Добавление расширенных условий в правила автоматизации Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье объясняется, как добавить расширенные условия "Или" в правила автоматизации в Microsoft Sentinel для более эффективного рассмотрения инцидентов.

Добавьте условия "Или" в форму групп условий в разделе "Условия" правила автоматизации.

Группы условий могут содержать два уровня условий:

  • Простой: по меньшей мере два условия, разделенных оператором OR:

  • Составной: более двух условий, при этом по меньшей мере на одной стороне оператора OR присутствует не менее двух условий:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • и другие возможности.

Вы увидите, что эта возможность дает больше контроля и гибкости в аспекте условия запуска правил. Она также может значительно повысить эффективность, так как позволяет объединить множество старых правил автоматизации в одно новое правило.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Добавить группу условия

Так как группы условий предлагают гораздо больше возможностей и гибкости при создании правил автоматизации, оптимальнее всего объяснить, как это сделать, — с помощью примеров.

Давайте создадим правило, которое изменит уровень серьезности входящего инцидента с любого уровня на "Высокая" с учетом того, что он соответствует заданным нами условиям.

  1. Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.

  2. На странице Автоматизация нажмите Создать > Правило автоматизации на панели кнопок в верхней части страницы.

    Дополнительные сведения см. в общих инструкциях по созданию правила автоматизации.

  3. Присвойте правилу имя: "Рассмотрение: изменение уровня серьезности на высокий"

  4. Выберите триггер При создании инцидента.

  5. В условиях, если вы видите условия имени поставщика инцидентов и правила аналитики, оставьте их по мере их использования. Эти условия недоступны, если рабочая область подключена к единой платформе операций безопасности. В любом случае мы добавим дополнительные условия позже в этом процессе.

  6. В разделе Действия выберите Изменить серьезность в раскрывающемся списке.

  7. Выберите Высокая в раскрывающемся списке, который отображается под пунктом Изменить уровень серьезности.

Например, на следующих вкладках показаны примеры из рабочей области, подключенной к единой платформе операций безопасности, на порталах Azure или Defender, а также в рабочей области, которая не является следующей:

Пример 1. Простые условия

В этом первом примере мы создадим простую группу условий: если условие A или условие B верно, правило будет выполняться, а уровень серьезности инцидента будет изменен на Высокая.

  1. Выберите элемент +Добавить расширитель и выберите группу условий (или) в раскрывающемся списке.

    Снимок экрана: добавление группы условий к набору условий правила автоматизации.

  2. Убедитесь, что отображаются два набора полей условий, разделенные оператором OR. Это условия A и B, которые мы упоминали выше: если A или B верны, правило будет выполняться.
    (Не переживайте, если все различные уровни ссылок "Добавить" пока непонятны, мы объясним их позже.)

    Снимок экрана: пустые поля групп условий.

  3. Давайте решим, какими будут эти условия. То есть, какие два разных условия будут приводить к изменению серьезности инцидента на Высокая? Предлагаем следующее:

    • Если связанная с инцидентом тактика MITRE ATT&CK включает любой из четырех выбранных из раскрывающегося списка (см. изображение ниже), уровень серьезности должен быть поднят на высокий.

    • Если инцидент содержит сущность Имя узла с именем "SUPER_SECURE_STATION", уровень серьезности должен быть повышен до "Высокая".

    Снимок экрана: добавление простых условий ИЛИ к правилу автоматизации.

    Если хотя бы ОДНО из этих условий верно, действия, определенные в правиле, будут выполнены, что изменит уровень серьезности инцидента на "Высокая".

Пример 1A. Добавление значения ИЛИ в отдельное условие

Предположим, что у нас не одна, но две сверхконфиденциальных рабочих станции, инциденты которых мы хотим обрабатывать с высоким уровнем серьезности. Мы можем добавить другое значение в существующее условие (для любых условий на основе свойств сущности), щелкнув значок кости справа от существующего значения и добавив новое значение ниже.

Снимок экрана: добавление дополнительных значений к отдельному условию.

Пример 1B. Добавление дополнительных условий ИЛИ

Предположим, мы хотим, чтобы это правило запускалось при выполнении одного из ТРЕХ (или больше) условий. Если A или B или C верны, правило будет запущено.

  1. Помните все эти ссылки "Добавить"? Чтобы добавить другое условие ИЛИ, нажмите кнопку + Добавить, связанную со строкой с помощью оператора OR.

    Снимок экрана: добавление еще одного условия ИЛИ к правилу автоматизации.

  2. Заполните параметры и значения этого условия аналогично первым двум.

    Снимок экрана: еще одно условие ИЛИ, добавленное к правилу автоматизации.

Пример 2. Составные условия

Теперь мы будем немного более строги. Мы хотим добавить дополнительные условия к каждой стороне нашего исходного условия ИЛИ. То есть мы хотим, чтобы правило запускалось, если A и B верны, ИЛИ если C и D верны.

  1. Чтобы добавить условие к одной стороне группы условий ИЛИ, щелкните ссылку + Добавить сразу под существующим условием на той же стороне оператора OR (в той же области синего цвета), к которому нужно добавить новое условие.

    Снимок экрана: добавление составного условия к правилу автоматизации.

    Вы увидите новую строку, добавленную в существующее условие (в той же сине-затеняемой области), связанной с ним оператором AND .

    Снимок экрана: пустая запись нового условия в правилах автоматизации.

  2. Заполните параметры и значения этого условия аналогично другим.

    Снимок экрана: заполняемые новые поля условий для добавления правил автоматизации.

  3. Повторите предыдущие два шага, чтобы добавить условие AND в любую сторону группы условий OR.

    Снимок экрана: добавление нескольких составных условий к правилу автоматизации.

Вот и все! Вы можете использовать полученные здесь знания, чтобы добавить дополнительные условия и группы условий с использованием различных сочетаний операторов AND и OR для создания мощных, гибких и эффективных правил автоматизации, которые оптимизируют работу и ускоряют реагирование и разрешение.

Следующие шаги

В этом документе вы узнали, как добавить группы условий к правилам автоматизации с помощью операторов OR.