Otomasyon kurallarını kullanarak Microsoft Sentinel'de olay görevleri oluşturma

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede, Microsoft Sentinel'de analist iş akışı süreçlerini standartlaştırmak amacıyla olay görevleri listeleri oluşturmak için otomasyon kurallarının nasıl kullanılacağı açıklanmaktadır.

Olay görevleri otomatik olarak yalnızca otomasyon kurallarıyla değil, playbook'lar tarafından ve ayrıca bir olayın içinden el ile geçici olarak oluşturulabilir.

Farklı roller için kullanım örnekleri

Bu makalede SOC yöneticileri, üst düzey analistler ve otomasyon mühendisleri için geçerli olan aşağıdaki senaryolar ele alınıyor:

Bu tür başka bir senaryo aşağıdaki yardımcı makalede ele alındı:

Aşağıdaki bağlantılarda yer alan başka bir makalede, SOC analistlerine daha fazla uygulanan senaryolar ele alınıyor:

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Microsoft Sentinel Yanıtlayıcı rolü, otomasyon kuralları oluşturmak ve her ikisi de görevleri eklemek, görüntülemek ve düzenlemek için gereken olayları görüntülemek ve düzenlemek için gereklidir.

Olay görevi eylemleriyle otomasyon kurallarını görüntüleme

Otomasyon sayfasında, otomasyon kurallarının görünümünü yalnızca Görev ekle eylemleri tanımlanmış olanları görmek için filtreleyebilirsiniz.

Otomasyon kuralları kılavuzuna filtre uygulamayı gösteren ekran görüntüsü.

  1. Eylemler filtresini seçin.

  2. Tümünü seç onay kutusunun işaretini kaldırın.

  3. Aşağı kaydırın ve Görev ekle onay kutusunu işaretleyin.

  4. Tamam'ı seçin ve sonuçlara bakın.

    Otomasyon kuralları kılavuzundaki filtrenin sonuçlarını gösteren ekran görüntüsü.

    Bunlar, olaylara görev ekleyen otomasyon kurallarıdır. Analiz kuralı adları sütunu, bu otomasyon kurallarının hangi analiz kurallarına göre koşullandırıldığı konusunda bilgi sağlar, bu nedenle hangi olayların etkilendiği hakkında genel bir fikriniz olur.

    Not

    Otomasyon kuralının belirli bir olaya uygulanıp uygulanmayacağı hakkında tam bilgi edinmek için, analiz kuralı koşulunun yanı sıra başka koşulların tanımlanıp tanımlanmadığını görmek için kuralı açmanız gerekir. Başka koşullar tanımlanırsa, etkilenen olayların kapsamı buna göre daraltılır.

Otomasyon kurallarıyla olaylara görev ekleme

  1. Otomasyon sayfasında + Oluştur'u ve ardından Otomasyon kuralı'nı seçin.

  2. Sağ tarafta Yeni otomasyon kuralı oluştur paneli açılır.
    Otomasyon kuralınıza ne yaptığını açıklayan bir ad verin.

  3. Tetikleyici olarak Olay oluşturulduğunda öğesini seçin (Olay güncelleştirildiğinde'yi de kullanabilirsiniz).

  4. Yeni görevlerin hangi olaylara ekleneceğini belirlemek için Koşullar ekleyin.

    Örneğin, Analytics kuralı adına göre filtreleyin:

    • Bir analiz kuralı veya belirli bir iş akışına göre işlenmesi gereken bir grup analiz kuralı tarafından algılanan tehdit türlerine göre olaylara görev eklemek isteyebilirsiniz. Açılan listeden ilgili analiz kurallarını arayın ve seçin.

    • Ya da tüm tehdit türlerinde olaylarla ilgili görevler eklemek isteyebilirsiniz (bu durumda, varsayılan Tümü seçimini olduğu gibi bırakın).

    Her iki durumda da, otomasyon kuralınızın uygulanacağı olayların kapsamını daraltmak için daha fazla koşul ekleyebilirsiniz. Otomasyon kurallarına gelişmiş koşullar ekleme hakkında daha fazla bilgi edinin.

    Dikkate almanız gereken bir şey, olayda görevlerin görünme sırasının görevlerin oluşturma zamanına göre belirlenmesidir. Otomasyon kurallarının sırasını, tüm olaylar için gerekli görevleri ekleyen kuralların önce çalışması ve yalnızca daha sonra belirli analiz kuralları tarafından oluşturulan olaylar için gereken görevleri ekleyen kuralların çalıştırılmasını sağlayabilirsiniz.

    Otomasyon kuralı sihirbazının ilk bölümünün ekran görüntüsü.

  5. Eylemler'in altında Görev ekle'yi seçin.

    Otomasyon kuralında Görev Ekle eylemini seçme işleminin ekran görüntüsü.

  6. Her görev için, Görev başlığı alanına bir başlık girin ve ardından (isteğe bağlı olarak) + Açıklama ekle'yi seçerek bir açıklama alanı açın.
    Olayın görev listesi panelinde varsayılan olarak yalnızca görev başlıkları görüntülenir. Görevin açıklaması yalnızca görev öğesi genişletildiğinde görüntülenir.

    Göreve başlık ve açıklama eklemeyi gösteren ekran görüntüsü.

  7. Açıklama alanına resimler, bağlantılar ve zengin metin biçimlendirmesi de dahil olmak üzere görev için serbest biçimli bir açıklama ekleyebilirsiniz (aşağıdaki örneklerde köprülere, numaralandırılmış listelere ve kod bloğu biçimlendirilmiş metne bakın).

    Göreve açıklama eklemeyi gösteren ekran görüntüsü.

  8. + Eylem ekle'yi seçip son üç adımı yineleyerek aynı olay grubuna daha fazla görev ekleyin.

    Görevler, Otomasyon kuralınızda Görev ekle eylemlerinin sırasına göre oluşturulur ve olaya eklenir.

    Otomasyon kuralına daha fazla görev eklemeyi gösteren ekran görüntüsü.

  9. Kalan adımları, Kural süre sonu ve Sipariş'i tamamlayıp sonunda Uygula'yı seçerek otomasyon kuralını oluşturmayı tamamlayın. Tüm ayrıntılar için yanıtı yönetmek için bkz. Microsoft Sentinel otomasyon kurallarını oluşturma ve kullanma.

    Sipariş ayarıyla ilgili olarak: Görevlerin olaylarınızda görünme sırası iki şeye bağlıdır:

    1. Sipariş ayarındaki sayı tarafından belirlenen otomasyon kurallarının yürütülmesi sırası ve...
    2. Her otomasyon kuralında tanımlanan Görev eylemleri ekle'nin sırası.

Sonraki adımlar