使用自动化规则在 Microsoft Sentinel 中创建事件任务

本文介绍如何使用自动化规则创建事件任务列表，以便标准化 Microsoft Sentinel 中的分析师工作流。

事件任务不仅可以通过自动化规则和 playbook 自动创建，还可以在事件中临时手动创建。

不同角色的用例

本文介绍适用于 SOC 管理员、高级分析师和自动化工程师的以下场景：

• 使用事件任务操作查看自动化规则
• 使用自动化规则向事件添加任务

下面的配套文章将讨论另一种情况：

• 使用 playbook 向事件添加任务

以下链接中的另一篇文章介绍了适用于 SOC 分析师的更多场景：

• 查看和关注事件任务
• 手动向事件添加临时任务

先决条件

Microsoft Sentinel 响应者角色是创建自动化规则以及查看和编辑事件所必需的，这两者都是添加、查看和编辑任务的必要条件。

使用事件任务操作查看自动化规则

在“自动化”页中，可以筛选自动化规则的视图，以便仅查看定义了“添加任务”操作的规则。

1. 选择“操作”筛选器。

2. 取消标记“全选”复选框。

3. 向下滚动并标记“添加任务”复选框。

4. 选择“确定”并查看结果。

   

   这些是向事件添加任务的自动化规则。 “分析规则名称”列可指示这些自动化规则所依据的分析规则，这样你就能大致了解哪些事件会受到影响。

   注意

   若要确切地了解自动化规则是否会应用于特定事件，必须打开该规则以查看除分析规则条件之外是否定义了任何其他条件。 如果定义了其他条件，受影响事件的范围将相应地缩小。

使用自动化规则向事件添加任务

1. 在“自动化”页中，选择“+ 创建”，然后选择“自动化规则”。

2. “新建自动化规则”面板随即在右侧打开。
   请为自动化规则指定一个描述其功能的名称。

3. 选择“创建事件时”作为触发器（也可以使用“更新事件时”）。

4. 添加“条件”以确定将向哪些事件添加新任务。

   例如，按分析规则名称进行筛选：

   • 你可能希望根据分析规则或一组分析规则检测到的威胁类型向事件添加任务，这些威胁需要根据特定的工作流进行处理。 从下拉列表中搜索并选择相关分析规则。

   • 或者，你可能希望添加与所有威胁类型的事件相关的任务（在本例中，保持默认选择“全部”不变）。

   在任一情况下，都可以添加更多条件来缩小自动化规则将应用到的事件范围。 详细了解如何将高级条件添加到自动化规则。

   你需要考虑的一件事是，任务在事件中出现的顺序是由任务的创建时间决定的。 可以设置自动化规则的顺序，以便首先运行添加所有事件所需任务的规则，然后才运行添加特定分析规则生成的事件所需任务的任何规则。

   

5. 在“操作”下，选择“添加任务”。

   

6. 对于每个任务，在“任务标题”字段中输入标题，然后（可选）选择“+ 添加说明”以打开说明字段。
   默认情况下，事件的任务列表面板中仅显示任务标题。 仅当展开任务项时，才会显示任务的说明。

   

7. 在说明字段中，可以为任务添加自由格式的说明，包括图像、链接和富文本格式（请参阅以下示例中的超链接、编号列表和代码块格式文本）。

   

8. 通过选择“+ 添加操作”并重复最后三个步骤，向同一组事件添加更多任务。

   将根据自动化规则中“添加任务”操作的顺序创建任务并将其添加到事件中。

   

9. 通过完成剩余的步骤，即“规则到期”和“顺序”，并在最后选择“应用”，完成自动化规则的创建。 有关完整详细信息，请参阅创建和使用 Microsoft Sentinel 自动化规则来管理响应。

   关于“顺序”设置：任务在事件中的显示顺序取决于两点：

   1. 自动化规则的执行顺序（由“顺序”设置中的数字决定），以及
   2. 每个自动化规则中定义的“添加任务”操作的顺序。

后续步骤

• 详细了解事件任务。
• 了解如何调查事件。
• 了解如何使用 playbook 将任务自动添加到事件组。
• 了解如何使用任务在 Microsoft Sentinel 中处理事件工作流。
• 详细了解自动化规则以及如何创建规则。