Aggiungere condizioni avanzate alle regole di automazione di Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come aggiungere condizioni avanzate "Or" alle regole di automazione in Microsoft Sentinel per valutare in modo più efficace gli eventi imprevisti.

Aggiungere condizioni "Or" sotto forma di gruppi di condizioni nella sezione Condizioni della regola di automazione.

I gruppi di condizioni possono contenere due livelli di condizioni:

  • Semplice: almeno due condizioni, ognuna separata da un operatore OR:

  • Composto: più di due condizioni, con almeno due condizioni su almeno un lato di un operatore OR:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • e così via

È possibile notare che questa funzionalità offre potenza e flessibilità elevate per determinare quando verranno eseguite le regole. Può anche aumentare notevolmente l'efficienza consentendo di combinare molte regole di automazione precedenti in una nuova regola.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Aggiungi un gruppo di condizioni

Poiché i gruppi di condizioni offrono molta più potenza e flessibilità nella creazione di regole di automazione, il modo migliore per spiegare come eseguire questa operazione consiste nel presentare alcuni esempi.

Si creerà una regola che modifichi la gravità di un evento imprevisto in ingresso da qualsiasi elemento a Alto, presupponendo che soddisfi le condizioni che verranno impostate.

  1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Automazione . Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Automazione .

  2. Nella pagina Automazione selezionare Crea > regola di automazione dalla barra dei pulsanti nella parte superiore.

    Per informazioni dettagliate, vedere le istruzioni generali per la creazione di una regola di automazione.

  3. Assegnare alla regola un nome: "Valutazione: Modificare la gravità a elevata"

  4. Selezionare il trigger Quando viene creato l'evento imprevisto.

  5. In Condizioni, se vengono visualizzate le condizioni del Provider di eventi imprevisti e del Nome della regola di Analisi, lasciarle invariate. Queste condizioni non sono disponibili se viene eseguito l'onboarding dell'area di lavoro nella piattaforma unificata per le operazioni di sicurezza. In entrambi i casi verranno aggiunte altre condizioni più avanti in questo processo.

  6. Sotto la voce Azioni selezionare Modifica gravità nell'elenco a discesa.

  7. Selezionare Alto nell'elenco a discesa visualizzato sotto Modifica gravità.

Ad esempio, le schede seguenti mostrano esempi di un'area di lavoro di cui è stato eseguito l'onboarding nella piattaforma unificata per le operazioni di sicurezza, nei portali di Azure o Defender e in un'area di lavoro di cui non è stato eseguito l'onboarding:

Esempio 1: condizioni semplici

In questo primo esempio verrà creato un gruppo di condizioni semplice: se la condizione A o la condizione B è vera, la regola verrà eseguita e la gravità dell'evento imprevisto verrà impostata su Alto.

  1. Selezionare l'espansore + Aggiungi e scegliere Gruppo condizione (OR) nell'elenco a discesa.

    Screenshot dell'aggiunta di un gruppo di condizioni al set di condizioni di una regola di automazione.

  2. Verranno visualizzati due set di campi condizione, separati da un operatore OR. Si tratta delle condizioni "A" e "B" indicate in precedenza: se A o B è vera, la regola verrà eseguita.
    (Non fare confusione con i diversi livelli dei collegamenti "Aggiungi": questi verranno tutti spiegati).

    Screenshot dei campi del gruppo di condizioni vuoti.

  3. Decidiamo quali saranno queste condizioni. Ovvero quali due condizioni diverse provocheranno la modifica della gravità dell'evento imprevisto in Alto? Si consiglia quanto segue:

    • Se le Tattiche associate MITRE ATT&CK dell'evento imprevisto includono una delle quattro selezionate dall'elenco a discesa (vedere l'immagine seguente), la gravità deve essere elevata.

    • Se l'evento imprevisto contiene un'entità nome host denominata "SUPER_SECURE_STATION", la gravità deve essere elevata.

    Screenshot dell'aggiunta di condizioni OR semplici a una regola di automazione.

    Se almeno una di queste condizioni è vera, le azioni definite nella regola verranno eseguite, modificando la gravità dell'evento imprevisto su Elevata.

Esempio 1A: aggiungere un valore OR all'interno di una singola condizione

Si supponga di non avere uno, ma due workstation super-sensibili dei cui eventi imprevisti si vuole modificare la gravità in elevata. È possibile aggiungere un altro valore a una condizione esistente (per qualsiasi condizione basata sulle proprietà dell'entità) selezionando l'icona dei dadi a destra del valore esistente e aggiungendo il nuovo valore riportato di seguito.

Screenshot dell'aggiunta di altri valori a una singola condizione.

Esempio 1B: aggiungere altre condizioni OR

Si supponga di voler eseguire questa regola se una delle tre (o più) condizioni è vera. Se A o B o C è true, la regola verrà eseguita.

  1. Si hanno in mente tutti i collegamenti "Aggiungi"? Per aggiungere un'altra condizione OR, selezionare + Aggiungi connesso da una riga all'operatore OR.

    Screenshot dell'aggiunta di un'altra condizione OR a una regola di automazione.

  2. A questo punto, compilare i parametri e i valori di questa condizione nello stesso modo in cui si è fatto per i primi due.

    Screenshot di un'altra condizione OR aggiunta a una regola di automazione.

Esempio 2: condizioni composte

Ora stabiliamo delle condizioni un po' più esigenti. Si vogliono aggiungere altre condizioni a ogni lato della condizione OR originale. Ovvero si vuole che la regola venga eseguita se A e B sono vere, OPPURE se C e D sono vere.

  1. Per aggiungere una condizione a un lato di un gruppo di condizioni OR, selezionare il collegamento + Aggiungi immediatamente sotto la condizione esistente, sullo stesso lato dell'operatore OR (nella stessa area ombreggiata blu) a cui si vuole aggiungere la nuova condizione.

    Screenshot dell'aggiunta di una condizione composta a una regola di automazione.

    Verrà visualizzata una nuova riga aggiunta nella condizione esistente (nella stessa area ombreggiata blu) collegata da un operatore AND.

    Screenshot della riga vuota di condizione nuova nelle regole di automazione.

  2. Immettere i parametri e i valori di questa condizione nello stesso modo in cui si è fatto gli altri.

    Screenshot dei nuovi campi della condizione da compilare da aggiungere alle regole di automazione.

  3. Ripetere i due passaggi precedenti per aggiungere una condizione AND a entrambi i lati del gruppo di condizioni OR.

    Screenshot dell'aggiunta di più condizioni composte a una regola di automazione.

Ecco fatto! È possibile usare ciò che si è appreso qui per aggiungere più condizioni e gruppi di condizioni, usando combinazioni diverse degli operatori AND e OR, per creare regole di automazione potenti, flessibili ed efficienti per semplificare l'esecuzione del SOC e ridurre i tempi di risposta e risoluzione.

Passaggi successivi

In questo documento si è appreso come aggiungere gruppi di condizioni usando gli operatori OR alle regole di automazione.