Hinzufügen erweiterter Bedingungen zu Microsoft Sentinel-Automatisierungsregeln

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird erläutert, wie Sie erweiterte „OR“-Bedingungen zu Automatisierungsregeln in Microsoft Sentinel hinzufügen, um eine effektivere Selektierung von Vorfällen zu ermöglichen.

Fügen Sie „OR“-Bedingungen in Form von Bedingungsgruppen im Abschnitt „Bedingungen“ Ihrer Automatisierungsregel hinzu.

Bedingungsgruppen können zwei Bedingungenebenen enthalten:

  • Einfach: Mindestens zwei Bedingungen, die jeweils durch einen OR-Operator getrennt sind:

  • Verbund: Mehr als zwei Bedingungen mit mindestens zwei Bedingungen auf mindestens einer Seite eines OR-Operators:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • usw.

Es wird deutlich, dass diese Funktion Ihnen große Leistungsfähigkeit und Flexibilität bei der Festlegung bietet, wann Regeln ausgeführt werden. Sie kann auch Ihre Effizienz erheblich erhöhen, da sie es Ihnen ermöglicht, viele alte Automatisierungsregeln zu einer neuen Regel zu kombinieren.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinzufügen einer Bedingungsgruppe

Da Bedingungsgruppen weitaus mehr Leistungsfähigkeit und Flexibilität beim Erstellen von Automatisierungsregeln bieten, wird dies am besten anhand einiger Beispiele erläutert.

Erstellen wir eine Regel, die den Schweregrad eines eingehenden Vorfalls vom aktuellen Zustand in „Hoch“ ändert, vorausgesetzt, die von uns festgelegten Bedingungen sind erfüllt.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfiguration>Automatisierung aus. Wählen Sie für Microsoft Sentinel im Defender-Portal Microsoft Sentinel>Konfiguration>Automatisierung aus.

  2. Wählen Sie auf der Seite Automatisierung die Option Erstellen >Automatisierungsregel oben aus der Schaltflächenleiste aus.

    Ausführliche Informationen finden Sie in den allgemeinen Anweisungen zum Erstellen einer Automatisierungsregel.

  3. Geben Sie der Regel einen Namen: „Triage: Schweregrad ändern in Hoch“

  4. Wählen Sie den Auslöser Wenn Vorfall erstellt ist aus.

  5. Sehen Sie unter Bedingungen nach, ob Sie die Bedingungen des Incidentanbieters und der Analyseregelnamen finden. Belassen Sie diese, wie sie sind. Diese Bedingungen sind nicht verfügbar, wenn Ihr Arbeitsbereich in die einheitliche Security Operations-Plattform eingebunden ist. In beiden Fällen fügen wir später weitere Bedingungen hinzu.

  6. Wählen Sie unter Aktionen die Option Schweregrad ändern aus der Dropdownliste aus.

  7. Wählen Sie Hoch aus der Dropdownliste aus, die unter Schweregrad ändern angezeigt wird.

Die folgenden Registerkarten zeigen Beispiele aus einem Arbeitsbereich, der in die einheitliche Security Operations-Plattform im Azure- oder Defender-Portal eingebunden ist, und einem Arbeitsbereich, der dies nicht ist:

Beispiel 1: Einfache Bedingungen

In diesem ersten Beispiel erstellen wir eine einfache Bedingungsgruppe: Wenn entweder Bedingung A oder Bedingung B wahr ist, wird die Regel ausgeführt, und der Schweregrad des Vorfalls wird auf Hoch gesetzt.

  1. Wählen Sie + Hinzufügen aus und dann aus der Dropdownliste die Bedingungsgruppe (OR).

    Screenshot der Hinzufügung einer Bedingungsgruppe zum Bedingungssatz einer Automatisierungsregel.

  2. Sie sehen, dass zwei Sätze Bedingungsfelder angezeigt werden, die durch einen OR-Operator getrennt sind. Dies sind die oben genannten Bedingungen „A“ und „B“: Wenn A oder B wahr ist, wird die Regel ausgeführt.
    (Lassen Sie sich nicht durch die verschiedenen Ebenen von „Hinzufügungs“-Links verwirren – diese werden alle noch erläutert.)

    Screenshot leerer Bedingungsgruppenfelder.

  3. Legen wir nun diese Bedingungen fest. Das heißt, welche zwei unterschiedlichen Bedingungen führen dazu, dass der Schweregrad des Vorfalls in Hoch geändert wird? Wir empfehlen Folgendes:

    • Wenn die zugeordneten MITRE ATT&CK-Taktiken des Incident eines der vier Elemente enthalten, die wir aus der Dropdownliste ausgewählt haben (siehe Abbildung unten), sollte der Schweregrad auf „Hoch“ angehoben werden.

    • Wenn der Vorfall die Hostname-Entität mit dem Namen „SUPER_SECURE_STATION“ enthält, sollte der Schweregrad auf „Hoch“ angehoben werden.

    Screenshot der Hinzufügung einfacher OR-Bedingungen zu einer Automatisierungsregel.

    Solange mindestens EINE dieser Bedingungen erfüllt ist, werden die Aktionen, die wir in der Regel definiert haben, ausgeführt, und der Schweregrad des Vorfalls wird in „Hoch“ geändert.

Beispiel 1A: Hinzufügen eines OR-Werts innerhalb einer einzelnen Bedingung

Angenommen, wir haben nicht einen, sondern zwei superempfindliche Arbeitsstationen, bei denen wir den Schweregrad der Vorfälle auf „Hoch“ setzen möchten. Wir können einer vorhandenen Bedingung einen weiteren Wert hinzufügen (für alle Bedingungen basierend auf Entitätseigenschaften), indem wir das Würfelsymbol rechts neben dem vorhandenen Wert auswählen und den folgenden neuen Wert hinzufügen.

Screenshot der Hinzufügung weiterer Werte zu einer einzelnen Bedingung.

Beispiel 1B: Hinzufügen weiterer OR-Bedingungen

Angenommen, wir möchten, dass diese Regel ausgeführt wird, wenn eine von DREI (oder mehr) Bedingungen wahr ist. Wenn A oder B oder C wahr sind, wird die Regel ausgeführt.

  1. Erinnern Sie sich noch an all diese Links zum „Hinzufügen“? Wenn Sie eine andere OR-Bedingung hinzufügen möchten, wählen Sie + Hinzufügen aus, das durch eine Linie mit dem OR-Operator verbunden ist.

    Screenshot der Hinzufügung einer weiteren OR-Bedingung zu einer Automatisierungsregel.

  2. Füllen Sie nun die Parameter und Werte dieser Bedingung genauso aus, wie Sie es bei den ersten beiden getan haben.

    Screenshot der Hinzufügung einer weiteren OR-Bedingung zu einer Automatisierungsregel.

Beispiel 2: Zusammengesetzte Bedingungen

Jetzt entscheiden wir, dass wir etwas wählerischer sein werden. Wir möchten jeder Seite unserer ursprünglichen OR-Bedingung weitere Bedingungen hinzufügen. Das heißt, die Regel soll ausgeführt werden, wenn A und B wahr sind, ODER wenn C und D wahr sind.

  1. Um einer Seite einer OR-Bedingungsgruppe eine Bedingung hinzuzufügen, wählen Sie den Link + Hinzufügen direkt unterhalb der vorhandenen Bedingung auf derselben Seite des OR-Operators (im gleichen blau schattierten Bereich) aus, dem Sie die neue Bedingung hinzufügen möchten.

    Screenshot der Hinzufügung einer zusammengesetzten Bedingung zu einer Automatisierungsregel.

    Es wird eine neue Zeile angezeigt, die unter der vorhandenen Bedingung (im gleichen blau schattierten Bereich) hinzugefügt wurde, die über einen AND-Operator verknüpft ist.

    Screenshot der leeren Zeile für die neue Bedingung in Automatisierungsregeln.

  2. Füllen Sie die Parameter und Werte dieser Bedingung genauso aus, wie Sie es bei den anderen getan haben.

    Screenshot der neu auszufüllenden Bedingungsfelder, die den Automatisierungsregeln hinzugefügt werden sollen.

  3. Wiederholen Sie die beiden vorherigen Schritte, um auf beiden Seiten der OR-Bedingungsgruppe jeweils eine AND-Bedingung hinzuzufügen.

    Screenshot der Hinzufügung mehrerer zusammengesetzter Bedingungen zu einer Automatisierungsregel.

Das ist alles! Mit dem, was Sie hier gelernt haben, können Sie weitere Bedingungen und Bedingungsgruppen hinzuzufügen, indem Sie verschiedene Kombinationen aus AND- und OR-Operatoren verwenden, um leistungsstarke, flexible und effiziente Automatisierungsregeln zu erstellen, damit Ihr SOC reibungslos ausgeführt wird und Ihre Antwort- und Auflösungszeiten verringert werden.

Nächste Schritte

In diesem Dokument haben Sie gelernt, wie Sie Bedingungsgruppen mithilfe von OR-Operatoren zu Automatisierungsregeln hinzufügen.