共用方式為

將進階條件新增至 Microsoft Sentinel 自動化規則

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何將進階「Or」條件新增至 Microsoft Sentinel 中的自動化規則,以取得更有效的事件分級。

在自動化規則的 [條件] 區段中,以條件群組的形式新增 「Or」 條件。

條件群組可以包含兩個層級的條件:

  • 簡單:至少兩個 OR 條件,每個條件都由運算子分隔:

  • 複合:兩個以上的條件,至少在運算子的一端至少有兩個 OR 條件:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (B andOR (C and D and E)
    • (B andOR (C and D) OR (E and F)
    • 依此類推。

您可以看到這項功能提供您決定何時執行規則的強大功能和彈性。 它也可讓您將許多舊的自動化規則結合成一個新的規則,藉此大幅提升效率。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

新增條件群組

由於條件群組在建立自動化規則方面提供更大的力量和彈性,因此說明如何執行此動作的最佳方式是呈現一些範例。

讓我們建立一個規則,將傳入事件的嚴重性從任何事件變更為 High,假設其符合我們將設定的條件。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]

  2. 從 [ 自動化 ] 頁面,從頂端的按鈕列選取 [建立 > 自動化規則 ]。

    如需詳細資訊, 請參閱建立自動化規則 的一般指示。

  3. 將規則命名為「分級:將嚴重性變更為高」

  4. 選取 [事件建立時] 觸發程式

  5. 在 [條件] 下,如果您看到事件提供者和分析規則名稱條件,請保留它們。 如果您的工作區已上線至統一安全性作業平臺,則無法使用這些條件。 不論是哪一種情況,我們稍後都會在此程式中新增更多條件。

  6. 在 [動作] 下,從下拉式清單中選取 [變更嚴重性]。

  7. 從出現在 [變更嚴重性] 下方的下拉式清單中選取 [高]。

例如,下列索引標籤會顯示從已上線至統一安全性作業平臺的工作區、Azure 或 Defender 入口網站中的範例,以及未上線的工作區:

範例 1:簡單條件

在此第一個範例中,我們將建立簡單的條件群組:如果條件 A 條件 B 為 true,則會執行規則,並將事件的嚴重性設定為 High

  1. 選取 [ + 新增 展開器],然後 從下拉式清單中選擇 [條件] 群組 [或 ]。

    將條件群組新增至自動化規則條件集的螢幕快照。

  2. 請參閱顯示兩組條件字段,並以 OR 運算符分隔。 這些是上述的 「A」 和 「B」 條件:如果 A 或 B 為 true,則會執行規則。
    (不要被所有不同層的「新增」連結混淆-這些都會解釋。

    空白條件群組欄位的螢幕快照。

  3. 讓我們來決定這些條件是什麼。 也就是說,哪兩 個不同的 情況會導致事件嚴重性變更為 High? 讓我們建議下列事項:

    • 如果事件的關聯 MITRE ATT&CK 策略 包含我們從下拉式清單中選取的四個其中之一(請參閱下圖),則嚴重性應提升為 [高]。

    • 如果事件包含 名為 「SUPER_SECURE_STATION」 的主機名 實體,則嚴重性應提升為 High。

    將簡單 OR 條件新增至自動化規則的螢幕快照。

    只要至少有一個這些條件成立,我們在規則中定義的動作就會執行,將事件的嚴重性變更為 [高]。

範例 1A:在單一條件內新增 OR 值

假設我們沒有一個,但有兩個超敏感工作站,我們想要使高嚴重性的事件。 我們可以藉由選取現有值右邊的骰子圖示,並將新的值新增至現有的條件中,以將另一個值新增至現有的條件(針對任何以實體屬性為基礎的條件)。

將更多值新增至單一條件的螢幕快照。

範例 1B:新增更多 OR 條件

假設我們想要讓此規則執行,如果三個 (或更多) 條件之一成立。 如果 A 或 B C 為 true,則會執行規則。

  1. 還記得所有這些「新增」連結嗎? 若要新增另一個 OR 條件,請選取 [+ 新增 ],將一行連線至 OR 運算符。

    將另一個 OR 條件新增至自動化規則的螢幕快照。

  2. 現在,以您執行前兩個相同的方式來填入此條件的參數和值。

    已新增至自動化規則之另一個 OR 條件的螢幕快照。

範例 2:復合條件

現在,我們決定我們會更挑剔一點。 我們想要將更多條件新增至原始 OR 條件的每一端。 也就是說,如果 A 和 B 為 true,則我們想要執行規則;如果 C D 為 true,則為 。

  1. 若要將條件新增至 OR 條件群組的一端,請選取 位於現有條件正下方的 [+ 新增 ] 連結,該鏈接位於您要新增新條件的 OR 相同運算元(位於相同藍色陰影區域中)。

    將複合條件新增至自動化規則的螢幕快照。

    您會看到在現有條件下新增的新數據列(位於相同的藍色陰影區域中),由 AND 操作員連結至該數據列。

    自動化規則中空白新條件數據列的螢幕快照。

  2. 以您執行其他條件的方式填入此條件的參數和值。

    要填入以新增至自動化規則之新條件字段的螢幕快照。

  3. 重複上述兩個步驟,將 AND 條件新增至 OR 條件群組的任一端。

    將多個複合條件新增至自動化規則的螢幕快照。

介紹完畢 您可以使用這裡學到的內容來新增更多條件和條件群組,使用和 OR 運算符的不同組合,來建立功能強大的、彈性且有效率的AND自動化規則,以真正協助您的SOC順暢地執行,並降低回應和解決時間。

下一步

在本檔中,您已瞭解如何使用 OR 運算符將條件群組新增至自動化規則。