Microsoft Sentinel otomasyon kurallarına gelişmiş koşullar ekleme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, olayların daha etkili bir şekilde önceliklendirmesi için Microsoft Sentinel'de otomasyon kurallarına gelişmiş "Veya" koşullarının nasıl ekleneceği açıklanmaktadır.

Otomasyon kuralınızın Koşullar bölümünde koşul grupları biçiminde "Veya" koşulları ekleyin.

Koşul grupları iki koşul düzeyi içerebilir:

  • Basit: Her ikisi bir OR işleçle ayrılmış en az iki koşul:

  • Bileşik: bir işlecin en az bir OR tarafında en az iki koşul bulunan ikiden fazla koşul:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • ve benzeri.

Bu özelliğin, kuralların ne zaman çalıştırılacağını belirleme konusunda size büyük güç ve esneklik kazandırdığını görebilirsiniz. Ayrıca, birçok eski otomasyon kuralını tek bir yeni kuralda birleştirmenizi sağlayarak verimliliğinizi büyük ölçüde artırabilir.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Koşul grubu ekleme

Koşul grupları otomasyon kuralları oluşturma konusunda çok daha fazla güç ve esneklik sunduğundan, bunun nasıl yapılacağını açıklamanın en iyi yolu bazı örnekler sunmaktır.

Şimdi, ayarlayacağımız koşulları karşıladığını varsayarak gelen olayın önem derecesini Yüksek olarak değiştirecek bir kural oluşturalım.

  1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

  2. Otomasyon sayfasında, üstteki düğme çubuğundan Otomasyon kuralı oluştur'u > seçin.

    Ayrıntılar için otomasyon kuralı oluşturmaya yönelik genel yönergelere bakın.

  3. Kurala bir ad verin: "Önceliklendirme: Önem Derecesini Yüksek Olarak Değiştir"

  4. Olay oluşturulduğunda tetikleyiciyi seçin.

  5. Koşullar altında, Olay sağlayıcısı ve Analiz kuralı adı koşullarını görüyorsanız, bunları olduğu gibi bırakın. Çalışma alanınız birleşik güvenlik operasyonları platformuna eklendiyse bu koşullar kullanılamaz. Her iki durumda da, bu işlemin ilerleyen bölümlerinde daha fazla koşul ekleyeceğiz.

  6. Eylemler'in altında, açılan listeden Önem derecesini değiştir'i seçin.

  7. Önem derecesini değiştir'in altında görünen açılan listeden Yüksek'i seçin.

Örneğin, aşağıdaki sekmelerde Azure veya Defender portallarında birleşik güvenlik operasyonları platformuna eklenen bir çalışma alanından örnekler ve olmayan bir çalışma alanı gösterilmektedir:

Örnek 1: basit koşullar

Bu ilk örnekte basit bir koşul grubu oluşturacağız: A koşulu veya B koşulu doğruysa kural çalışır ve olayın önem derecesi Yüksek olarak ayarlanır.

  1. + Genişletici ekle'yi seçin ve açılan listeden Koşul grubu (Veya) seçeneğini belirleyin.

    Otomasyon kuralının koşul kümesine koşul grubu ekleme ekran görüntüsü.

  2. İki koşul alanı kümesinin bir işleçle ayrılmış olarak OR görüntülendiğine bakın. Yukarıda bahsettiğimiz "A" ve "B" koşulları şunlardır: A veya B doğruysa kural çalışır.
    ("Ekle" bağlantılarının tüm farklı katmanlarıyla karıştırmayın; bunların hepsi açıklanacaktır.)

    Boş koşul grubu alanlarının ekran görüntüsü.

  3. Şimdi bu koşulların ne olacağını belirleyelim. Başka bir ifadeyle, hangi iki farklı koşul olay önem derecesinin Yüksek olarak değiştirilmesine neden olur? Şimdi aşağıdakileri önerelim:

    • Olayın ilişkili MITRE ATT&CK Taktikleri açılan listeden seçtiğimiz dörtten birini kapsıyorsa (aşağıdaki resme bakın), önem derecesi Yüksek olarak yükseltilmelidir.

    • Olay "SUPER_SECURE_STATION" adlı bir Konak adı varlığı içeriyorsa önem derecesi Yüksek olarak yükseltilmelidir.

    Otomasyon kuralına basit VEYA koşulları ekleme ekran görüntüsü.

    Bu koşullardan en az biri doğru olduğu sürece, kuralda tanımladığımız eylemler çalıştırılır ve olayın önem derecesi Yüksek olarak değiştirilir.

Örnek 1A: Tek bir koşul içinde VEYA değeri ekleme

Olaylarını yüksek önem derecesine getirmek istediğimiz bir iş istasyonu değil, iki süper hassas iş istasyonumuz olduğunu varsayalım. Mevcut değerin sağındaki zar simgesini seçip aşağıdaki yeni değeri ekleyerek var olan bir koşula (varlık özelliklerine dayalı tüm koşullar için) başka bir değer ekleyebiliriz.

Tek bir koşula daha fazla değer ekleme ekran görüntüsü.

Örnek 1B: Daha fazla OR koşulu ekleme

ÜÇ (veya daha fazla) koşuldan biri doğruysa bu kuralın çalıştırılmasını istediğimizi varsayalım. A veya B veya C doğruysa, kural çalışır.

  1. Şu "Ekle" bağlantılarını hatırlıyor musun? Başka bir OR koşulu eklemek için işlecine bir satırla bağlı + Ekle'yi OR seçin.

    Otomasyon kuralına başka bir OR koşulu ekleme ekran görüntüsü.

  2. Şimdi, bu koşulun parametrelerini ve değerlerini ilk iki koşulla aynı şekilde doldurun.

    Otomasyon kuralına eklenen başka bir OR koşulunun ekran görüntüsü.

Örnek 2: bileşik koşullar

Şimdi biraz daha seçici olmaya karar verdik. Özgün VEYA koşulumuzun her tarafına daha fazla koşul eklemek istiyoruz. Başka bir ifadeyle, A ve B doğruysa veya C ve D doğruysa kuralın çalıştırılmasını istiyoruz.

  1. OR koşul grubunun bir tarafına koşul eklemek için, yeni koşulu eklemek istediğiniz işlecin aynı tarafında OR (aynı mavi gölgeli alanda) var olan koşulun hemen altındaki + Ekle bağlantısını seçin.

    Otomasyon kuralına bileşik koşul ekleme ekran görüntüsü.

    Var olan koşulun altına (aynı mavi gölgeli alanda) yeni bir satır eklendiğini ve buna bir AND işleç tarafından bağlanıldığını görürsünüz.

    Otomasyon kurallarındaki boş yeni koşul satırının ekran görüntüsü.

  2. Bu koşulun parametrelerini ve değerlerini, diğerlerine yaptığınız gibi doldurun.

    Otomasyon kurallarına eklemek için doldurulacak yeni koşul alanlarının ekran görüntüsü.

  3. OR koşul grubunun her iki tarafına and koşulu eklemek için önceki iki adımı yineleyin.

    Otomasyon kuralına birden çok bileşik koşul ekleme ekran görüntüsü.

İşte hepsi bu! Burada öğrendiklerinizi farklı ve işleç birleşimlerini AND kullanarak daha fazla koşul ve OR koşul grubu eklemek, SOC'nizin sorunsuz çalışmasına yardımcı olmak ve yanıt ve çözüm sürelerinizi azaltmak için güçlü, esnek ve verimli otomasyon kuralları oluşturmak için kullanabilirsiniz.

Sonraki adımlar

Bu belgede, otomasyon kurallarına işleçleri kullanarak OR koşul grupları eklemeyi öğrendiniz.