Veszélyforrások elhárításának automatizálási szabályokkal történő automatizálása a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogy mik a Microsoft Sentinel automatizálási szabályai, és hogyan használhatja őket a biztonsági vezénylési, automatizálási és válaszkezelési (SOAR) műveletek implementálásához, az SOC hatékonyságának növeléséhez, valamint időt és erőforrásokat takaríthat meg.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Mik azok az automatizálási szabályok?

Az automatizálási szabályok segítségével központilag kezelheti az automatizálást a Microsoft Sentinelben azáltal, hogy lehetővé teszi a különböző forgatókönyvekre alkalmazható szabályok kis csoportjának definiálását és koordinálását.

Az automatizálási szabályok a következő használati esetek kategóriáira vonatkoznak:

• Alapszintű automatizálási feladatok végrehajtása incidenskezeléshez forgatókönyvek használata nélkül. Példa:

  • Incidensfeladatok hozzáadása az elemzők számára követendő feladatokhoz.
  • A zajos incidensek mellőzése.
  • Az új incidensek osztályozásához módosítsa az állapotukat az Újról az Aktívra, és rendeljen hozzá egy tulajdonost.
  • Az incidensek címkézése az osztályozásukhoz.
  • Egy incidens eszkalálása új tulajdonos hozzárendelésével.
  • Zárja be a megoldott incidenseket, adjon meg egy okot, és adjon hozzá megjegyzéseket.

• Egyszerre több elemzési szabály válaszainak automatizálása.

• A végrehajtott műveletek sorrendjének szabályozása.

• Vizsgálja meg az incidens tartalmát (riasztások, entitások és egyéb tulajdonságok), és tegyen további lépéseket egy forgatókönyv meghívásával.

• Az automatizálási szabályok lehetnek olyan mechanizmusok is, amelyekkel forgatókönyvet futtat egy incidenshez nem kapcsolódó riasztásraválaszul.

Röviden: az automatizálási szabályok leegyszerűsítik az automatizálás használatát a Microsoft Sentinelben, így egyszerűbbé teheti a fenyegetéskezelési vezénylési folyamatok összetett munkafolyamatait.

Összetevők

Az automatizálási szabályok több összetevőből állnak:

• Olyan eseményindítók, amelyek meghatározzák , hogy milyen incidensesemény okozza a szabály futtatását, a...
• Feltételek , amelyek meghatározzák a szabály futtatásának és végrehajtásának pontos körülményeit...
• Az incidens valamilyen módon történő módosítására vagy forgatókönyv meghívására irányuló műveletek.

Triggerek

Az automatizálási szabályok az incidensek létrehozásakor vagy frissítésekor, illetve riasztások létrehozásakor aktiválódnak. Ne feledje, hogy az incidensek riasztásokat is tartalmaznak, és a riasztások és az incidensek elemzési szabályokkal hozhatók létre, amelyek közül több típus is létezik, amint azt a Fenyegetések észlelése a Microsoft Sentinel beépített elemzési szabályaival ismerteti.

Az alábbi táblázat azokat a lehetséges forgatókönyveket mutatja be, amelyek egy automatizálási szabály futtatását okozzák.

Trigger típusa	A szabály futtatását okozó események
Incidens létrehozásakor	Egyesített biztonsági üzemeltetési platform a Microsoft Defenderben: Új incidens jön létre a Microsoft Defender portálon. A Microsoft Sentinel nincs egységes platformra előkészítve: Egy elemzési szabály új incidenst hoz létre. Az incidens a Microsoft Defender XDR-ből van betöltve. A rendszer manuálisan hoz létre új incidenst.
Incidens frissítésekor	Az incidens állapota módosul (bezárva/újra megnyitva/triaged). Az incidens tulajdonosa hozzárendelve vagy módosítva van. Az incidens súlyossága emelkedik vagy csökken. A rendszer riasztásokat ad hozzá egy incidenshez. Megjegyzéseket, címkéket vagy taktikákat ad hozzá egy incidenshez.
Riasztás létrehozásakor	A riasztást egy Microsoft Sentinel ütemezett vagy NRT-elemzési szabály hozza létre.

Incidensalapú vagy riasztásalapú automatizálás?

Most, hogy az incidens-automatizálást és a riasztás-automatizálást is központilag kezelik az automatizálási szabályok és a forgatókönyvek, hogyan kell kiválasztani, hogy mikor melyiket használja?

A legtöbb használati esetben az incidens által kiváltott automatizálás a legkedvesebb módszer. A Microsoft Sentinelben az incidens egy "esetfájl" – egy adott vizsgálathoz szükséges összes bizonyíték összesítése. Ez egy tároló riasztásokhoz, entitásokhoz, megjegyzésekhez, együttműködéshez és egyéb összetevőkhöz. Az egyetlen bizonyítékként szolgáló riasztásokkal ellentétben az incidensek módosíthatók, a legfrissebb állapottal rendelkeznek, és megjegyzésekkel, címkékkel és könyvjelzőkkel bővíthetők. Az incidens lehetővé teszi az új riasztások hozzáadásával folyamatosan fejlődő támadási történet nyomon követését.

Ezen okok miatt érdemesebb az automatizálást incidensek köré építeni. Így a forgatókönyvek létrehozásának legmegfelelőbb módja az, ha a Microsoft Sentinel incidensindítójára alapozza őket az Azure Logic Appsben.

A riasztás által aktivált automatizálás használatának fő oka az, hogy az elemzési szabályok által generált riasztásokra válaszol, amelyek nem hoznak létre incidenseket (vagyis ahol az incidensek létrehozása le lett tiltva az elemzési szabály varázsló Incidensbeállítások lapján).

Ez az ok különösen akkor fontos, ha a Microsoft Sentinel-munkaterületet az egyesített biztonsági üzemeltetési platformra készítik, mivel minden incidens létrehozása a Microsoft Defender XDR-ben történik, ezért a Microsoft Sentinel incidens-létrehozási szabályait le kell tiltani.

Az egyesített portálra való előkészítés nélkül is dönthet úgy, hogy riasztás által aktivált automatizálást használ, ha más külső logikát szeretne használni annak meghatározására, hogy az incidensek riasztásokból jönnek-e létre, valamint hogy a riasztások incidensek szerint vannak-e csoportosítva. Példa:

• A forgatókönyvet olyan riasztás aktiválhatja, amely nem rendelkezik kapcsolódó incidenssel, más forrásokból származó információkkal bővíti a riasztást, és valamilyen külső logika alapján eldönti, hogy létrehoz-e incidenst.

• A forgatókönyvet riasztás aktiválhatja, és incidens létrehozása helyett keresse meg a megfelelő meglévő incidenst a riasztás hozzáadásához. További információ az incidensbővítésről.

• A forgatókönyvet egy riasztás aktiválhatja, és értesítheti a soc személyzetét a riasztásról, így a csapat eldöntheti, hogy létrehoz-e incidenst.

• A forgatókönyvet egy riasztás aktiválhatja, és elküldheti a riasztást egy külső jegykezelő rendszernek az incidensek létrehozása és kezelése céljából, és minden egyes riasztáshoz új jegyet hozhat létre.

Feljegyzés

• A riasztás által aktivált automatizálás csak ütemezett, NRT és Microsoft biztonsági elemzési szabályok által létrehozott riasztásokhoz érhető el.

• A Microsoft Defender XDR által létrehozott riasztások riasztás által aktivált automatizálása nem érhető el az egyesített biztonsági üzemeltetési platformon. További információ: Automation with the unified security operations platform.

Feltételek

Összetett feltételkészletek határozhatók meg, amelyek szabályozzák, hogy mikor fussanak a műveletek (lásd alább). Ezek a feltételek magukban foglalják a szabályt aktiváló eseményt (létrehozott vagy frissített vagy létrehozott riasztás), az incidens tulajdonságainak és entitástulajdonságainak állapotát vagy értékeit (csak incidensindító esetén), valamint az incidenst vagy riasztást létrehozó elemzési szabályt vagy szabályokat.

Egy automatizálási szabály aktiválásakor ellenőrzi az eseményindító incidenst vagy a riasztást a szabályban meghatározott feltételek alapján. Incidensek esetén a tulajdonságalapú feltételek kiértékelése az adott tulajdonság aktuális állapotának megfelelően történik a kiértékelés időpontjában, vagy a tulajdonság állapotának változásai alapján (a részletekért lásd alább). Mivel egyetlen incidens létrehozása vagy frissítése több automatizálási szabályt is kiválthat, a futtatásuk sorrendje (lásd alább) különbséget tesz a feltételek kiértékelésének eredményének meghatározásában. A szabályban meghatározott műveletek csak akkor futnak, ha az összes feltétel teljesül.

Incidens-létrehozási eseményindító

Az eseményindítóval az incidens létrehozásakor definiált szabályokhoz olyan feltételeket határozhat meg, amelyek egy adott incidenstulajdonság-lista értékeinek aktuális állapotát ellenőrzik az alábbi operátorok közül egy vagy több használatával:

Incidenstulajdonság értéke

• egyenlő vagynem egyenlő a feltételben meghatározott értékkel.
• a feltételben meghatározott értéket tartalmazza vagy nem tartalmazza .
• a feltételben meghatározott értékkel kezdődik vagy nem.
• a feltételben meghatározott értékkel végződik vagy nem végződik.

Ebben a kontextusban a jelenlegi állapot a feltétel kiértékelésének pillanatára utal, vagyis az automatizálási szabály futtatásának pillanatára. Ha egynél több automatizálási szabály van definiálva, hogy az incidens létrehozásakor fusson, akkor az incidens egy korábbi futtatású automatizálási szabály által végrehajtott módosításai a későbbi futtatású szabályok aktuális állapotának minősülnek.

Incidensfrissítési eseményindító

Az eseményindítóval definiált szabályokban kiértékelt feltételek az incidensek frissítésekor tartalmazzák az incidenslétrehozási eseményindítóhoz felsorolt összes feltételt. A frissítési eseményindító azonban több értékelhető tulajdonságot is tartalmaz.

Ezen tulajdonságok egyike frissítve van. Ez a tulajdonság lehetővé teszi az incidensben módosítást okozó forrás típusának nyomon követését. Létrehozhat egy feltételt, amely kiértékeli, hogy az incidenst az alábbi értékek valamelyike frissítette-e attól függően, hogy a munkaterületet az egyesített biztonsági üzemeltetési platformra hozta-e:

Előkészített munkaterületek

• Egy alkalmazás, beleértve az Azure-beli és a Defender-portálon található alkalmazásokat is.
• Egy felhasználó, beleértve a felhasználók által az Azure-ban és a Defender portálon végrehajtott módosításokat is.
• AIR, a frissítések automatizált vizsgálat és válasz a Office 365-höz készült Microsoft Defender
• Riasztások csoportosítása (amely riasztásokat adott hozzá az incidenshez), beleértve az elemzési szabályok és a Beépített Microsoft Defender XDR korrelációs logika által végrehajtott riasztáscsoportokat is
• Forgatókönyv
• Automatizálási szabály
• Egyéb, ha a fenti értékek egyike sem érvényes

A munkaterületek nincsenek előkészítve

• Alkalmazás
• Microsoft Sentinel-felhasználó
• Az elemzési szabályok által végzett riasztáscsoportozás (amely riasztásokat adott hozzá az incidenshez).
• Forgatókönyv
• Automatizálási szabály
• Microsoft Defender XDR

Ezt a feltételt használva például utasíthatja ezt az automatizálási szabályt, hogy futtassa az incidens bármilyen módosítását, kivéve, ha azt egy másik automatizálási szabály hozta létre.

A frissítési eseményindító emellett más operátorokat is használ, amelyek ellenőrzik az incidens tulajdonságainak és aktuális állapotának állapotváltozásait . Az állapotváltoztatási feltétel teljesülne, ha:

Az incidenstulajdonság értéke

• módosult (függetlenül attól, hogy a tényleges érték előtt vagy után).
• módosult a feltételben meghatározott értékről .
• a feltételben meghatározott értékre módosult.
• hozzáadva (ez az értékek listáját tartalmazó tulajdonságokra vonatkozik).

Címketulajdonság : egyéni és gyűjtemény

Az incidenstulajdonság címkéje különálló elemek gyűjteménye – egyetlen incidensre több címke is vonatkozhat. Megadhatja azokat a feltételeket, amelyek egyenként ellenőrzik a gyűjtemény egyes címkéinek állapotát, valamint azokat a feltételeket, amelyek egységként ellenőrzik a címkék gyűjteményét.

• Minden egyes címkeoperátorok ellenőrzik a feltételt a gyűjtemény minden címkéjében. A kiértékelés akkor igaz , ha legalább egy címke megfelel a feltételnek.
• A címkék összes operátorának gyűjteménye egyetlen egységként ellenőrzi a címkék gyűjteményét. A kiértékelés csak akkor igaz , ha a gyűjtemény egésze megfelel a feltételnek.

Ez a megkülönböztetés akkor számít, ha a feltétel negatív (nem tartalmaz), és a gyűjtemény egyes címkéi megfelelnek a feltételnek, míg mások nem.

Tekintsünk meg egy példát, ahol a feltétel az, hogy a címke nem tartalmazza a "2024" értéket, és két incidense van, amelyek mindegyike két címkével rendelkezik:

\Események ▶ Feltétel ▼ \	1. incidens 1. címke: 2024 2. címke: 2023	2. incidens 1. címke: 2023 2. címke: 2022
Bármely egyedi címke nem tartalmaz "2024"	IGAZ	IGAZ
Az összes címke gyűjteménye nem tartalmaz "2024"	FAL Standard kiadás	IGAZ

Ebben a példában az 1. incidensben:

• Ha a feltétel egyenként ellenőrzi az egyes címkéket, akkor mivel van legalább egy olyan címke, amely megfelel a feltételnek (amely nem tartalmazza a "2024"-et), a teljes feltétel igaz.
• Ha a feltétel egyetlen egységként ellenőrzi az incidens összes címkéjét, akkor mivel van legalább egy olyan címke, amely nem felel meg a feltételnek (amely tartalmazza a "2024"-et), a teljes feltétel hamis.

A 2. incidensben az eredmény ugyanaz lesz, függetlenül attól, hogy milyen típusú feltétel van definiálva.

Riasztáslétrehozási eseményindító

Jelenleg a riasztáslétrehozási eseményindítóhoz konfigurálható egyetlen feltétel az az elemzési szabályok készlete, amelyekhez az automatizálási szabály futni fog.

Műveletek

A műveletek úgy határozhatók meg, hogy a feltételek teljesülése esetén fussanak (lásd fent). Egy szabályban számos műveletet definiálhat, és kiválaszthatja a futtatás sorrendjét (lásd alább). A következő műveletek automatizálási szabályokkal határozhatók meg, anélkül, hogy szükség lenne egy forgatókönyv speciális funkcióira:

• Feladat hozzáadása egy incidenshez – létrehozhat egy ellenőrzőlistát az elemzők számára az incidens osztályozási, vizsgálati és szervizelési folyamatainak követéséhez , hogy a kritikus lépések ne maradjanak le.

• Az incidens állapotának módosítása, a munkafolyamat naprakészen tartása.

  • Ha "bezárt" értékre vált, adja meg a záró okot , és adjon hozzá egy megjegyzést. Ez segít nyomon követni a teljesítményt és a hatékonyságot, és finomhangolni a hamis pozitív értékek csökkentése érdekében.

• Az incidens súlyosságának módosítása – az incidensben érintett entitások jelenléte, hiánya, értékei vagy attribútumai alapján újraértékelheti és újrareicializálhatja azokat.

• Incidens hozzárendelése egy tulajdonoshoz – ez segít az incidensek típusainak a kezelésére leginkább alkalmas személyzetnek vagy a rendelkezésre álló személyzetnek irányítani.

• Címke hozzáadása incidenshez – ez hasznos az incidensek tárgy, támadó vagy bármely más közös nevező szerint történő besorolásához.

Emellett meghatározhat egy műveletet egy forgatókönyv futtatásához, hogy összetettebb válaszműveleteket hajthasson végre, beleértve a külső rendszereket is. Az automatizálási szabályokban használható forgatókönyvek attól függenek, hogy a forgatókönyvek és az automatizálási szabály melyik eseményindítón alapulnak: Csak incidensindító forgatókönyvek futtathatók incidensindító automatizálási szabályokból, és csak riasztás-trigger forgatókönyvek futtathatók riasztás-trigger automatizálási szabályokból. Több olyan műveletet is meghatározhat, amely forgatókönyveket vagy forgatókönyvek és egyéb műveletek kombinációját hívja meg. A műveletek a szabályban felsorolt sorrendben futnak.

Az Azure Logic Apps (Standard vagy Consumption) bármelyik verzióját használó forgatókönyvek automatizálási szabályokból futtathatók.

Lejárati dátum

Egy automatizálási szabály lejárati dátumát definiálhatja. A szabály a dátum után le lesz tiltva. Ez hasznos lehet a tervezett, időkorlátos tevékenységek, például behatolástesztelés által okozott "zaj" incidensek kezelésére (azaz bezárására).

Sorrend

Meghatározhatja, hogy az automatizálási szabályok milyen sorrendben fussanak. A későbbi automatizálási szabályok a korábbi automatizálási szabályok végrehajtása után az állapotuknak megfelelően értékelik az incidens feltételeit.

Ha például az "Első automatizálási szabály" közepesről alacsonyra módosította az incidens súlyosságát, és a "Második automatizálási szabály" úgy van definiálva, hogy csak közepes vagy magasabb súlyosságú incidenseken fusson, akkor az nem fog futni az adott incidensen.

Az incidensfeladatokat tartalmazó automatizálási szabályok sorrendje határozza meg, hogy a tevékenységek milyen sorrendben jelenjenek meg egy adott incidensben.

A frissítési eseményindítón alapuló szabályok külön rendelési várólistával rendelkeznek. Ha az ilyen szabályok egy imént létrehozott incidensen futnak (egy másik automatizálási szabály módosításával), akkor azok csak akkor futnak, ha a létrehozási eseményindítón alapuló összes vonatkozó szabály lefut.

Megjegyzések a végrehajtási rendeléshez és a prioritáshoz

• A rendelésszám automatizálási szabályokban való beállítása határozza meg a végrehajtás sorrendjét.
• Minden eseményindító-típus saját üzenetsort tart fenn.
• Az Azure Portalon létrehozott szabályok esetében a rendszer automatikusan kitölti a rendelésmezőt az azonos eseményindítótípusú szabályok által használt legmagasabb számot követő számmal.
• Más módokon (parancssor, API stb.) létrehozott szabályok esetében azonban a rendelésszámot manuálisan kell hozzárendelni.
• Nincs olyan érvényesítési mechanizmus, amely megakadályozná, hogy több szabály ugyanazzal a sorszámmal rendelkezhessen, még ugyanazon az eseményindító-típuson belül is.
• Ha nem érdekli, hogy az azonos triggertípusú két vagy több szabálynak ugyanaz a rendelésszáma legyen, nem érdekli, hogy melyik sorrendben futnak.
• Az azonos számú triggertípusú szabályok esetén a végrehajtási motor véletlenszerűen kiválasztja, hogy mely szabályok melyik sorrendben fussanak.
• A különböző incidens-eseményindító-típusok szabályai esetében az incidenslétrehozási eseményindító típusával rendelkező összes alkalmazandó szabály először (a rendelésszámuknak megfelelően), majd csak az incidensfrissítési eseményindító típusával rendelkező szabályok (a rendelésszámuknak megfelelően) fog futni.
• A szabályok mindig egymás után futnak, soha nem párhuzamosan.

Feljegyzés

Az egyesített biztonsági üzemeltetési platformra való előkészítés után, ha 5–10 perc alatt több módosítás történik ugyanazon incidensen, a rendszer egyetlen frissítést küld a Microsoft Sentinelnek, amely csak a legutóbbi módosítást tartalmazza.

Gyakori használati esetek és forgatókönyvek

Incidensfeladatok

Az automatizálási szabályok lehetővé teszik az incidensek osztályozásához, vizsgálatához és szervizeléséhez szükséges lépések szabványosítását és formalizálását azáltal, hogy olyan feladatokat hoz létre, amelyek egyetlen incidensre, incidenscsoportokra vagy minden incidensre alkalmazhatók az automatizálási szabályban meghatározott feltételeknek és a mögöttes elemzési szabályok fenyegetésészlelési logikájának megfelelően. Az incidensre alkalmazott feladatok megjelennek az incidens oldalán, így az elemzők a szükséges műveletek teljes listájával rendelkeznek, közvetlenül előttük, és nem maradnak le a kritikus lépésekről.

Incidens- és riasztásvezérelt automatizálás

Az automatizálási szabályokat az incidensek létrehozása vagy frissítése, valamint a riasztások létrehozása is kiválthatja. Ezek az előfordulások mind automatikus válaszláncokat aktiválhatnak, amelyek forgatókönyveket is tartalmazhatnak (speciális engedélyekre van szükség).

Forgatókönyvek aktiválása Microsoft-szolgáltatók számára

Az automatizálási szabályok segítségével automatizálhatja a Microsoft biztonsági riasztásainak kezelését azáltal, hogy ezeket a szabályokat a riasztásokból létrehozott incidensekre alkalmazza. Az automatizálási szabályok meghívhatják a forgatókönyveket (speciális engedélyek szükségesek), és átadhatják nekik az incidenseket minden részletükkel, beleértve a riasztásokat és entitásokat is. A Microsoft Sentinel ajánlott eljárásai általában azt diktálják, hogy az incidensek üzenetsorát használják a biztonsági műveletek fókuszpontjaként.

A Microsoft biztonsági riasztásai a következők:

• Microsoft Entra ID Protection
• Microsoft Defender for Cloud
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Office 365
• Microsoft Defender végponthoz
• Microsoft Defender for Identity
• Microsoft Defender for IoT

Több sorozatos forgatókönyv/művelet egyetlen szabályban

Mostantól szinte teljes mértékben szabályozhatja a műveletek és forgatókönyvek végrehajtásának sorrendjét egyetlen automatizálási szabályban. Az automatizálási szabályok végrehajtásának sorrendjét maga is szabályozhatja. Ez lehetővé teszi, hogy jelentősen leegyszerűsítse a forgatókönyveket, egyetlen feladatra vagy egy kis, egyszerű feladatsorra csökkentse őket, és ezeket a kis forgatókönyveket különböző kombinációkban kombinálja különböző automatizálási szabályokban.

Egy forgatókönyv hozzárendelése egyszerre több elemzési szabályhoz

Ha rendelkezik egy olyan feladattal, amelyet az összes elemzési szabályon automatizálni szeretne – például egy támogatási jegy létrehozását egy külső jegykezelő rendszerben –, egyetlen forgatókönyvet alkalmazhat bármely vagy az összes elemzési szabályra – beleértve a jövőbeli szabályokat is – egyetlen lövéssel. Ez megkönnyíti az egyszerű, de ismétlődő karbantartási és takarítási feladatokat, sokkal kevésbé a házimunkát.

Incidensek automatikus hozzárendelése

Az incidenseket automatikusan hozzárendelheti a megfelelő tulajdonoshoz. Ha az SOC-nek van egy adott platformra specializálódott elemzője, az adott platformmal kapcsolatos incidensek automatikusan hozzárendelhetők az adott elemzőhöz.

Incidensek elnyomása

Szabályokkal automatikusan megoldhatja az ismert hamis/jóindulatú pozitív eseteket forgatókönyvek használata nélkül. Például behatolási tesztek futtatásakor, ütemezett karbantartások vagy frissítések elvégzése, illetve automatizálási eljárások tesztelésekor számos olyan téves pozitív incidens hozható létre, amelyet az SOC figyelmen kívül szeretne hagyni. Az időkorlátos automatizálási szabályok automatikusan lezárhatják ezeket az incidenseket a létrehozásuk során, miközben megjelölik őket a létrehozásuk okának leírójával.

Időkorlátos automatizálás

Az automatizálási szabályok lejárati dátumát is hozzáadhatja. Előfordulhatnak olyan esetek, amelyek az incidensek letiltásán kívül az időkorlátos automatizálást teszik szükségessé. Előfordulhat, hogy adott típusú incidenst szeretne hozzárendelni egy adott felhasználóhoz (például gyakornokhoz vagy tanácsadóhoz) egy adott időkerethez. Ha az időkeret előre ismert, akkor hatékonyan letilthatja a szabályt a relevancia végén, anélkül, hogy erre emlékeznie kellene.

Incidensek automatikus címkézése

Automatikusan hozzáadhat szabadszöveges címkéket az incidensekhez, hogy azokat az Ön által választott feltételek szerint csoportosítsa vagy osztályozza.

Frissítési eseményindító által hozzáadott esetek használata

Most, hogy az incidensek módosításai automatizálási szabályokat válthatnak ki, több forgatókönyv is nyitva áll az automatizálásra.

Az automatizálás kiterjesztése incidensfejlõdéskor

A frissítési eseményindítóval számos fenti használati esetet alkalmazhat incidensekre a vizsgálat előrehaladása során, és az elemzők riasztásokat, megjegyzéseket és címkéket adhatnak hozzá. Riasztások csoportosításának szabályozása incidensekben.

Vezénylés és értesítés frissítése

Értesítse a különböző csapatokat és más munkatársakat az incidensek módosításakor, hogy ne hagyja ki a kritikus frissítéseket. Az incidensek eszkalálása azáltal, hogy új tulajdonosokhoz rendeli őket, és tájékoztatja az új tulajdonosokat a feladataikról. Az incidensek újbóli megnyitásának és időpontjának szabályozása.

Szinkronizálás karbantartása külső rendszerekkel

Ha forgatókönyvekkel hozott létre jegyeket külső rendszerekben incidensek létrehozásakor, egy frissítés-trigger automatizálási szabály használatával meghívhat egy forgatókönyvet, amely frissíti ezeket a jegyeket.

Automatizálási szabályok végrehajtása

Az automatizálási szabályok egymás után futnak a meghatározott sorrendszerint. Az egyes automatizálási szabályok végrehajtása az előző futtatása után történik. Egy automatizálási szabályon belül minden művelet egymás után, a definiálásuk sorrendjében fut.

Az automatizálási szabályon belüli forgatókönyvműveletek bizonyos körülmények között eltérően kezelhetők az alábbi feltételeknek megfelelően:

Forgatókönyv futási ideje	Az automatizálási szabály a következő műveletre lép...
Kevesebb, mint egy másodperc	Közvetlenül a forgatókönyv befejezése után
Kevesebb mint két perc	Legfeljebb két perccel a forgatókönyv futtatása után, de legfeljebb 10 másodperccel a forgatókönyv befejezése után
Több mint két perc	Két perccel a forgatókönyv futtatása után, függetlenül attól, hogy befejeződött-e vagy sem

A forgatókönyvek futtatására vonatkozó automatizálási szabályok engedélyei

Amikor egy Microsoft Sentinel automatizálási szabály forgatókönyvet futtat, egy speciális Microsoft Sentinel szolgáltatásfiókot használ, amely kifejezetten erre a műveletre van engedélyezve. A fiók használata (szemben a felhasználói fiókkal) növeli a szolgáltatás biztonsági szintjét.

Ahhoz, hogy egy automatizálási szabály futtatni tudjon egy forgatókönyvet, ennek a fióknak explicit engedélyeket kell adni ahhoz az erőforráscsoporthoz, amelyben a forgatókönyv található. Ekkor bármely automatizálási szabály képes lesz bármely forgatókönyvet futtatni az adott erőforráscsoportban.

Amikor automatizálási szabályt konfigurál, és egy forgatókönyv-műveletet ad hozzá, megjelenik a forgatókönyvek legördülő listája. Azok a forgatókönyvek, amelyekhez a Microsoft Sentinel nem rendelkezik engedélyekkel, nem érhetők el ("szürkítve"). A Forgatókönyv-engedélyek kezelése hivatkozásra kattintva engedélyt adhat a Microsoft Sentinelnek a forgatókönyvek erőforráscsoportjaihoz a helyszínen. Ezeknek az engedélyeknek a megadásához tulajdonosi engedélyekre lesz szüksége ezeken az erőforráscsoportokon. Tekintse meg a teljes engedélykövetelményeket.

Engedélyek több-bérlős architektúrában

Az automatizálási szabályok teljes mértékben támogatják a munkaterületek közötti és a több-bérlős üzemelő példányokat (több-bérlő esetén az Azure Lighthouse használatával).

Ezért ha a Microsoft Sentinel üzembe helyezése több-bérlős architektúrát használ, akkor az egyik bérlőben futtathat egy olyan forgatókönyvet, amely egy másik bérlőben található, de a Forgatókönyvek futtatásához szükséges Sentinel-engedélyeket abban a bérlőben kell meghatározni, ahol a forgatókönyvek találhatók, nem abban a bérlőben, ahol az automatizálási szabályok vannak meghatározva.

Egy felügyelt biztonsági szolgáltató (MSSP) esetében, ahol egy szolgáltatói bérlő felügyel egy Microsoft Sentinel-munkaterületet egy ügyfélbérlében, két konkrét forgatókönyv indokolja a figyelmet:

• Az ügyfélbérlében létrehozott automatizálási szabály úgy van konfigurálva, hogy a szolgáltató bérlőjében található forgatókönyvet futtasson.

  Ezt a megközelítést általában a forgatókönyv szellemi tulajdonának védelmére használják. Ehhez a forgatókönyvhöz semmi különleges nem szükséges. Amikor egy forgatókönyv-műveletet definiál az automatizálási szabályban, és arra a fázisra jut, ahol a Microsoft Sentinel-engedélyeket a forgatókönyvet tároló megfelelő erőforráscsoporthoz adja meg (a forgatókönyv-engedélyek kezelése panel használatával), a szolgáltató bérlőjéhez tartozó erőforráscsoportokat láthatja a választható lehetőségek között. Tekintse meg az itt felvázolt teljes folyamatot.

• Az ügyfél-munkaterületen (a szolgáltatói bérlőbe bejelentkezve) létrehozott automatizálási szabály úgy van konfigurálva, hogy egy forgatókönyvet futtasson az ügyfélbérlében.

  Ezt a konfigurációt akkor használja a rendszer, ha nincs szükség a szellemi tulajdon védelmére. Ahhoz, hogy ez a forgatókönyv működjön, a forgatókönyv végrehajtására vonatkozó engedélyeket mindkét bérlőnél meg kell adni a Microsoft Sentinelnek. Az ügyfélbérlében a forgatókönyv-engedélyek kezelése panelen adja meg őket, ugyanúgy, mint a fenti forgatókönyvben. A szolgáltatói bérlő megfelelő engedélyeinek megadásához hozzá kell adnia egy további Azure Lighthouse-delegálást, amely hozzáférési jogosultságokat biztosít az Azure Security Elemzések alkalmazáshoz a Microsoft Sentinel Automation közreműködői szerepkörével azon az erőforráscsoporton, ahol a forgatókönyv található.

  A forgatókönyv a következőképpen néz ki:

  

  A beállításhoz tekintse meg a beállításra vonatkozó utasításokat .

Automatizálási szabályok létrehozása és kezelése

A Microsoft Sentinel vagy az egyesített biztonsági üzemeltetési platform különböző területeiről hozhat létre és kezelhet automatizálási szabályokat az adott igénytől és használati esettől függően.

• Automation oldal

  Az automatizálási szabályok központilag kezelhetők az Automation lapon, az Automation szabályok lapján. Innen létrehozhat új automatizálási szabályokat, és szerkesztheti a meglévőket. Az automatizálási szabályok húzásával módosíthatja a végrehajtás sorrendjét, és engedélyezheti vagy letilthatja őket.

  Az Automation lapon láthatja a munkaterületen definiált összes szabályt, valamint azok állapotát (Engedélyezve/Letiltva), valamint azokat az elemzési szabályokat, amelyekre vonatkoznak.

  Ha olyan automatizálási szabályra van szüksége, amely a Microsoft Defender XDR-ből vagy a Microsoft Sentinel számos elemzési szabályából származó incidensekre vonatkozik, hozza létre közvetlenül az Automation lapon.

• Elemzési szabály varázsló

  A Microsoft Sentinel elemzési szabály varázslóJának Automatikus válasz lapján az Automation szabályok területén megtekintheti, szerkesztheti és létrehozhatja a varázslóban létrehozott vagy szerkesztett adott elemzési szabályra vonatkozó automatizálási szabályokat.

  Megfigyelheti, hogy amikor innen létrehoz egy automatizálási szabályt, az Új automatizálási szabály létrehozása panel nem elérhetőként jeleníti meg az elemzési szabály feltételét, mivel ez a szabály már csak a varázslóban szerkesztett elemzési szabályra van beállítva. Az összes többi konfigurációs lehetőség továbbra is elérhető.

• Incidensek lap

  Az Incidensek oldalról automatizálási szabályt is létrehozhat, hogy egyetlen ismétlődő incidensre reagálhasson. Ez akkor hasznos, ha letiltási szabálythoz létre a "zajos" incidensek automatikus bezárásához.

  Megfigyelheti, hogy amikor innen létrehoz egy automatizálási szabályt, az Új automatizálási szabály létrehozása panel az összes mezőt feltölti az incidensből származó értékekkel. A szabály neve megegyezik az incidens nevével, az incidenst létrehozó elemzési szabályra alkalmazza, és az incidensben elérhető összes entitást a szabály feltételeiként használja. Emellett alapértelmezés szerint letiltási (záró) műveletet is javasol, és a szabály lejárati dátumát javasolja. Feltételeket és műveleteket adhat hozzá vagy távolíthat el, és tetszés szerint módosíthatja a lejárati dátumot.

Következő lépések

Ebben a dokumentumban megismerhette, hogyan segíthetnek az automatizálási szabályok a Microsoft Sentinel-incidensek és riasztások válaszautomatizálásának központi kezelésében.

• A Microsoft Sentinel automatizálási szabályainak létrehozása és használata az incidensek kezeléséhez.
• Az automatizálási szabályok használatával feladatlistákat hozhat létre az elemzők számára.
• A speciális automatizálási lehetőségekről további információt a Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben című témakörben talál.
• A forgatókönyvek implementálásával kapcsolatos segítségért tekintse meg az oktatóanyagot: Forgatókönyvek használata a fenyegetésekre adott válaszok automatizálásához a Microsoft Sentinelben.