Создание и использование правил автоматизации Microsoft Sentinel для управления реагированием на угрозы

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Эта статья содержит сведения о том, как создать и использовать правила автоматизации в Microsoft Sentinel для управления реагированием на угрозы и их оркестрации с целью повысить эффективность и результативность SOC.

В этой статье вы узнаете, как определить триггеры и условия, определяющие выполнение правила автоматизации, различные действия, которые могут выполнять правило, и остальные функции и функции.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Проектирование правила автоматизации

Перед созданием правила автоматизации рекомендуется определить область и структуру, включая триггер, условия и действия, составляющие правило.

Определение области

Первым шагом в разработке и определении правила автоматизации является определение инцидентов или оповещений, к которым он будет применяться. Это определение напрямую влияет на создание правила.

Вы также определите вариант использования. Что вы пытаетесь выполнить с помощью этой автоматизации? Следуйте приведенным ниже рекомендациям.

  • Создавайте задачи для аналитиков, которые следует выполнять в трех случаях, расследовав и исправляя инциденты.
  • Подавление инцидентов с помехами. (Кроме того, используйте другие методы для обработки ложных срабатываний в Microsoft Sentinel.)
  • Рассмотрение новых инцидентов путем изменения их состояния с "Новый" на "Активный" и назначения владельца.
  • Добавление меток к инцидентам, чтобы классифицировать их.
  • Эскалация инцидента путем назначения нового владельца.
  • Закрытие разрешенных инцидентов путем указания причины и добавления комментариев.
  • Проанализируйте содержимое инцидента (оповещения, сущности и другие свойства) и выполните дальнейшие действия путем вызова сборника схем.
  • Обработка или реагирование на оповещение без связанного инцидента.

Определение триггера

Необходимо ли активировать эту автоматизацию при создании новых инцидентов или оповещений? Или когда инцидент обновляется?

Правила автоматизации активируются при создании или обновлении инцидента или при создании оповещения. Помните, что инциденты включают оповещения, и что оповещения и инциденты можно создавать с помощью правил аналитики, из которых существует несколько типов, как описано в описании обнаружения угроз в Microsoft Sentinel.

В следующей таблице показаны различные возможные сценарии, которые приводят к выполнению правила автоматизации.

Тип триггера События, вызывающие выполнение правила
При создании инцидента Единая платформа операций безопасности в Microsoft Defender:
  • На портале Microsoft Defender создается новый инцидент.

    Microsoft Sentinel не подключен к унифицированной платформе:
  • Новый инцидент создается правилом аналитики.
  • Инцидент приемируется из XDR в Microsoft Defender.
  • Новый инцидент создается вручную.
    		•
    При обновлении инцидента
  • Состояние инцидента изменено (закрытое/повторное открытие или триажное).
  • Владелец инцидента назначается или изменяется.
  • Серьезность инцидента вызывается или снижается.
  • Оповещения добавляются в инцидент.
  • Комментарии, теги или тактика добавляются в инцидент.
    		•
    При создании оповещения
  • Предупреждение создается правилом аналитики Microsoft Sentinel Scheduled или NRT .
    		•

    Создание правила автоматизации

    Большинство приведенных ниже инструкций применяются ко всем вариантам использования, для которых вы создадите правила автоматизации.

    Если вы хотите отключить шумные инциденты, попробуйте обработать ложные срабатывания.

    Если вы хотите создать правило автоматизации для применения к определенному правилу аналитики, см. статью "Задать автоматические ответы" и создать это правило.

    Чтобы создать правило автоматизации, выполните приведенные действия.

    1. Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.

    2. На странице автоматизации в меню навигации Microsoft Sentinel выберите "Создать" в верхнем меню и выберите правило автоматизации.

    3. Откроется панель Create new automation rule (Создание правила автоматизации). В поле имени правила автоматизации введите имя правила.

    Выбор триггера

    В раскрывающемся списке триггера выберите соответствующий триггер в соответствии с обстоятельством, для которого создается правило автоматизации: при создании инцидента, при обновлении инцидента или при создании оповещения.

    Снимок экрана: выбор триггера создания или обновления инцидента.

    Определение условий

    Используйте параметры в области условий, чтобы определить условия для правила автоматизации.

    • Правила, создаваемые при создании оповещения, поддерживают только свойство "Если имя правила аналитики" в условии. Выберите, должно ли правило быть включающим (содержит) или эксклюзивным (не содержит), а затем выберите имя правила аналитики из раскрывающегося списка.

      Значения имени правила аналитики включают только правила аналитики и не включают другие типы правил, такие как аналитика угроз или правила аномалий.

    • Правила, создаваемые при создании или обновлении инцидента, поддерживают большое количество условий в зависимости от среды. Эти параметры начинаются с подключения рабочей области к единой платформе операций безопасности:

      Если ваша рабочая область подключена к единой платформе операций безопасности, начните с выбора одного из следующих операторов на портале Azure или Defender:

      • И: отдельные условия, которые оцениваются как группа. Правило выполняется, если выполняются все условия этого типа.

        Чтобы работать с оператором AND, выберите элемент +Добавить расширитель и выберите условие (И) в раскрывающемся списке. Список условий заполняется в соответствии с полями свойства инцидента и свойства сущности.

      • ИЛИ (также известные как группы условий): группы условий, каждая из которых оценивается независимо. Правило выполняется, если одно или несколько групп условий имеют значение true. Сведения о работе с этими сложными типами условий см. в статье Добавление расширенных условий в правила автоматизации.

      Например:

      Снимок экрана: условия правила автоматизации при подключении рабочей области к единой платформе операций безопасности.

      Если вы выбрали при обновлении инцидента в качестве триггера, начните с определения условий, а затем добавьте дополнительные операторы и значения по мере необходимости.

    Чтобы определить условия, выполните следующие действия.

    1. Выберите свойство в первом раскрывающемся списке слева. Вы можете начать вводить любую часть имени свойства в поле поиска для динамической фильтрации списка, чтобы быстро найти нужные элементы.

      Снимок экрана: ввод текста в поле поиска для фильтрации списка вариантов.

    2. Выберите оператора из следующего раскрывающегося списка справа. Снимок экрана: выбор оператора условия для правил автоматизации.

      Список операторов, которых можно выбрать, зависит от выбранного триггера и свойства.

      Условия, доступные с помощью триггера создания

      Свойство Оператор задан
      - Заголовок
      - Description
      - Все перечисленные свойства сущности
        (см . поддерживаемые свойства сущности)      		 – равно/не равно
      – содержит/не содержит
      – начинается с/не начинается с
      – заканчивается на/не заканчивается на
      - Тег (см . отдельную коллекцию и коллекцию) Любой отдельный тег:
      – равно/не равно
      – содержит/не содержит
      – начинается с/не начинается с
      – заканчивается на/не заканчивается на

      Коллекция всех тегов:
      – содержит/не содержит
      - Уровень серьезности
      - Состояние
      - Ключ пользовательских сведений      		 – равно/не равно
      - Тактика
      - Имена продуктов оповещений
      - Значение пользовательских сведений
      - Имя правила аналитики      		 – содержит/не содержит

      Условия, доступные с помощью триггера обновления

      Свойство Оператор задан
      - Заголовок
      - Description
      - Все перечисленные свойства сущности
        (см . поддерживаемые свойства сущности)      		 – равно/не равно
      – содержит/не содержит
      – начинается с/не начинается с
      – заканчивается на/не заканчивается на
      - Тег (см . отдельную коллекцию и коллекцию) Любой отдельный тег:
      – равно/не равно
      – содержит/не содержит
      – начинается с/не начинается с
      – заканчивается на/не заканчивается на

      Коллекция всех тегов:
      – содержит/не содержит
      - Тег (помимо выше)
      - Оповещения
      - Комментарии      		 – добавлено
      - Уровень серьезности
      - Состояние      		 – равно/не равно
      – изменено
      – изменено с
      – изменено на
      - Ответственное лицо – изменено
      - Обновлено
      - Ключ пользовательских сведений      		 – равно/не равно
      - Тактика – содержит/не содержит
      – добавлено
      - Имена продуктов оповещений
      - Значение пользовательских сведений
      - Имя правила аналитики      		 – содержит/не содержит

      Условия, доступные с триггером генерации оповещений

      Единственное условие, которое можно оценить правилами на основе триггера создания оповещений, является то, что правило аналитики Microsoft Sentinel создало оповещение.

      Правила автоматизации, основанные на триггере генерации оповещений, выполняются только в оповещениях, созданных Microsoft Sentinel.

    3. Введите значение в поле справа. В зависимости от выбранного свойства это может быть текстовое поле или раскрывающееся окно, в котором вы выбираете из закрытого списка значений. Вы также можете добавить несколько значений, щелкнув значок кости справа от текстового поля.

      Снимок экрана: добавление значений к вашему условию в правилах автоматизации.

    Сведения о настройке сложных условий ИЛИ с различными полями см. в разделе Добавление расширенных условий в правила автоматизации.

    Условия на основе тегов

    Вы можете создать два типа условий на основе тегов:

    • Условия с любыми отдельными операторами тегов оценивают указанное значение по каждому тегу в коллекции. Оценка имеет значение true , если по крайней мере один тег удовлетворяет условию.
    • Условия с коллекцией всех операторов тегов оценивают указанное значение для коллекции тегов в виде одной единицы. Оценка имеет значение true , только если коллекция в целом удовлетворяет условию.

    Чтобы добавить одно из этих условий на основе тегов инцидента, сделайте следующее:

    1. Создайте новое правило автоматизации, как описано выше.

    2. Добавьте условие или группу условий.

    3. Выберите тег из раскрывающегося списка свойств.

    4. Выберите раскрывающийся список операторов, чтобы открыть доступные операторы для выбора.

      Узнайте, как операторы разделены на две категории, как описано ранее. Тщательно выберите оператор на основе способа оценки тегов.

      Дополнительные сведения см. в разделе "Свойство Тега : отдельная коллекция и коллекция".

    Условия на основе пользовательских сведений

    Вы можете установить значение пользовательских сведений, отображаемых в инциденте, в качестве условия правила автоматизации. Напомним, что пользовательские сведения — это точки данных в необработанных записях журнала событий, которые могут отображаться в оповещениях и инцидентах, создаваемых на их основе. Используйте пользовательские сведения, чтобы получить фактическое соответствующее содержимое в оповещениях без необходимости копаться в результатах запроса.

    Чтобы добавить условие на основе пользовательской детали, выполните приведенные ниже действия.

    1. Создайте новое правило автоматизации, как описано ранее.

    2. Добавьте условие или группу условий.

    3. Выберите ключ настраиваемых сведений из раскрывающегося списка свойств. Выберите Равно или Не равно в раскрывающемся списке операторов.

      Для условия пользовательских сведений значения в последнем раскрывающемся списке поступают из пользовательских сведений, которые появились во всех правилах аналитики, перечисленных в первом условии. Выберите пользовательские сведения, которые вы хотите использовать в качестве условия.

      Снимок экрана: добавление ключа пользовательских сведений в качестве условия.

    4. Вы выбрали поле, которое вы хотите оценить для этого условия. Теперь укажите значение, отображаемое в этом поле, которое делает это условие значение true.
      Выберите + Добавить условие элемента.

      Снимок экрана: выбор пункта

      Строка условия значения отображается ниже.

      Снимок экрана: поле значения пользовательских сведений.

    5. Выберите Содержит или Не содержит в раскрывающемся списке операторов. В текстовом поле справа введите значение, при котором условие будет истинным.

      Снимок экрана: заполненное поле значения пользовательских сведений.

    В этом примере, если в инциденте есть пользовательские сведения DestinationEmail и если значение этих сведений равно pwned@bad-botnet.com, будут выполняться действия, определенные в правиле автоматизации.

    Добавление действий

    Выберите действия, которые должно выполнять это правило автоматизации. Доступные действия: назначение владельца, изменение состояния, изменение серьезности, добавление тегов и запуск сборника схем. Вы можете добавить любое количество действий по своему усмотрению.

    Примечание.

    Только действие Запуск сборника схем доступно в правилах автоматизации с помощью триггера оповещения.

    Снимок экрана: список действий для выбора в правиле автоматизации.

    Для любого выбранного действия заполните поля, отображаемые для этого действия в соответствии с нужным действием.

    Если вы добавите действие сборника схем run, вам будет предложено выбрать из раскрывающегося списка доступных сборников схем.

    • Только сборники схем, начинающиеся с триггера инцидента, можно запускать из правил автоматизации с помощью одного из триггеров инцидентов, поэтому только они отображаются в списке. Аналогичным образом, только сборники схем, которые начинаются с триггера оповещения, доступны в правилах автоматизации с помощью триггера оповещения.

    • Microsoft Sentinel необходимо предоставить явные разрешения на запуск сборников схем. Если сборник схем недоступен в раскрывающемся списке, это означает, что Sentinel не имеет разрешений на доступ к группе ресурсов этой сборника схем. Чтобы назначить разрешения, выберите ссылку "Управление разрешениями сборника схем".

      На открывшейся панели Управление разрешениями установите флажки рядом с группами ресурсов, содержащими сборники схем, которые требуется запустить, и выберите Применить.

      Управление разрешениями

      У вас должны быть разрешения владельца для любой группы ресурсов, в которой требуется предоставить разрешения Microsoft Sentinel, и у вас должна быть роль участника службы автоматизации Microsoft Sentinel в любой группе ресурсов, содержащей сборники схем, которые вы хотите запустить.

    • Если у вас еще нет сборника схем, который принимает нужное действие, создайте новый сборник схем. После создания сборника схем необходимо выйти из процесса создания правила автоматизации и перезапустить его.

    Перемещение действий вокруг

    Вы можете изменить порядок действий в правиле даже после их добавления. Выберите синие стрелки вверх или вниз рядом с каждым действием, чтобы переместить его вверх или вниз на один шаг.

    Снимок экрана: перемещение действий вверх или вниз.

    Завершите создание правила

    1. В разделе "Срок действия правила", если вы хотите, чтобы срок действия правила автоматизации истекал, задайте дату окончания срока действия и, при необходимости, время. В противном случае оставьте его неопределенным.

    2. Поле order предварительно заполнено следующим доступным номером для типа триггера правила. Это число определяет, где выполняется это правило в последовательности правил автоматизации (одного типа триггера). Можно изменить номер, если нужно, чтобы это правило выполнялось до существующего правила.

      Дополнительные сведения см. в заметках о порядке выполнения и приоритете.

    3. Выберите Применить. Готово!

    Снимок экрана: заключительные шаги создания правила автоматизации.

    Аудит действия правила автоматизации

    Узнайте, какие правила автоматизации могли бы сделать с заданным инцидентом. У вас есть полный список историй инцидентов, доступных вам в таблице SecurityIncident на странице журналов в портал Azure, или на странице расширенной охоты на портале Defender. Для просмотра всех действий правила автоматизации используйте следующий запрос:

    SecurityIncident
| where ModifiedBy contains "Automation"

    Выполнение правил автоматизации

    Правила автоматизации выполняются последовательно в соответствии с указанным порядком. Каждое правило автоматизации выполняется после завершения предыдущего выполнения. В правиле автоматизации все действия выполняются последовательно в том порядке, в который они определены. Дополнительные сведения см . в заметках о порядке выполнения и приоритете .

    Действия сборника схем в правиле автоматизации могут обрабатываться по-разному в некоторых случаях в соответствии со следующими критериями:

    Время выполнения сборника схем Правило автоматизации переходит к следующему действию...
    Меньше секунды Непосредственно после завершения выполнения сборника схем
    Менее двух минут До двух минут после начала работы сборника схем,
    но после завершения выполнения сборника схем не более 10 секунд
    Более двух минут Две минуты после начала работы сборника схем,
    независимо от того, был ли она выполнен

    Следующие шаги

    В этом документе представлены сведения о том, как использовать правила автоматизации для централизованного управления автоматизацией реагирования на инциденты и оповещения Microsoft Sentinel.