Kurz: Automatická kontrola a záznam informací o reputaci IP adres v incidentech

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jedním z rychlých a snadných způsobů, jak vyhodnotit závažnost incidentu, je zjistit, jestli jsou některé IP adresy v něm známé jako zdroje škodlivých aktivit. Automatický způsob, jak to udělat, vám může ušetřit spoustu času a úsilí.

V tomto kurzu se dozvíte, jak pomocí pravidel automatizace a playbooků Microsoft Sentinel automaticky kontrolovat IP adresy ve vašich incidentech proti zdroji analýzy hrozeb a zaznamenávat každý výsledek příslušného incidentu.

Po dokončení tohoto kurzu budete umět:

  • Vytvoření playbooku ze šablony
  • Konfigurace a autorizace připojení playbooku k jiným prostředkům
  • Vytvoření pravidla automatizace pro vyvolání playbooku
  • Zobrazení výsledků automatizovaného procesu

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Pokud chcete absolvovat tento kurz, ujistěte se, že máte:

  • Předplatné Azure. Vytvořte si bezplatný účet , pokud ho ještě nemáte.

  • Pracovní prostor služby Log Analytics s nasazeným řešením Microsoft Sentinel a ingestována do něj data.

  • Uživatel Azure s následujícími rolemi přiřazenými k následujícím prostředkům:

  • Nainstalované řešení VirusTotal z centra obsahu

  • Pro tento kurz bude stačit (zdarma) účet VirusTotal . Produkční implementace vyžaduje účet VirusTotal Premium.

  • Agent Azure Monitor nainstalovaný alespoň na jednom počítači ve vašem prostředí, aby se incidenty vygenerovaly a odesílaly do Microsoft Sentinel.

Vytvoření playbooku ze šablony

Microsoft Sentinel obsahuje připravené šablony playbooků, které si můžete přizpůsobit a použít k automatizaci velkého počtu základních úkolů a scénářů SecOps. Pojďme najít takový, který by obohatil informace o IP adresách v našich incidentech.

  1. V Microsoft Sentinel vyberte Automatizace konfigurace>.

  2. Na stránce Automatizace vyberte kartu Šablony playbooků (Preview).

  3. Vyhledejte a vyberte jednu ze šablon sestavy Rozšíření IP adresy – Virus Total pro triggery entity, incidentu nebo upozornění. V případě potřeby vyfiltrujte seznam podle značky Rozšiřování a vyhledejte šablony.

  4. V podokně podrobností vyberte Vytvořit playbook . Příklady:

    Snímek obrazovky s vybranou šablonou Rozšiřování IP adresy – Virus Total Report – Trigger entity

  5. Otevře se průvodce vytvořením playbooku . Na kartě Základy :

    1. V příslušných rozevíracích seznamech vyberte předplatné, skupinu prostředků a oblast .

    2. Upravte název playbooku tak, že na konec navrhovaného názvu přidáte "Get-VirusTotalIPReport". Tímto způsobem budete moct zjistit, ze které původní šablony tento playbook pochází, a zároveň zajistíte, že má jedinečný název pro případ, že budete chtít vytvořit další playbook z této stejné šablony. Nazvěme ho "Get-VirusTotalIPReport-Tutorial-1".

    3. Možnost Povolit diagnostické protokoly v Log Analytics nechte nezaškrtnutou.

    4. Vyberte Další: Připojení >.

  6. Na kartě Připojení uvidíte všechna připojení, která tento playbook potřebuje k jiným službám, a metodu ověřování, která se použije, pokud už bylo připojení provedeno v existujícím pracovním postupu aplikace logiky ve stejné skupině prostředků.

    1. Microsoft Sentinel připojení ponechte tak, jak je (mělo by být uvedeno Připojit se se spravovanou identitou).

    2. Pokud některá připojení řeknou "Nové připojení se nakonfiguruje", zobrazí se výzva, abyste to udělali v další fázi kurzu. Pokud už máte připojení k těmto prostředkům, vyberte šipku rozbalení nalevo od připojení a v rozbaleném seznamu vyberte existující připojení. Pro toto cvičení to necháme tak, jak je.

      Snímek obrazovky s kartou Připojení v průvodci vytvořením playbooku

    3. Vyberte Další: Zkontrolovat a vytvořit >.

  7. Na kartě Zkontrolovat a vytvořit zkontrolujte všechny informace, které jste zadali tak, jak se tady zobrazují, a vyberte Vytvořit playbook.

    Snímek obrazovky s kartou Zkontrolovat a vytvořit v průvodci vytvořením playbooku

    Při nasazení playbooku se zobrazí rychlá řada oznámení o jeho průběhu. Pak se otevře návrhář aplikace logiky se zobrazeným playbookem. Stále potřebujeme autorizovat připojení aplikace logiky k prostředkům, se kterými komunikuje, aby se playbook mohl spustit. Potom zkontrolujeme jednotlivé akce v playbooku, abychom se ujistili, že jsou vhodné pro naše prostředí, a v případě potřeby provedeme změny.

    Snímek obrazovky s playbookem otevřeným v okně návrháře aplikace logiky

Autorizace připojení aplikací logiky

Vzpomeňte si, že když jsme vytvořili playbook ze šablony, bylo nám řečeno, že Azure kolektor dat Log Analytics a připojení Virus Total se nakonfigurují později.

Snímek obrazovky s informacemi o kontrole z průvodce vytvořením playbooku

Tady to děláme.

Autorizovat připojení Virus Total

  1. Výběrem akce Pro každou položku rozbalte a zkontrolujte její obsah, včetně akcí, které budou provedeny pro každou IP adresu. Příklady:

    Snímek obrazovky s akcí příkazu smyčky for-each v návrháři aplikace logiky

  2. První položka akce, kterou uvidíte, je označená jako Připojení a má oranžový trojúhelník s upozorněním.

    Pokud je místo toho tato první akce označená jako Získat sestavu IP (Preview), znamená to, že už máte existující připojení k Virus Total a můžete přejít k dalšímu kroku.

    1. Výběrem akce Připojení ji otevřete.

    2. Vyberte ikonu ve sloupci Neplatné pro zobrazené připojení.

      Snímek obrazovky s neplatnou konfigurací připojení Virus Total

      Zobrazí se výzva k zadání informací o připojení.

      Snímek obrazovky ukazuje, jak zadat klíč rozhraní API a další podrobnosti o připojení pro virus Celkem.

    3. Jako název připojení zadejte Virus Total.

    4. V případě x-api_key zkopírujte a vložte klíč rozhraní API ze svého účtu Virus Total.

    5. Vyberte Aktualizovat.

    6. Teď se zobrazí akce Získat sestavu IP adres (Preview) správně. (Pokud jste už měli účet Virus Total, budete už v této fázi.)

      Snímek obrazovky znázorňuje akci odeslání IP adresy do Virus Total, aby se o ní zobrazila zpráva.

Autorizace připojení Log Analytics

Další akcí je Podmínka , která určuje zbytek akcí smyčky for-each na základě výsledku sestavy IP adres. Analyzuje skóre reputace zadané IP adrese v sestavě. Skóre vyšší než 0 znamená, že adresa je neškodná; skóre nižší než 0 značí, že je škodlivý.

Snímek obrazovky s akcí podmínky v návrháři aplikace logiky

Bez ohledu na to, jestli je podmínka pravdivá nebo nepravdivá, chceme data v sestavě odeslat do tabulky v Log Analytics, aby se na ni bylo možné dotazovat a analyzovat, a přidat k incidentu komentář.

Jak ale uvidíte, máme více neplatných připojení, která potřebujeme autorizovat.

Snímek obrazovky zobrazující scénáře true a false pro definovanou podmínku

  1. V rámci True vyberte akci Připojení.

  2. Vyberte ikonu ve sloupci Neplatné pro zobrazené připojení.

    Snímek obrazovky s neplatnou konfigurací připojení Log Analytics

    Zobrazí se výzva k zadání informací o připojení.

    Snímek obrazovky ukazuje, jak zadat ID a klíč pracovního prostoru a další podrobnosti o připojení pro Log Analytics.

  3. Jako název připojení zadejte Log Analytics.

  4. V části ID pracovního prostoru zkopírujte a vložte ID ze stránky Přehled nastavení pracovního prostoru služby Log Analytics.

  5. Vyberte Aktualizovat.

  6. Teď se akce Odeslat data zobrazí správně. (Pokud jste už měli připojení Log Analytics z Logic Apps, budete už v této fázi.)

    Snímek obrazovky znázorňující akci odeslání záznamu sestavy Virus Total do tabulky v Log Analytics

  7. Teď vyberte akci Připojení v rámci Nepravda . Tato akce používá stejné připojení jako v rámci True.

  8. Ověřte, že je připojení s názvem Log Analytics označené a vyberte Zrušit. Tím se zajistí, že se akce v playbooku zobrazí správně.

    Snímek obrazovky s druhou neplatnou konfigurací připojení Log Analytics

    Teď uvidíte celý svůj playbook, který je správně nakonfigurovaný.

  9. Velmi důležité! Nezapomeňte vybrat Uložit v horní části okna návrháře aplikace logiky . Jakmile se zobrazí oznámení o úspěšném uložení playbooku, zobrazí se váš playbook na stránce Automation na kartě Aktivní playbooky*.

Vytvoření pravidla automatizace

Pokud teď chcete tento playbook skutečně spustit, budete muset vytvořit pravidlo automatizace, které se spustí při vytvoření incidentů a vyvolá playbook.

  1. Na stránce Automatizace vyberte v horním banneru + Vytvořit . V rozevírací nabídce vyberte Pravidlo automatizace.

    Snímek obrazovky s vytvořením pravidla automatizace ze stránky Automation

  2. Na panelu Vytvořit nové pravidlo automatizace pojmenujte pravidlo Kurz: Obohacení informací o IP adrese.

    Snímek obrazovky s vytvořením pravidla automatizace, jeho pojmenováním a přidáním podmínky

  3. V části Podmínky vyberte + Přidat a Podmínka (And).

    Snímek obrazovky s přidáním podmínky do pravidla automatizace

  4. V rozevíracím seznamu vlastností na levé straně vyberte IP adresa . V rozevíracím seznamu operátoru vyberte Obsahuje a pole s hodnotou nechte prázdné. To ve skutečnosti znamená, že pravidlo se použije na incidenty, které mají pole IP adresy, které obsahuje cokoli.

    Nechceme zabránit tomu, aby byla touto automatizací pokryta žádná analytická pravidla, ale nechceme, aby se automatizace aktivovala zbytečně, takže omezíme pokrytí na incidenty, které obsahují entity IP adres.

    Snímek obrazovky s definováním podmínky, která se má přidat do pravidla automatizace

  5. V části Akce vyberte v rozevíracím seznamu Spustit playbook .

  6. Vyberte nový rozevírací seznam, který se zobrazí.

    Snímek obrazovky znázorňující, jak vybrat playbook ze seznamu playbooků – část 1

    Zobrazí se seznam všech playbooků ve vašem předplatném. Šedé jsou ty, ke kterým nemáte přístup. Do textového pole Prohledat playbooky začněte psát název playbooku, který jsme vytvořili výše, nebo jeho část. Seznam playbooků bude dynamicky filtrován s každým písmenem, které zadáte.

    Snímek obrazovky znázorňující, jak vybrat playbook ze seznamu playbooků – část 2

    Až se playbook zobrazí v seznamu, vyberte ho.

    Snímek obrazovky znázorňující, jak vybrat playbook ze seznamu playbooků – část 3

    Pokud je playbook zašedlý, vyberte odkaz Spravovat oprávnění playbooku (v níže uvedeném odstavci, kde jste vybrali playbook – viz výše uvedený snímek obrazovky). Na panelu, který se otevře, vyberte v seznamu dostupných skupin prostředků skupinu prostředků obsahující playbook a pak vyberte Použít.

  7. Znovu vyberte + Přidat akci . Teď v rozevíracím seznamu nové akce, který se zobrazí, vyberte Přidat značky.

  8. Vyberte + Přidat značku. Jako text značky zadejte "Tutorial-Enriched IP addresses" a vyberte OK.

    Snímek obrazovky znázorňující postup přidání značky do pravidla automatizace

  9. Zbývající nastavení nechte beze zbytku a vyberte Použít.

Ověření úspěšné automatizace

  1. Na stránce Incidenty zadejte do panelu Hledání text značky Tutorial-Enriched IP adresy a stisknutím klávesy Enter vyfiltrujte seznam incidentů s použitou značkou. Toto jsou incidenty, na které se naše pravidlo automatizace spustilo.

  2. Otevřete některý z těchto incidentů a podívejte se, jestli tam nejsou komentáře k IP adresám. Přítomnost těchto komentářů značí, že se playbook na incidentu spustil.

Vyčistit prostředky

Pokud nebudete pokračovat v používání tohoto scénáře automatizace, odstraňte playbook a pravidlo automatizace, které jste vytvořili, pomocí následujícího postupu:

  1. Na stránce Automatizace vyberte kartu Aktivní playbooky .

  2. Na panelu Hledání zadejte název (nebo část názvu) playbooku, který jste vytvořili.
    (Pokud se nezobrazí, ujistěte se, že jsou všechny filtry nastavené na Vybrat vše.)

  3. V seznamu zaškrtněte políčko vedle svého playbooku a v horním banneru vyberte Odstranit .
    (Pokud ho nechcete odstranit, můžete místo toho vybrat Zakázat .)

  4. Vyberte kartu Pravidla automatizace .

  5. Do vyhledávacího panelu zadejte název (nebo část názvu) pravidla automatizace, které jste vytvořili.
    (Pokud se nezobrazí, ujistěte se, že jsou všechny filtry nastavené na Vybrat vše.)

  6. V seznamu zaškrtněte políčko vedle pravidla automatizace a v horním banneru vyberte Odstranit .
    (Pokud ho nechcete odstranit, můžete místo toho vybrat Zakázat .)

Související obsah

Teď, když jste se naučili, jak automatizovat základní scénář rozšiřování incidentů, přečtěte si další informace o automatizaci a dalších scénářích, ve které ji můžete použít.

  • Last updated on