Microsoft Sentinel automatiseringsregels maken en gebruiken om reacties te beheren

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In dit artikel wordt uitgelegd hoe u automatiseringsregels maakt en gebruikt in Microsoft Sentinel om de reactie op bedreigingen te beheren en te organiseren, om de efficiëntie en effectiviteit van uw SOC te maximaliseren.

In dit artikel leert u hoe u de triggers en voorwaarden definieert die bepalen wanneer uw automatiseringsregel wordt uitgevoerd, de verschillende acties die u de regel kunt laten uitvoeren en de resterende functies en functies.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Uw automatiseringsregel ontwerpen

Voordat u een automatiseringsregel maakt, raden we u aan het bereik en het ontwerp ervan te bepalen, inclusief de trigger, voorwaarden en acties waaruit uw regel bestaat.

Het bereik bepalen

De eerste stap bij het ontwerpen en definiëren van uw automatiseringsregel is uitzoeken op welke incidenten of waarschuwingen u deze wilt toepassen. Deze bepaling is rechtstreeks van invloed op hoe u de regel maakt.

U wilt ook uw use-case bepalen. Wat probeert u te bereiken met deze automatisering? Overweeg de volgende opties:

  • Maak taken voor uw analisten die moeten worden gevolgd bij het opsporen, onderzoeken en oplossen van incidenten.
  • Ruisincidenten onderdrukken. (U kunt ook andere methoden gebruiken om fout-positieven in Microsoft Sentinel te verwerken.)
  • Sorteer nieuwe incidenten door de status te wijzigen van Nieuw in Actief en een eigenaar toe te wijzen.
  • Tag incidenten om ze te classificeren.
  • Escaleer een incident door een nieuwe eigenaar toe te wijzen.
  • Sluit opgeloste incidenten, geef een reden op en voeg opmerkingen toe.
  • Analyseer de inhoud van het incident (waarschuwingen, entiteiten en andere eigenschappen) en onderneem verdere actie door een playbook aan te roepen.
  • Een waarschuwing verwerken of erop reageren zonder een bijbehorende incident.

De trigger bepalen

Wilt u dat deze automatisering wordt geactiveerd wanneer er nieuwe incidenten of waarschuwingen worden gemaakt? Of wanneer een incident wordt bijgewerkt?

Automatiseringsregels worden geactiveerd wanneer een incident wordt gemaakt of bijgewerkt of wanneer er een waarschuwing wordt gemaakt. Denk eraan dat incidenten waarschuwingen bevatten en dat zowel waarschuwingen als incidenten kunnen worden gemaakt door analyseregels, waarvan er verschillende typen zijn, zoals uitgelegd in Bedreigingsdetectie in Microsoft Sentinel.

In de volgende tabel ziet u de verschillende mogelijke scenario's die ertoe leiden dat een automatiseringsregel wordt uitgevoerd.

Triggertype Gebeurtenissen die ervoor zorgen dat de regel wordt uitgevoerd
Wanneer het incident wordt gemaakt Microsoft Defender portal:
  • Er wordt een nieuw incident gemaakt in de Microsoft Defender-portal.

    Microsoft Sentinel niet onboarding naar de Defender-portal:
  • Een nieuw incident wordt gemaakt door een analyseregel.
  • Een incident wordt opgenomen vanuit Microsoft Defender XDR.
  • Er wordt handmatig een nieuw incident gemaakt.
    		•
    Wanneer het incident wordt bijgewerkt
  • De status van een incident wordt gewijzigd (gesloten/opnieuw geopend/gesorteerd).
  • De eigenaar van een incident wordt toegewezen of gewijzigd.
  • De ernst van een incident wordt verhoogd of verlaagd.
  • Waarschuwingen worden toegevoegd aan een incident.
  • Opmerkingen, tags of tactieken worden toegevoegd aan een incident.
    		•
    Wanneer de waarschuwing wordt gemaakt
  • Een waarschuwing wordt gemaakt door een Microsoft Sentinel geplande of NRT-analyseregel.
    		•

    Uw automatiseringsregel maken

    De meeste van de volgende instructies zijn van toepassing op alle use cases waarvoor u automatiseringsregels maakt.

    Als u ruisincidenten wilt onderdrukken en in de Azure Portal werkt, kunt u proberen fout-positieven te verwerken.

    Zie Automatische antwoorden instellen en de regel maken als u een automatiseringsregel wilt maken om toe te passen op een specifieke analyseregel.

    Ga als volgt te werk om uw automatiseringsregel te maken:

    1. Selecteerde paginaConfiguratieautomatisering> voor Microsoft Sentinel in de Azure Portal. Selecteer Microsoft Sentinel Configuratieautomatisering voor Microsoft Sentinel> in de Defender-portal>.

    2. Selecteer op de pagina Automation in het navigatiemenu Microsoft Sentinel maken in het bovenste menu en kies Automation-regel.

    3. Het deelvenster Nieuwe automatiseringsregel maken wordt geopend. Voer in het veld Naam van automation-regel een naam in voor de regel.

    Uw trigger kiezen

    Selecteer in de vervolgkeuzelijst Trigger de juiste trigger op basis van de omstandigheid waarvoor u de automatiseringsregel maakt: Wanneer incident wordt gemaakt, Wanneer incident wordt bijgewerkt of Wanneer waarschuwing wordt gemaakt.

    Schermopname van het selecteren van de trigger voor het maken van incidenten of het bijwerken van incidenten.

    Voorwaarden definiëren

    Gebruik de opties in het gebied Voorwaarden om voorwaarden voor uw automatiseringsregel te definiëren. Alle voorwaarden zijn niet hoofdlettergevoelig.

    • Regels die u maakt voor wanneer een waarschuwing wordt gemaakt, ondersteunen alleen de eigenschap If Analytics-regelnaam in uw voorwaarde. Selecteer of de regel inclusief (bevat) of exclusief (bevat niet) moet zijn en selecteer vervolgens de naam van de analytische regel in de vervolgkeuzelijst.

      Analytische regelnaamwaarden omvatten alleen analyseregels en bevatten geen andere typen regels, zoals bedreigingsinformatie of anomalieregels.

    • Regels die u maakt voor wanneer een incident wordt gemaakt of bijgewerkt, ondersteunen een groot aantal voorwaarden, afhankelijk van uw omgeving. Deze opties beginnen met het onboarden van Microsoft Sentinel naar de Defender-portal:

      Als uw werkruimte is toegevoegd aan de Defender-portal, selecteert u eerst een van de volgende operators in de Azure of de Defender-portal:

      • AND: afzonderlijke voorwaarden die als groep worden geëvalueerd. De regel wordt uitgevoerd als aan alle voorwaarden van dit type is voldaan.

        Als u wilt werken met de operator AND , selecteert u het uitvouwprogramma + Toevoegen en kiest u Voorwaarde (En) in de vervolgkeuzelijst. De lijst met voorwaarden wordt ingevuld door velden voor incidenteigenschappen en entiteitseigenschap .

      • OF (ook wel voorwaardegroepen genoemd): groepen voorwaarden, die elk afzonderlijk worden geëvalueerd. De regel wordt uitgevoerd als een of meer groepen voorwaarden waar zijn. Zie Geavanceerde voorwaarden toevoegen aan automatiseringsregels voor meer informatie over het werken met deze complexe typen voorwaarden.

      Bijvoorbeeld:

      Schermopname van de voorwaarden van de automatiseringsregel wanneer uw werkruimte wordt toegevoegd aan de Defender-portal.

      Als u Wanneer een incident wordt bijgewerkt als trigger hebt geselecteerd, begint u met het definiëren van uw voorwaarden en voegt u zo nodig extra operatoren en waarden toe.

    Uw voorwaarden definiëren:

    1. Selecteer een eigenschap in de eerste vervolgkeuzelijst aan de linkerkant. U kunt beginnen met het typen van een deel van de naam van een eigenschap in het zoekvak om de lijst dynamisch te filteren, zodat u snel kunt vinden wat u zoekt.

      Schermopname van het typen in een zoekvak om de lijst met opties te filteren.

    2. Selecteer een operator in de volgende vervolgkeuzelijst aan de rechterkant. Schermopname van het selecteren van een voorwaardeoperator voor automatiseringsregels.

      De lijst met operators waaruit u kunt kiezen, is afhankelijk van de geselecteerde trigger en eigenschap. Wanneer u in de Defender-portal werkt, wordt u aangeraden de naamvoorwaarde van de analytische regel te gebruiken in plaats van een incidenttitel.

      Voorwaarden die beschikbaar zijn met de trigger voor maken

      Eigenschap Operatorenset
      - Titel
      - Beschrijving
      - Alle vermelde entiteitseigenschappen
        (zie ondersteunde entiteitseigenschappen)      		 - Is gelijk aan/is niet gelijk aan
      - Bevat/bevat niet
      - Begint met/begint niet met
      - Eindigt met/eindigt niet op
      - Tag ( Zie afzonderlijke versus verzameling) Elke afzonderlijke tag:
      - Is gelijk aan/is niet gelijk aan
      - Bevat/bevat niet
      - Begint met/begint niet met
      - Eindigt met/eindigt niet op

      Verzameling van alle tags:
      - Bevat/bevat niet
      - Ernst
      - Status
      - Aangepaste detailssleutel      		 - Is gelijk aan/is niet gelijk aan
      - Tactiek
      - Productnamen waarschuwen
      - Waarde voor aangepaste details
      - Naam van analytische regel      		 - Bevat/bevat niet

      Voorwaarden die beschikbaar zijn met de updatetrigger

      Eigenschap Operatorenset
      - Titel
      - Beschrijving
      - Alle vermelde entiteitseigenschappen
        (zie ondersteunde entiteitseigenschappen)      		 - Is gelijk aan/is niet gelijk aan
      - Bevat/bevat niet
      - Begint met/begint niet met
      - Eindigt met/eindigt niet op
      - Tag ( Zie afzonderlijke versus verzameling) Elke afzonderlijke tag:
      - Is gelijk aan/is niet gelijk aan
      - Bevat/bevat niet
      - Begint met/begint niet met
      - Eindigt met/eindigt niet op

      Verzameling van alle tags:
      - Bevat/bevat niet
      - Tag (in aanvulling op bovenstaande)
      - Waarschuwingen
      - Opmerkingen      		 -Toegevoegd
      - Ernst
      - Status      		 - Is gelijk aan/is niet gelijk aan
      -Gewijzigd
      - Gewijzigd van
      - Gewijzigd in
      - Eigenaar -Gewijzigd. Als de eigenaar van een incident wordt bijgewerkt via de API, moet u de userPrincipalName of ObjectID opnemen om de wijziging te laten detecteren door automatiseringsregels.
      - Bijgewerkt door
      - Aangepaste detailssleutel      		 - Is gelijk aan/is niet gelijk aan
      - Tactiek - Bevat/bevat niet
      -Toegevoegd
      - Productnamen waarschuwen
      - Waarde voor aangepaste details
      - Naam van analytische regel      		 - Bevat/bevat niet

      Voorwaarden die beschikbaar zijn met de waarschuwingstrigger

      De enige voorwaarde die kan worden geëvalueerd door regels op basis van de trigger voor het maken van waarschuwingen, is welke Microsoft Sentinel analyseregel de waarschuwing heeft gemaakt.

      Automatiseringsregels die zijn gebaseerd op de waarschuwingstrigger, worden alleen uitgevoerd op waarschuwingen die zijn gemaakt door Microsoft Sentinel.

    3. Voer een waarde in het veld aan de rechterkant in. Afhankelijk van de eigenschap die u hebt gekozen, kan dit een tekstvak of een vervolgkeuzelijst zijn waarin u selecteert in een gesloten lijst met waarden. Mogelijk kunt u ook verschillende waarden toevoegen door het dobbelsteenpictogram rechts van het tekstvak te selecteren.

      Schermopname van het toevoegen van waarden aan uw voorwaarde in automatiseringsregels.

    Zie Geavanceerde voorwaarden toevoegen aan automatiseringsregels voor het instellen van complexe Of-voorwaarden met verschillende velden.

    Voorwaarden op basis van tags

    U kunt twee soorten voorwaarden maken op basis van tags:

    • Voorwaarden met Alle afzonderlijke tagoperators evalueren de opgegeven waarde op basis van elke tag in de verzameling. De evaluatie is waar wanneer ten minste één tag voldoet aan de voorwaarde.
    • Voorwaarden met Verzameling van alle tagsoperators evalueren de opgegeven waarde op basis van de verzameling tags als één eenheid. De evaluatie is alleen waar als de verzameling als geheel voldoet aan de voorwaarde.

    Voer de volgende stappen uit om een van deze voorwaarden toe te voegen op basis van de tags van een incident:

    1. Maak een nieuwe automatiseringsregel zoals hierboven wordt beschreven.

    2. Voeg een voorwaarde of een voorwaardegroep toe.

    3. Selecteer Tag in de vervolgkeuzelijst eigenschappen.

    4. Selecteer de vervolgkeuzelijst operators om de beschikbare operators weer te geven waaruit u kunt kiezen.

      Bekijk hoe de operators zijn onderverdeeld in twee categorieën, zoals eerder is beschreven. Kies uw operator zorgvuldig op basis van hoe u de tags wilt evalueren.

      Zie Tag-eigenschap : individueel versus verzameling voor meer informatie.

    Voorwaarden op basis van aangepaste details

    U kunt de waarde van een aangepast detail dat wordt weergegeven in een incident instellen als voorwaarde voor een automatiseringsregel. Aangepaste details zijn gegevenspunten in onbewerkte gebeurtenislogboekrecords die kunnen worden weergegeven en weergegeven in waarschuwingen en de incidenten die daaruit worden gegenereerd. Gebruik aangepaste details om toegang te krijgen tot de werkelijke relevante inhoud in uw waarschuwingen zonder queryresultaten te hoeven doorzoeken.

    Bekende beperking: wanneer u aangepaste detailwaarden gebruikt, kan de operator Bevat niet correct worden geëvalueerd wanneer meerdere (twee of meer) afzonderlijke waarden aanwezig zijn.

    Een voorwaarde toevoegen op basis van een aangepast detail:

    1. Maak een nieuwe automatiseringsregel zoals eerder is beschreven.

    2. Voeg een voorwaarde of een voorwaardegroep toe.

    3. Selecteer De sleutel Aangepaste details in de vervolgkeuzelijst eigenschappen. Selecteer Is gelijk aan of Is niet gelijk in de vervolgkeuzelijst operators.

      Voor de voorwaarde voor aangepaste details zijn de waarden in de laatste vervolgkeuzelijst afkomstig van de aangepaste details die zijn weergegeven in alle analyseregels die in de eerste voorwaarde worden vermeld. Selecteer het aangepaste detail dat u als voorwaarde wilt gebruiken.

      Schermopname van het toevoegen van een aangepaste detailsleutel als voorwaarde.

    4. U hebt het veld gekozen dat u wilt evalueren voor deze voorwaarde. Geef nu de waarde op die wordt weergegeven in dat veld waardoor deze voorwaarde waar wordt geëvalueerd.
      Selecteer + Itemvoorwaarde toevoegen.

      Schermopname van het selecteren van itemvoorwaarde toevoegen voor automatiseringsregels.

      De waardevoorwaarderegel wordt hieronder weergegeven.

      Schermopname van het veld voor de aangepaste detailwaarde die wordt weergegeven.

    5. Selecteer Bevat of Bevat niet in de vervolgkeuzelijst operators. Voer in het tekstvak aan de rechterkant de waarde in waarvoor u wilt dat de voorwaarde waar is.

      Schermopname van het ingevulde veld voor de aangepaste detailwaarde.

    Als het incident in dit voorbeeld de aangepaste details DestinationEmail heeft en als de waarde van dat detail is pwned@bad-botnet.com, worden de acties uitgevoerd die zijn gedefinieerd in de automatiseringsregel.

    Acties toevoegen

    Kies de acties die u met deze automatiseringsregel wilt uitvoeren. Beschikbare acties zijn onder andere Eigenaar toewijzen, Status wijzigen, Ernst wijzigen, Tags toevoegen en Playbook uitvoeren. U kunt zoveel acties toevoegen als u wilt.

    Opmerking

    Alleen de actie Playbook uitvoeren is beschikbaar in automatiseringsregels met behulp van de waarschuwingstrigger.

    Schermopname van de lijst met acties die u wilt selecteren in de automatiseringsregel.

    Voor welke actie u ook kiest, vult u de velden in die voor die actie worden weergegeven op basis van wat u wilt doen.

    Als u een playbook-actie Uitvoeren toevoegt, wordt u gevraagd om te kiezen uit de vervolgkeuzelijst met beschikbare playbooks.

    • Alleen playbooks die beginnen met de incidenttrigger kunnen worden uitgevoerd vanuit automatiseringsregels met behulp van een van de incidenttriggers, zodat alleen deze in de lijst worden weergegeven. Op dezelfde manier zijn alleen playbooks die beginnen met de waarschuwingstrigger beschikbaar in automatiseringsregels met behulp van de waarschuwingstrigger.

    • Microsoft Sentinel moet expliciete machtigingen krijgen om playbooks uit te voeren. Als een playbook niet beschikbaar is in de vervolgkeuzelijst, betekent dit dat Sentinel geen machtigingen heeft voor toegang tot de resourcegroep van dat playbook. Als u machtigingen wilt toewijzen, selecteert u de koppeling Playbook-machtigingen beheren .

      Schakel in het deelvenster Machtigingen beheren dat wordt geopend de selectievakjes in van de resourcegroepen met de playbooks die u wilt uitvoeren en selecteer Toepassen.

      Machtigingen beheren

      U moet zelf eigenaarsmachtigingen hebben voor elke resourcegroep waaraan u Microsoft Sentinel machtigingen wilt verlenen en u moet de rol Microsoft Sentinel Automation-inzender hebben voor elke resourcegroep met playbooks die u wilt uitvoeren.

    • Als u nog geen playbook hebt waarmee de gewenste actie wordt uitgevoerd, maakt u een nieuw playbook. U moet het proces voor het maken van de automatiseringsregel afsluiten en opnieuw starten nadat u uw playbook hebt gemaakt.

    Acties verplaatsen

    U kunt de volgorde van de acties in uw regel wijzigen, zelfs nadat u deze hebt toegevoegd. Selecteer de blauwe pijl-omhoog of pijl-omlaag naast elke actie om deze één stap omhoog of omlaag te verplaatsen.

    Schermopname van het omhoog of omlaag verplaatsen van acties.

    Het maken van uw regel voltooien

    1. Als u wilt dat uw automatiseringsregel verloopt onder Regelverloop, stelt u een vervaldatum en optioneel een tijd in. Laat dit anders staan op Onbepaald.

    2. Het veld Order wordt vooraf ingevuld met het volgende beschikbare nummer voor het triggertype van uw regel. Dit getal bepaalt waar in de reeks automatiseringsregels (van hetzelfde triggertype) die met deze regel wordt uitgevoerd. U kunt het nummer wijzigen als u wilt dat deze regel vóór een bestaande regel wordt uitgevoerd.

      Zie Notities over uitvoeringsvolgorde en prioriteit voor meer informatie.

    3. Selecteer Toepassen. U bent klaar.

    Schermopname van de laatste stappen voor het maken van een automatiseringsregel.

    Automatiseringsregelactiviteit controleren

    Ontdek wat automatiseringsregels kunnen hebben gedaan met een bepaald incident. U hebt een volledige record van incident kronieken beschikbaar in de tabel SecurityIncident op de pagina Logboeken in de Azure Portal of op de pagina Geavanceerde opsporing in de Defender-portal. Gebruik de volgende query om alle activiteit van uw automatiseringsregel te bekijken:

    SecurityIncident
| where ModifiedBy contains "Automation"

    Uitvoering van Automation-regels

    Automatiseringsregels worden opeenvolgend uitgevoerd, volgens de volgorde die u bepaalt. Elke automatiseringsregel wordt uitgevoerd nadat de vorige is uitgevoerd. Binnen een automatiseringsregel worden alle acties opeenvolgend uitgevoerd in de volgorde waarin ze zijn gedefinieerd. Zie Opmerkingen over uitvoeringsvolgorde en prioriteit voor meer informatie.

    Playbook-acties binnen een automatiseringsregel kunnen onder bepaalde omstandigheden anders worden behandeld, volgens de volgende criteria:

    Runtime van playbook Automatiseringsregel gaat door naar de volgende actie...
    Minder dan een seconde Direct nadat het playbook is voltooid
    Minder dan twee minuten Tot twee minuten nadat het playbook is gestart,
    maar niet meer dan 10 seconden nadat het playbook is voltooid
    Meer dan twee minuten Twee minuten nadat het playbook begon te worden uitgevoerd,
    ongeacht of het is voltooid of niet

    Volgende stappen

    In dit document hebt u geleerd hoe u automatiseringsregels gebruikt om antwoordautomatisering voor Microsoft Sentinel incidenten en waarschuwingen centraal te beheren.

    • Last updated on