建立和使用 Microsoft Sentinel 自動化規則來管理回應
本文說明如何在 Microsoft Sentinel 中建立和使用自動化規則來管理及協調威脅回應,以最大化 SOC 的效率與有效性。
在本文中,您將瞭解如何定義觸發程式和條件,以決定自動化規則何時執行、您可以執行規則的各種動作,以及其餘的特性和功能。
重要
自動化規則的已注意到功能目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
設計自動化規則
建立自動化規則之前,建議您先判斷其範圍和設計,包括構成規則的觸發程式、條件和動作。
判斷範圍
設計和定義自動化規則的第一個步驟是找出您想要套用的事件或警示。 此判斷將直接影響您建立規則的方式。
您也想要判斷您的使用案例。 您嘗試使用此自動化完成哪些工作? 請考慮下列選項:
- 為分析師建立工作,以追蹤分級、調查和補救事件。
- 隱藏嘈雜的事件。 (或者,使用其他方法來 處理 Microsoft Sentinel 中的誤判。
- 將新事件的狀態從 [新增] 變更為 [作用中],並指派擁有者來分級新事件。
- 標記事件以分類事件。
- 指派新的擁有者來呈報事件。
- 關閉已解決的事件,並指定原因並新增批注。
- 呼叫劇本來分析事件的內容(警示、實體和其他屬性),並採取進一步的動作。
- 處理或回應沒有相關事件的警示。
判斷觸發程式
您希望在建立新的事件或警示時啟用此自動化嗎? 或者每當事件更新時?
建立或更新事件或建立警示時,就會觸發自動化規則。 回想一下,事件包括警示,而且警示和事件都可以由分析規則建立,其中有數種類型,如在 Microsoft Sentinel 中使用內建分析規則偵測威脅中所述。
下表顯示會導致自動化規則執行的不同可能案例。
| 觸發程序類型 | 導致規則執行的事件 |
|---|---|
| 建立事件時 | Microsoft Defender 中的整合安全性作業平臺: Microsoft Sentinel 未上線至統一平臺: |
| 事件更新時 | |
| 建立警示時 |
建立自動化規則
下列大部分指示適用於您將建立自動化規則的任何和所有使用案例。
如果您想要隱藏嘈雜的事件,請嘗試 處理誤判。
如果您想要建立要套用至特定分析規則的自動化規則,請參閱 設定自動化回應並建立規則。
若要建立自動化規則:
針對 Azure 入口網站 中的 Microsoft Sentinel,選取 [組態>自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>設定>自動化]。
從 Microsoft Sentinel 導覽功能表中的 [ 自動化 ] 頁面,選取 頂端功能表中的 [建立 ],然後選擇 [ 自動化規則]。
[ 建立新的自動化規則 ] 面板隨即開啟。 在 [ 自動化規則名稱 ] 欄位中,輸入規則的名稱。
![在 [自動化] 頁面中建立新自動化規則的螢幕快照。](media/create-manage-use-automation-rules/add-rule-automation.png#lightbox)
![在 [自動化] 頁面中建立新自動化規則的螢幕快照。](media/create-manage-use-automation-rules/add-rule-automation-defender.png#lightbox)
選擇您的觸發程式
從 [ 觸發程式 ] 下拉式清單中,根據您要建立自動化規則的情況選取適當的觸發程式:建立事件時、 事件更新時,或 建立警示的時間。
定義條件
使用 [條件] 區域中的選項來定義自動化規則的條件。
建立警示時所建立的規則僅 支持條件中的 If Analytic 規則名稱 屬性。 選取您是否要讓規則包含 (Contains) 或獨佔 (不包含),然後從下拉式清單中選取分析規則名稱。
分析規則名稱值只包含分析規則,且不包含其他類型的規則,例如威脅情報或異常規則。
建立或更新事件時所建立的規則會根據您的環境,支援各種不同的條件。 這些選項會從您的工作區是否已上線至統一安全性作業平台開始:
如果您的工作區已上線至統一安全性作業平臺,請從在 Azure 或 Defender 入口網站中選取下列其中一個操作員開始:
AND:評估為群組的個別條件。 如果 符合此類型的所有 條件,規則就會執行。
若要使用 AND 運算符,請選取 [+ 新增 展開器],然後從下拉式清單中選擇 [ 條件] [And ]。 條件清單會填入事件屬性和 實體屬性 欄位。
OR (也稱為 條件群組):條件群組,每個條件都會獨立評估。 如果一或多個條件群組成立,規則就會執行。 若要瞭解如何使用這些複雜類型的條件,請參閱 將進階條件新增至自動化規則。
例如:
如果您選取 [事件更新 為觸發程式時],請從定義條件開始,然後視需要新增額外的運算符和值。
若要定義您的條件:
從左側的第一個下拉式方塊中選取屬性。 您可以在搜尋方塊中開始輸入屬性名稱的任何部分,以動態篩選清單,以便快速找到您要尋找的內容。
從右邊的下一個下一個下拉式方塊中選取運算符。
您可以選擇的運算子清單會根據選取的觸發程式和屬性而有所不同。
建立觸發程式可用的條件
屬性 運算子集 - 標題
- 說明
- 所有列出的 實體屬性- 等於/不相等
- 包含/不包含
- 開頭為/不要以 開頭
- 結尾為/不以結尾- 標記 (請參閱 個別與集合) 任何個別標記:
- 等於/不相等
- 包含/不包含
- 開頭為/不要以 開頭
- 結尾為/不以結尾
所有標記的集合:
- 包含/不包含- 嚴重性
- 狀態
- 自定義詳細數據索引鍵- 等於/不相等 - 策略
- 警示產品名稱
- 自訂詳細數據值
- 分析規則名稱- 包含/不包含 更新觸發程式可用的條件
屬性 運算子集 - 標題
- 說明
- 所有列出的 實體屬性- 等於/不相等
- 包含/不包含
- 開頭為/不要以 開頭
- 結尾為/不以結尾- 標記 (請參閱 個別與集合) 任何個別標記:
- 等於/不相等
- 包含/不包含
- 開頭為/不要以 開頭
- 結尾為/不以結尾
所有標記的集合:
- 包含/不包含- 標記 (除了上述專案外)
- 警示
- 註解-添加 - 嚴重性
- 狀態- 等於/不相等
-改變
- 已從 變更
- 已變更為- 負責人 -改變 - 更新者
- 自定義詳細數據索引鍵- 等於/不相等 - 策略 - 包含/不包含
-添加- 警示產品名稱
- 自訂詳細數據值
- 分析規則名稱- 包含/不包含 警示觸發程式可用的條件
根據警示建立觸發程式的規則,唯一可以評估的條件是 Microsoft Sentinel 分析規則會建立警示。
因此,根據警示觸發程式的自動化規則只會在 Microsoft Sentinel 所建立的警示上執行。
在右側的欄位中輸入值。 視您選擇的屬性而定,這可能是文字框或您從關閉的值清單中選取的下拉式清單。 您也可以選取文字框右邊的骰子圖示來新增數個值。
同樣地,若要設定具有不同字段的複雜 或 條件,請參閱 將進階條件新增至自動化規則。
以標記為基礎的條件
您可以根據標記建立兩種條件:
- 具有 Any 個別標記 運算子的條件會根據集合中的每個標記評估指定的值。 當至少有一個標籤符合條件時,評估為 true。
- 所有 標記 運算符集合的條件會根據標記集合來評估指定的值,做為單一單位。 只有在整個集合符合條件時,評估才會成立。
若要根據事件的標籤新增下列其中一個條件,請執行下列步驟:
建立如上所述的新自動化規則。
新增條件或條件群組。
從 [屬性] 下拉式清單中選取 [標記 ]。
選取運算子下拉式清單,以顯示可供選擇的可用運算符。
請參閱運算子如何分割成兩個類別,如先前所述。 根據您想要評估標籤的方式,仔細選擇您的操作員。
如需詳細資訊,請參閱 Tag 屬性:個別與集合。
以自訂詳細數據為基礎的條件
您可以將事件中所呈現的自訂詳細資料值設定為自動化規則的條件。 回想一下,自定義詳細數據是原始事件記錄檔記錄中的數據點,可以浮出水面並顯示在警示中,以及從中產生的事件。 使用自定義詳細數據來取得警示中的實際相關內容,而不需要深入探索查詢結果。
若要根據自訂詳細資料新增條件:
如先前所述,建立新的自動化規則。
新增條件或條件群組。
從 [屬性] 下拉式清單中選取 [自定義詳細數據索引鍵 ]。 從運算子下拉式清單中選取 [等於] 或 [不等於 ]。
針對自定義詳細數據條件,最後一個下拉式清單中的值來自第一個條件中列出的所有分析規則中所呈現的自定義詳細數據。 選取您想要作為條件使用的自訂詳細數據。
您選擇要評估此條件的欄位。 現在指定出現在該欄位中的值,讓此條件評估為 true。
選取 [+ 新增項目條件]。
值條件行會出現在下方。
從運算子下拉式清單中選取 [包含] 或 [不包含]。 在右邊的文字框中,輸入您想要條件評估為 true 的值。
在此範例中,如果事件具有自定義詳細 數據 DestinationEmail,而且該詳細數據的值為 pwned@bad-botnet.com,則會執行自動化規則中定義的動作。
新增動作
選擇您希望此自動化規則採取的動作。 可用的動作包括 [指派擁有者]、 [變更狀態]、 [變更嚴重性]、 [新增卷標] 和 [ 執行劇本]。 您可以視需要新增多個動作。
注意
只有使用警示觸發程式的自動化規則才能使用 Run 劇本動作。
無論您選擇哪一個動作,請根據您想要完成的動作填入該動作所顯示的欄位。
如果您新增執行 劇本 動作,系統會提示您從可用劇本的下拉式清單中選擇。
只有以事件觸發程式開頭的 劇本可以使用其中一個事件觸發 程式從自動化規則執行,因此只會出現在清單中。 同樣地,只有以警示觸發程式開頭的劇本才能在自動化規則中使用警示觸發程式。
Microsoft Sentinel 必須獲得明確的許可權,才能執行劇本。 如果劇本出現在下拉式清單中「灰色」,表示 Sentinel 沒有該劇本資源群組的許可權。 選取 [管理劇本權限] 連結以指派權限。
在開啟的 [ 管理許可權 ] 面板中,標記包含您要執行劇本之資源群組的複選框,然後選取 [ 套用]。
您自己必須擁有 您想要授與 Microsoft Sentinel 許可權之任何資源群組的擁有者 許可權,而且您必須在包含您要執行劇本的任何資源群組上擁有 Microsoft Sentinel 自動化參與者 角色。
如果您還沒有將採取您心目中的動作的劇本, 請建立新的劇本。 您必須結束自動化規則建立程式,並在建立劇本之後重新啟動。
移動動作
即使在新增動作之後,您仍可以變更規則中的動作順序。 選取每個動作旁的藍色向上或向下箭號,以向上或向下移動一個步驟。
完成建立規則
在 [規則到期] 底下,如果您希望自動化規則到期,請設定到期日(並選擇性地設定時間)。 否則,請將它保留為 無限期。
[ 訂單 ] 欄位會預先填入規則觸發程式類型的下一個可用號碼。 此數位會決定此規則將在自動化規則序列中執行的位置(相同觸發程式類型)。 如果您想要在現有規則之前執行此規則,您可以變更數位。
如需詳細資訊,請參閱 執行順序和優先順序 的附注。
選取套用。 大功告成!
稽核自動化規則活動
瞭解特定事件可能已完成哪些自動化規則。 您可以在 Azure 入口網站 的 [記錄] 頁面或 Defender 入口網站中的 [進階搜捕] 頁面的 [SecurityIncident] 數據表中,取得事件記錄的完整記錄。 使用下列查詢來檢視所有自動化規則活動:
SecurityIncident
| where ModifiedBy contains "Automation"
自動化規則執行
根據您決定的順序,自動化規則會循序執行。 在上一個自動化規則完成其執行之後,就會執行每個自動化規則。 在自動化規則內,所有動作都會依定義的順序循序執行。 如需詳細資訊,請參閱 執行順序和優先順序 的附注。
根據下列準則,自動化規則內的劇本動作在某些情況下可能會以不同的方式處理:
| 劇本運行時間 | 自動化規則會前進到下一個動作... |
|---|---|
| 小於一秒 | 劇本完成之後立即 |
| 不到兩分鐘 | 劇本開始執行后最多兩分鐘, 但在劇本完成之後不超過 10 秒 |
| 超過兩分鐘 | 劇本開始執行兩分鐘后, 無論是否已完成 |
下一步
在本檔中,您已瞭解如何使用自動化規則集中管理 Microsoft Sentinel 事件和警示的回應自動化。
- 若要瞭解如何使用
OR運算符將進階條件新增至自動化規則,請參閱 將進階條件新增至 Microsoft Sentinel 自動化規則。 - 若要深入瞭解自動化規則,請參閱 使用自動化規則自動化 Microsoft Sentinel 中的事件處理
- 若要深入瞭解進階自動化選項,請參閱 使用 Microsoft Sentinel 中的劇本自動化威脅回應。
- 若要瞭解如何使用自動化規則將工作新增至事件,請參閱 使用自動化規則在 Microsoft Sentinel 中建立事件工作。
- 若要將警示觸發程式劇本移轉至自動化規則叫用,請參閱 將 Microsoft Sentinel 警示觸發程式劇本移轉至自動化規則
- 如需實作自動化規則和劇本的說明,請參閱 教學課程:使用劇本將 Microsoft Sentinel 中的威脅回應自動化。