將進階條件新增至 Microsoft Sentinel 自動化規則
本文說明如何將進階「Or」條件新增至 Microsoft Sentinel 中的自動化規則,以取得更有效的事件分級。
在自動化規則的 [條件] 區段中,以條件群組的形式新增 「Or」 條件。
條件群組可以包含兩個層級的條件:
簡單:至少兩個
OR
條件,每個條件都由運算子分隔:- A
OR
B - B
OR
OR
C (請參閱下面的範例 1B。) - 依此類推。
- A
複合:兩個以上的條件,至少在運算子的一端至少有兩個
OR
條件:- (A
and
B)OR
C - (A
and
B)OR
(Cand
D) - (B
and
)OR
(Cand
Dand
E) - (B
and
)OR
(Cand
D)OR
(Eand
F) - 依此類推。
- (A
您可以看到這項功能提供您決定何時執行規則的強大功能和彈性。 它也可讓您將許多舊的自動化規則結合成一個新的規則,藉此大幅提升效率。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
新增條件群組
由於條件群組在建立自動化規則方面提供更大的力量和彈性,因此說明如何執行此動作的最佳方式是呈現一些範例。
讓我們建立一個規則,將傳入事件的嚴重性從任何事件變更為 High,假設其符合我們將設定的條件。
針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]。
從 [ 自動化 ] 頁面,從頂端的按鈕列選取 [建立 > 自動化規則 ]。
如需詳細資訊, 請參閱建立自動化規則 的一般指示。
將規則命名為「分級:將嚴重性變更為高」
選取 [事件建立時] 觸發程式。
在 [條件] 下,如果您看到事件提供者和分析規則名稱條件,請保留它們。 如果您的工作區已上線至統一安全性作業平臺,則無法使用這些條件。 不論是哪一種情況,我們稍後都會在此程式中新增更多條件。
在 [動作] 下,從下拉式清單中選取 [變更嚴重性]。
從出現在 [變更嚴重性] 下方的下拉式清單中選取 [高]。
例如,下列索引標籤會顯示從已上線至統一安全性作業平臺的工作區、Azure 或 Defender 入口網站中的範例,以及未上線的工作區:
範例 1:簡單條件
在此第一個範例中,我們將建立簡單的條件群組:如果條件 A 或 條件 B 為 true,則會執行規則,並將事件的嚴重性設定為 High。
選取 [ + 新增 展開器],然後 從下拉式清單中選擇 [條件] 群組 [或 ]。
請參閱顯示兩組條件字段,並以
OR
運算符分隔。 這些是上述的 「A」 和 「B」 條件:如果 A 或 B 為 true,則會執行規則。
(不要被所有不同層的「新增」連結混淆-這些都會解釋。讓我們來決定這些條件是什麼。 也就是說,哪兩 個不同的 情況會導致事件嚴重性變更為 High? 讓我們建議下列事項:
如果事件的關聯 MITRE ATT&CK 策略 包含我們從下拉式清單中選取的四個其中之一(請參閱下圖),則嚴重性應提升為 [高]。
如果事件包含 名為 「SUPER_SECURE_STATION」 的主機名 實體,則嚴重性應提升為 High。
只要至少有一個這些條件成立,我們在規則中定義的動作就會執行,將事件的嚴重性變更為 [高]。
範例 1A:在單一條件內新增 OR 值
假設我們沒有一個,但有兩個超敏感工作站,我們想要使高嚴重性的事件。 我們可以藉由選取現有值右邊的骰子圖示,並將新的值新增至現有的條件中,以將另一個值新增至現有的條件(針對任何以實體屬性為基礎的條件)。
範例 1B:新增更多 OR 條件
假設我們想要讓此規則執行,如果三個 (或更多) 條件之一成立。 如果 A 或 B 或 C 為 true,則會執行規則。
還記得所有這些「新增」連結嗎? 若要新增另一個 OR 條件,請選取 [+ 新增 ],將一行連線至
OR
運算符。現在,以您執行前兩個相同的方式來填入此條件的參數和值。
範例 2:復合條件
現在,我們決定我們會更挑剔一點。 我們想要將更多條件新增至原始 OR 條件的每一端。 也就是說,如果 A 和 B 為 true,則我們想要執行規則;如果 C 和 D 為 true,則為 。
若要將條件新增至 OR 條件群組的一端,請選取 位於現有條件正下方的 [+ 新增 ] 連結,該鏈接位於您要新增新條件的
OR
相同運算元(位於相同藍色陰影區域中)。您會看到在現有條件下新增的新數據列(位於相同的藍色陰影區域中),由
AND
操作員連結至該數據列。以您執行其他條件的方式填入此條件的參數和值。
重複上述兩個步驟,將 AND 條件新增至 OR 條件群組的任一端。
介紹完畢 您可以使用這裡學到的內容來新增更多條件和條件群組,使用和 OR
運算符的不同組合,來建立功能強大的、彈性且有效率的AND
自動化規則,以真正協助您的SOC順暢地執行,並降低回應和解決時間。
下一步
在本檔中,您已瞭解如何使用 OR
運算符將條件群組新增至自動化規則。
- 如需建立基本自動化規則的指示,請參閱 建立和使用 Microsoft Sentinel 自動化規則來管理回應。
- 若要深入了解自動化規則,請參閱在 Microsoft Sentinel 中使用自動化規則來自動化事件處理
- 若要深入了解進階自動化選項,請參閱在 Microsoft Sentinel 使用劇本將威脅回應自動化。
- 如需協助實作自動化規則和劇本,請參閱教學課程:使用劇本將 Microsoft Sentinel 中的威脅回應自動化。