только правила аналитики и не включают другие типы правил, такие как аналитика угроз или правила аномалий.
Правила, создаваемые при создании или обновлении инцидента, поддерживают большое количество условий в зависимости от среды. Эти параметры начинаются с подключения рабочей области к порталу Defender:
Если рабочая область подключена к порталу Defender, начните с выбора одного из следующих операторов на портале Azure или Defender:
И: отдельные условия, которые оцениваются как группа. Правило выполняется, если выполняются все условия этого типа.
Чтобы работать с оператором AND, выберите элемент +Добавить расширитель и выберите условие (И) в раскрывающемся списке. Список условий заполняется в соответствии с полями свойства инцидента и свойства сущности.
ИЛИ (также известные как группы условий): группы условий, каждая из которых оценивается независимо. Правило выполняется, если одно или несколько групп условий имеют значение true. Сведения о работе с этими сложными типами условий см. в статье Добавление расширенных условий в правила автоматизации.
Например:
Если вы выбрали при обновлении инцидента в качестве триггера, начните с определения условий, а затем добавьте дополнительные операторы и значения по мере необходимости.
Чтобы определить условия, выполните следующие действия.
Выберите свойство в первом раскрывающемся списке слева. Вы можете начать вводить любую часть имени свойства в поле поиска для динамической фильтрации списка, чтобы быстро найти нужные элементы.
Выберите оператора из следующего раскрывающегося списка справа.
Список операторов, которых можно выбрать, зависит от выбранного триггера и свойства.
Условия, доступные с помощью триггера создания
Свойство Оператор задан - Заголовок
- Description
- Все перечисленные свойства сущности
(см . поддерживаемые свойства сущности)– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на- Тег (см . отдельную коллекцию и коллекцию) Любой отдельный тег:
– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на
Коллекция всех тегов:
– содержит/не содержит- Уровень серьезности
- Состояние
- Ключ пользовательских сведений– равно/не равно - Тактика
- Имена продуктов оповещений
- Значение пользовательских сведений
- Имя правила аналитики– содержит/не содержит Условия, доступные с помощью триггера обновления
Свойство Оператор задан - Заголовок
- Description
- Все перечисленные свойства сущности
(см . поддерживаемые свойства сущности)– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на- Тег (см . отдельную коллекцию и коллекцию) Любой отдельный тег:
– равно/не равно
– содержит/не содержит
– начинается с/не начинается с
– заканчивается на/не заканчивается на
Коллекция всех тегов:
– содержит/не содержит- Тег (помимо выше)
- Оповещения
- Комментарии– добавлено - Уровень серьезности
- Состояние– равно/не равно
– изменено
– изменено с
– изменено на- Ответственное лицо – изменено - Обновлено
- Ключ пользовательских сведений– равно/не равно - Тактика – содержит/не содержит
– добавлено- Имена продуктов оповещений
- Значение пользовательских сведений
- Имя правила аналитики– содержит/не содержит Условия, доступные с триггером генерации оповещений
Единственное условие, которое можно оценить правилами на основе триггера создания оповещений, является то, что правило аналитики Microsoft Sentinel создало оповещение.
Правила автоматизации, основанные на триггере генерации оповещений, выполняются только в оповещениях, созданных Microsoft Sentinel.
Введите значение в поле справа. В зависимости от выбранного свойства это может быть текстовое поле или раскрывающееся окно, в котором вы выбираете из закрытого списка значений. Вы также можете добавить несколько значений, щелкнув значок кости справа от текстового поля.
Сведения о настройке сложных условий ИЛИ с различными полями см. в разделе Добавление расширенных условий в правила автоматизации.
Условия на основе тегов
Вы можете создать два типа условий на основе тегов:
- Условия с любыми отдельными операторами тегов оценивают указанное значение по каждому тегу в коллекции. Оценка имеет значение true , если по крайней мере один тег удовлетворяет условию.
- Условия с коллекцией всех операторов тегов оценивают указанное значение для коллекции тегов в виде одной единицы. Оценка имеет значение true , только если коллекция в целом удовлетворяет условию.
Чтобы добавить одно из этих условий на основе тегов инцидента, сделайте следующее:
Создайте новое правило автоматизации, как описано выше.
Добавьте условие или группу условий.
Выберите тег из раскрывающегося списка свойств.
Выберите раскрывающийся список операторов, чтобы открыть доступные операторы для выбора.
Узнайте, как операторы разделены на две категории, как описано ранее. Тщательно выберите оператор на основе способа оценки тегов.
Дополнительные сведения см. в разделе "Свойство Тега : отдельная коллекция и коллекция".
Условия на основе пользовательских сведений
Вы можете установить значение пользовательских сведений, отображаемых в инциденте, в качестве условия правила автоматизации. Напомним, что пользовательские сведения — это точки данных в необработанных записях журнала событий, которые могут отображаться в оповещениях и инцидентах, создаваемых на их основе. Используйте пользовательские сведения, чтобы получить фактическое соответствующее содержимое в оповещениях без необходимости копаться в результатах запроса.
Чтобы добавить условие на основе пользовательской детали, выполните приведенные ниже действия.
Создайте новое правило автоматизации, как описано ранее.
Добавьте условие или группу условий.
Выберите ключ настраиваемых сведений из раскрывающегося списка свойств. Выберите Равно или Не равно в раскрывающемся списке операторов.
Для условия пользовательских сведений значения в последнем раскрывающемся списке поступают из пользовательских сведений, которые появились во всех правилах аналитики, перечисленных в первом условии. Выберите пользовательские сведения, которые вы хотите использовать в качестве условия.
Вы выбрали поле, которое вы хотите оценить для этого условия. Теперь укажите значение, отображаемое в этом поле, которое делает это условие значение true.
Выберите + Добавить условие элемента.Строка условия значения отображается ниже.
Выберите Содержит или Не содержит в раскрывающемся списке операторов. В текстовом поле справа введите значение, при котором условие будет истинным.
В этом примере, если в инциденте есть пользовательские сведения DestinationEmail и если значение этих сведений равно [email protected]
, будут выполняться действия, определенные в правиле автоматизации.
Добавление действий
Выберите действия, которые должно выполнять это правило автоматизации. Доступные действия: назначение владельца, изменение состояния, изменение серьезности, добавление тегов и запуск сборника схем. Вы можете добавить любое количество действий по своему усмотрению.
Примечание.
Только действие Запуск сборника схем доступно в правилах автоматизации с помощью триггера оповещения.
Для любого выбранного действия заполните поля, отображаемые для этого действия в соответствии с нужным действием.
Если вы добавите действие сборника схем run, вам будет предложено выбрать из раскрывающегося списка доступных сборников схем.
Только сборники схем, начинающиеся с триггера инцидента, можно запускать из правил автоматизации с помощью одного из триггеров инцидентов, поэтому только они отображаются в списке. Аналогичным образом, только сборники схем, которые начинаются с триггера оповещения, доступны в правилах автоматизации с помощью триггера оповещения.
Microsoft Sentinel необходимо предоставить явные разрешения на запуск сборников схем. Если сборник схем недоступен в раскрывающемся списке, это означает, что Sentinel не имеет разрешений на доступ к группе ресурсов этой сборника схем. Чтобы назначить разрешения, выберите ссылку "Управление разрешениями сборника схем".
На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить.
У вас должны быть разрешения владельца для любой группы ресурсов, в которой требуется предоставить разрешения Microsoft Sentinel, и у вас должна быть роль участника службы автоматизации Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые вы хотите запустить.
Если у вас еще нет сборника схем, который принимает нужное действие, создайте новый сборник схем. После создания сборника схем необходимо выйти из процесса создания правила автоматизации и перезапустить его.
Перемещение действий вокруг
Вы можете изменить порядок действий в правиле даже после их добавления. Выберите синие стрелки вверх или вниз рядом с каждым действием, чтобы переместить его вверх или вниз на один шаг.
Завершите создание правила
В разделе "Срок действия правила", если вы хотите, чтобы срок действия правила автоматизации истекал, задайте дату окончания срока действия и, при необходимости, время. В противном случае оставьте его неопределенным.
Поле order предварительно заполнено следующим доступным номером для типа триггера правила. Это число определяет, где выполняется это правило в последовательности правил автоматизации (одного типа триггера). Можно изменить номер, если нужно, чтобы это правило выполнялось до существующего правила.
Дополнительные сведения см. в заметках о порядке выполнения и приоритете.
Выберите Применить. Готово!
Аудит действия правила автоматизации
Узнайте, какие правила автоматизации могли бы сделать с заданным инцидентом. У вас есть полный список историй инцидентов, доступных вам в таблице SecurityIncident на странице журналов в портал Azure, или на странице расширенной охоты на портале Defender. Для просмотра всех действий правила автоматизации используйте следующий запрос:
SecurityIncident
| where ModifiedBy contains "Automation"
Выполнение правил автоматизации
Правила автоматизации выполняются последовательно в соответствии с устанавливаемым вами порядком. Каждое правило автоматизации выполняется после завершения выполнения предыдущего. В рамках правила автоматизации все действия выполняются последовательно в том порядке, в котором они определены. Дополнительные сведения см. в разделе Заметки о порядке выполнения и приоритете.
Действия сборника схем в рамках правила автоматизации могут обрабатываться по-разному в некоторых обстоятельствах в соответствии со следующими критериями.
Время выполнения сборника схем | Правило автоматизации переходит к следующему действию... |
---|---|
Меньше секунды | Непосредственно после завершения выполнения сборника схем |
Менее двух минут | До двух минут после начала работы сборника схем, но после завершения выполнения сборника схем не более 10 секунд |
Более двух минут | Две минуты после начала работы сборника схем, независимо от того, был ли она выполнен |
Следующие шаги
В этом документе представлены сведения о том, как использовать правила автоматизации для централизованного управления автоматизацией реагирования на инциденты и оповещения Microsoft Sentinel.
- Сведения о добавлении расширенных условий с операторами
OR
в правила автоматизации см. в статье Добавление расширенных условий в правила автоматизации Microsoft Sentinel. - Дополнительные сведения о правилах автоматизации см. в статье Автоматизация обработки инцидентов с помощью правил автоматизации в Microsoft Sentinel
- Дополнительные сведения о расширенных параметрах автоматизации см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel.
- Сведения об использовании правил автоматизации для добавления задач в инциденты см. в статье "Создание задач инцидентов в Microsoft Sentinel с помощью правил автоматизации".
- Сведения о переносе сборников схем триггеров оповещений, которые будут вызываться правилами автоматизации, см. в разделеМиграция сборников схем триггеров оповещений Microsoft Sentinel в правила автоматизации
- Справку по реализации правил автоматизации и сборников схем см. в учебнике Использование сборников схем для автоматизации реагирования на угрозы в Microsoft Sentinel.