本文介绍如何将高级“Or”条件添加到 Microsoft Sentinel 中的自动化规则,以便更有效地对事件进行会审。
在自动化规则的“条件”部分,以条件组的形式添加“Or”条件。
条件组可以包含两个级别的条件:
简单:至少两个条件,每个条件使用
OR运算符隔开:- A
ORB - A
ORBORC(请参阅下面的示例 1B。) - 等等。
- A
复合:两个以上的条件,在
OR运算符的至少一侧至少有两个条件:- (A
andB)ORC - (A
andB)OR(CandD) - (A
andB)OR(CandDandE) - (A
andB)OR(CandD)OR(EandF) - 等等。
- (A
可以看到,此功能可以让你自主且灵活地决定何时运行规则。 它还可以通过将许多旧的自动化规则组合成一个新规则来大大提高效率。
条件组在创建自动化规则方面的功能要强大得多,并且极具灵活性,因此若要说明如何实现这一点,最佳方式是提供一些示例。
让我们创建一项规则,该规则会将传入事件的严重性从任意级别更改为“高”,前提是它满足我们将设置的条件。
转到 Azure 门户,选择“配置”>“自动化”页面。
在“自动化”页中,从顶部的按钮栏选择“创建”>“自动化规则”。
有关详细信息,请参阅有关如何创建自动化规则的常规说明。
为规则提供一个名称:“会审: 将严重性更改为高”
选择“创建事件时”触发器。
在“条件”下,如果显示“事件提供程序”和“分析规则名称”条件,将其原样保留。 稍后将在此过程中添加更多条件。
在“操作”下,从下拉列表中选择“更改严重性”。
从显示在“更改严重性”下面的下拉列表中选择“高”。
在第一个示例中,我们将创建一个简单的条件组:如果条件 A 或条件 B 为 true,则运行规则,并将事件的严重性设置为“高”。
选择“+ 添加”扩展器,然后从下拉列表中选择“条件组 (Or)。
可以看到显示了两组用
OR运算符分隔的条件字段。 以下是上述“A”条件和“B”条件:如果 A 或 B 为 true,则运行规则。
(不要被所有这些不同层的“添加”链接搞混淆 - 这些都会在后面进行解释。)
让我们确定这些条件是什么。 也就是说,哪两种不同的情况会导致事件严重性更改为“高”? 我们提供以下建议:
如果事件的关联 MITRE ATT&CK 策略包括从下拉列表中选择的四个策略中的任何一个(请参阅下图),则严重性应提高到“高”。
如果事件包含名为“SUPER_SECURE_STATION”的主机名实体,则应将严重性提高到“高”。
只要这些条件中至少有一个为 true,我们在规则中定义的操作就会运行,就会将事件的严重性更改为“高”。
假设我们不是有一个超敏感工作站,而是有两个,我们希望将其事件的严重性设置为高。 我们可以将另一个值添加到现有条件(任何基于实体属性的条件),方法是选择现有值右侧的骰子图标并添加下面的新值。
假设我们希望在三个(或更多个)条件之一为 true 的情况下运行此规则。 如果 A 或 B 或 C 为 true,则运行规则。
还记得所有这些“添加”链接吗? 若要添加另一个 OR 条件,请选择由某个行连接到
OR运算符的“+ 添加”。
现在,按照完成头两个条件的方式填充此条件的参数和值。
现在,我们可以更复杂一点。 我们希望将更多条件添加到原始 OR 条件的每一侧。 也就是说,我们希望在 A 和 B 为 true 或者 C 和 D 为 true 的情况下运行规则。
若要将条件添加到 OR 条件组的一侧,请选择直接位于现有条件下方且位于你要向其添加新条件的
OR运算符同侧的“+ 添加”链接(在同一个蓝色阴影区域中)。
你将看到在现有条件下添加的新行(位于同一蓝色阴影区域),由
AND运算符链接到该行。
按照完成其他条件的方式填充此条件的参数和值。
重复前面的两个步骤,将 AND 条件添加到 OR 条件组的任意一侧。
就这么简单! 你可以利用此处学到的知识来添加更多条件和条件组,使用 AND 和 OR 运算符的不同组合来创建功能强大、灵活且高效的自动化规则,使之真正有助于 SOC 顺利运行,缩短响应时间和解决问题的时间。
本文档介绍了如何使用 OR 运算符将条件组添加到自动化规则。
- 有关如何创建基本自动化规则的说明,请参阅创建和使用 Microsoft Sentinel 自动化规则来管理响应。
- 若要了解有关自动化规则的详细信息,请参阅在 Microsoft Sentinel 中使用自动化规则自动处理事件
- 有关高级自动化选项的详细信息,请参阅在 Microsoft Sentinel 中利用 playbook 自动执行威胁响应。
- 有关实施自动化规则和 playbook 方面的帮助,请参阅教程:在 Microsoft Sentinel 中使用 playbook 自动完成威胁响应。