通过

向 Microsoft Sentinel 自动化规则添加高级条件

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文介绍如何将高级“Or”条件添加到 Microsoft Sentinel 中的自动化规则,以便更有效地对事件进行会审。

在自动化规则的“条件”部分,以条件组的形式添加“Or”条件。

条件组可以包含两个级别的条件:

  • 简单:至少两个条件,每个条件使用 OR 运算符隔开:

  • 复合:两个以上的条件,在 OR 运算符的至少一侧至少有两个条件:

    • (A and B) OR C
    • (A and B) OR (C and D)
    • (A and B) OR (C and D and E)
    • (A and B) OR (C and D) OR (E and F)
    • 等等。

可以看到,此功能可以让你自主且灵活地决定何时运行规则。 它还可以通过将许多旧的自动化规则组合成一个新规则来大大提高效率。

添加条件组

条件组在创建自动化规则方面的功能要强大得多,并且极具灵活性,因此若要说明如何实现这一点,最佳方式是提供一些示例。

让我们创建一项规则,该规则会将传入事件的严重性从任意级别更改为“高”,前提是它满足我们将设置的条件。

  1. 转到 Azure 门户,选择“配置”>“自动化”页面

  2. 在“自动化”页中,从顶部的按钮栏选择“创建”>“自动化规则”。

    有关详细信息,请参阅有关如何创建自动化规则的常规说明

  3. 为规则提供一个名称:“会审: 将严重性更改为高”

  4. 选择“创建事件时”触发器。

  5. 在“条件”下,如果显示“事件提供程序”和“分析规则名称”条件,将其原样保留。 稍后将在此过程中添加更多条件。

  6. 在“操作”下,从下拉列表中选择“更改严重性”。

  7. 从显示在“更改严重性”下面的下拉列表中选择“高”。

屏幕截图显示如何创建新自动化规则而不添加条件。

示例 1:简单条件

在第一个示例中,我们将创建一个简单的条件组:如果条件 A 或条件 B 为 true,则运行规则,并将事件的严重性设置为“高”。

  1. 选择“+ 添加”扩展器,然后从下拉列表中选择“条件组 (Or)

    屏幕截图显示如何将条件组添加到自动化规则的条件集。

  2. 可以看到显示了两组用 OR 运算符分隔的条件字段。 以下是上述“A”条件和“B”条件:如果 A 或 B 为 true,则运行规则。
    (不要被所有这些不同层的“添加”链接搞混淆 - 这些都会在后面进行解释。)

    空条件组字段的屏幕截图。

  3. 让我们确定这些条件是什么。 也就是说,哪两种不同的情况会导致事件严重性更改为“高”? 我们提供以下建议:

    • 如果事件的关联 MITRE ATT&CK 策略包括从下拉列表中选择的四个策略中的任何一个(请参阅下图),则严重性应提高到“高”

    • 如果事件包含名为“SUPER_SECURE_STATION”的主机名实体,则应将严重性提高到“高”。

    屏幕截图显示如何将简单 OR 条件添加到自动化规则。

    只要这些条件中至少有一个为 true,我们在规则中定义的操作就会运行,就会将事件的严重性更改为“高”。

示例 1A:在单个条件中添加 OR 值

假设我们不是有一个超敏感工作站,而是有两个,我们希望将其事件的严重性设置为高。 我们可以将另一个值添加到现有条件(任何基于实体属性的条件),方法是选择现有值右侧的骰子图标并添加下面的新值。

屏幕截图显示如何将更多值添加到单个条件。

示例 1B:添加更多 OR 条件

假设我们希望在三个(或更多个)条件之一为 true 的情况下运行此规则。 如果 A 或 B 或 C 为 true,则运行规则。

  1. 还记得所有这些“添加”链接吗? 若要添加另一个 OR 条件,请选择由某个行连接到 OR 运算符的“+ 添加”。

    屏幕截图显示如何将另一个 OR 条件添加到自动化规则。

  2. 现在,按照完成头两个条件的方式填充此条件的参数和值。

    屏幕截图显示另一个添加到自动化规则的 OR 条件。

示例 2:复合条件

现在,我们可以更复杂一点。 我们希望将更多条件添加到原始 OR 条件的每一侧。 也就是说,我们希望在 A 和 B 为 true 或者 C 和 D 为 true 的情况下运行规则。

  1. 若要将条件添加到 OR 条件组的一侧,请选择直接位于现有条件下方且位于你要向其添加新条件的 OR 运算符同侧的“+ 添加”链接(在同一个蓝色阴影区域中)。

    屏幕截图显示如何将复合条件添加到自动化规则。

    你将看到在现有条件下添加的新行(位于同一蓝色阴影区域),由 AND 运算符链接到该行。

    屏幕截图显示自动化规则中空的新条件行。

  2. 按照完成其他条件的方式填充此条件的参数和值。

    屏幕截图显示要填充的需添加到自动化规则的新条件字段。

  3. 重复前面的两个步骤,将 AND 条件添加到 OR 条件组的任意一侧。

    屏幕截图显示如何将多个复合条件添加到自动化规则。

就这么简单! 你可以利用此处学到的知识来添加更多条件和条件组,使用 ANDOR 运算符的不同组合来创建功能强大、灵活且高效的自动化规则,使之真正有助于 SOC 顺利运行,缩短响应时间和解决问题的时间。

后续步骤

本文档介绍了如何使用 OR 运算符将条件组添加到自动化规则。