Udostępnij przez

Tworzenie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu reguł automatyzacji

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

W tym artykule wyjaśniono, jak używać reguł automatyzacji do tworzenia list zadań zdarzeń w celu standaryzacji procesów przepływu pracy analityka w usłudze Microsoft Sentinel.

Zadania incydentu mogą być tworzone automatycznie nie tylko przez reguły automatyzacji, ale także przez skrypty, a także ręcznie, ad hoc, bezpośrednio w ramach incydentu.

Przypadki użycia dla różnych ról

Ten artykuł dotyczy następujących scenariuszy, które mają zastosowanie do menedżerów SOC, starszych analityków i inżynierów automatyzacji:

Inny taki scenariusz został rozwiązany w następującym artykule towarzyszącym:

Inny artykuł, pod następującymi linkami, dotyczy scenariuszy, które mają zastosowanie więcej do analityków SOC:

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Rola osoby odpowiadającej usłudze Microsoft Sentinel jest wymagana do tworzenia reguł automatyzacji oraz wyświetlania i edytowania zdarzeń, które są niezbędne do dodawania, wyświetlania i edytowania zadań.

Wyświetlanie reguł automatyzacji z akcjami zadań zdarzeń

Na stronie Automatyzacja można filtrować widok reguł automatyzacji, aby wyświetlić tylko te, które mają zdefiniowane akcje Dodaj zadania .

Zrzut ekranu przedstawiający sposób filtrowania siatki reguł automatyzacji.

  1. Wybierz filtr Akcje .

  2. Usuń zaznaczenie pola wyboru Zaznacz wszystko .

  3. Przewiń w dół i zaznacz pole wyboru Dodaj zadanie .

  4. Wybierz przycisk OK i wyświetl wyniki.

    Zrzut ekranu przedstawiający wyniki filtru w siatce reguł automatyzacji.

    Są to reguły automatyzacji, które dodają zadania do zdarzeń. Kolumna Nazwy reguł analizy zawiera informacje o regułach analizy, na których są spełnione te reguły automatyzacji, więc będziesz mieć ogólną koncepcję, na które zdarzenia mają wpływ.

    Uwaga

    Aby mieć dokładną wiedzę na temat tego, czy reguła automatyzacji będzie stosowana do określonego zdarzenia, należy otworzyć regułę, aby sprawdzić, czy zdefiniowano jakiekolwiek dodatkowe warunki, oprócz warunku reguły analizy. Jeśli zdefiniowano inne warunki, zakres dotkniętych zdarzeń zostanie odpowiednio zawęziony.

Dodawanie zadań do zdarzeń przy użyciu reguł automatyzacji

  1. Na stronie Automatyzacja wybierz pozycję + Utwórz i wybierz pozycję Reguła automatyzacji.

  2. Panel Tworzenie nowej reguły automatyzacji zostanie otwarty po prawej stronie.
    Nadaj regule automatyzacji nazwę, która opisuje to, co robi.

  3. Wybierz pozycję Po utworzeniu zdarzenia jako wyzwalacza (możesz również użyć opcji Po zaktualizowaniu zdarzenia).

  4. Dodaj warunki , aby określić, do których zdarzeń zostaną dodane nowe zadania.

    Na przykład filtruj według nazwy reguły analizy:

    • Możesz dodać zadania do zdarzeń na podstawie typów zagrożeń wykrytych przez regułę analizy lub grupę reguł analizy, które muszą być obsługiwane zgodnie z określonym przepływem pracy. Wyszukaj i wybierz odpowiednie reguły analizy z listy rozwijanej.

    • Możesz też dodać zadania, które są istotne dla zdarzeń we wszystkich typach zagrożeń (w tym przypadku pozostaw domyślny wybór opcji Wszystkie tak, jak to jest).

    W obu przypadkach można dodać więcej warunków, aby zawęzić zakres zdarzeń, do których zostanie zastosowana reguła automatyzacji. Dowiedz się więcej o dodawaniu zaawansowanych warunków do reguł automatyzacji.

    Należy wziąć pod uwagę jedną z kwestii, że kolejność, w jakiej zadania pojawiają się w zdarzeniu, zależy od czasu utworzenia zadań. Można ustawić kolejność reguł automatyzacji, tak aby reguły, które dodają zadania wymagane dla wszystkich zdarzeń, będą uruchamiane jako pierwsze, a dopiero potem wszystkie reguły, które dodają zadania wymagane dla zdarzeń generowanych przez określone reguły analizy.

    Zrzut ekranu przedstawiający pierwszą część kreatora reguł automatyzacji.

  5. W obszarze Akcje wybierz pozycję Dodaj zadanie.

    Zrzut ekranu przedstawiający wybieranie akcji Dodaj zadanie w regule automatyzacji.

  6. Dla każdego zadania wprowadź tytuł w polu Tytuł zadania , a następnie (opcjonalnie) wybierz pozycję + Dodaj opis , aby otworzyć pole opisu.
    Tylko tytuły zadań są domyślnie wyświetlane na panelu listy zadań zdarzenia. Opis zadania jest wyświetlany tylko po rozwinięciu elementu zadania.

    Zrzut ekranu przedstawiający sposób dodawania tytułu i opisu do zadania.

  7. W polu opisu można dodać dowolny opis zadania, w tym obrazy, linki i formatowanie tekstu sformatowanego (zobacz hiperlinki, listy numerowane i tekst sformatowany w kodzie w poniższych przykładach).

    Zrzut ekranu przedstawiający sposób dodawania opisu do zadania.

  8. Dodaj więcej zadań do tej samej grupy zdarzeń, wybierając pozycję + Dodaj akcję i powtarzając ostatnie trzy kroki.

    Zadania zostaną utworzone i dodane do zdarzenia zgodnie z kolejnością Dodaj zadanie w regule automatyzacji.

    Zrzut ekranu przedstawiający sposób dodawania kolejnych zadań do reguły automatyzacji.

  9. Zakończ tworzenie reguły automatyzacji, wykonując pozostałe kroki, wygaśnięcie reguły i kolejność, i na końcu wybierz Zastosuj. Aby uzyskać szczegółowe informacje, zobacz Tworzenie i używanie reguł automatyzacji usługi Microsoft Sentinel do zarządzania odpowiedzią.

    Ustawienie Kolejność: kolejność, w której zadania są wyświetlane w incydentach, zależy od dwóch czynników.

    1. Kolejność wykonywania reguł automatyzacji określona przez liczbę w ustawieniu Kolejność i...
    2. Kolejność akcji Dodaj zadanie zdefiniowanych w każdej regule automatyzacji.

Następne kroki

  • Last updated on