Sdílet prostřednictvím

Návod: Extrakce entit incidentů s nenativními akcemi

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Mapování entit rozšiřuje výstrahy a incidenty o informace nezbytné pro všechny vyšetřovací procesy a nápravné akce, které následují.

Playbooky Microsoft Sentinel zahrnují tyto nativní akce pro extrakci informací o entitách:

  • Účty
  • DNS
  • Hodnoty hash souborů
  • Hostitelé
  • Ips
  • Adresy URL

Kromě těchto akcí obsahuje mapování entit analytického pravidla typy entit, které nejsou nativními akcemi, jako je malware, proces, klíč registru, poštovní schránka a další. V tomto kurzu se naučíte pracovat s akcemi, které nejsou nativní, pomocí různých předdefinovaných akcí k extrakci relevantních hodnot.

V tomto kurzu se naučíte:

  • Vytvořte playbook se spouštěčem incidentu a spusťte jej ručně na incidentu.
  • Inicializace proměnné pole
  • Vyfiltrujte požadovaný typ entity z jiných typů entit.
  • Parsujte výsledky v souboru JSON.
  • Vytvořte hodnoty jako dynamický obsah pro budoucí použití.

Důležité

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Abyste mohli absolvovat tento kurz, ujistěte se, že máte následující:

  • Předplatné Azure. Pokud ho ještě nemáte, vytvořte si bezplatný účet .

  • Uživatel Azure s následujícími rolemi přiřazenými k následujícím prostředkům:

  • Pro účely tohoto kurzu bude stačit (bezplatný) účet VirusTotal . Produkční implementace vyžaduje účet VirusTotal Premium.

Vytvořte playbook se spouštěčem incidentu

  1. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation. Pro Microsoft Sentinel na webu Azure Portal vyberte stránkuAutomatizace>.

  2. Na stránce Automation vyberte Vytvořit>playbook se spouštěním incidentu.

  3. V průvodci vytvořením playbooku v části Základy vyberte předplatné a skupinu prostředků a dejte playbooku název.

  4. Vyberte Další: Připojení >.

    V části Připojení by se měla zobrazit služba Microsoft Sentinel – Připojení pomocí spravované identity . Příklad:

    Snímek obrazovky při vytváření nového playbooku se spouštěčem incidentu.

  5. Vyberte možnost Další: Zkontrolovat a vytvořit >.

  6. V části Zkontrolovat a vytvořit vyberte Vytvořit a pokračovat do návrháře.

    Návrhář Logických aplikací otevře logickou aplikaci s názvem vašeho playbooku.

    Snímek obrazovky zobrazení playbooku v návrháři aplikace Logic

Inicializujte proměnnou typu pole

  1. V návrháři aplikace logiky v kroku, do kterého chcete přidat proměnnou, vyberte Nový krok.

  2. V části Zvolit operaci zadejte do vyhledávacího pole proměnné jako filtr. V seznamu akcí vyberte Inicializovat proměnnou.

  3. Zadejte tyto informace o proměnné:

    1. Jako název proměnné použijte Entity.

    2. Jako typ vyberte Pole.

    3. U hodnoty najeďte myší na pole Hodnota a vyberte fx v modré skupině ikon vlevo.

      Snímek obrazovky s inicializací proměnné v Návrháři aplikace Logiky.

    4. V dialogovém okně, které se otevře, vyberte kartu Dynamický obsah a do vyhledávacího pole zadejte entity.

    5. Ze seznamu vyberte Entity a vyberte Přidat.

      Snímek obrazovky s výběrem hodnoty Entity v návrháři aplikace logiky

Výběr existujícího incidentu

  1. V Microsoft Sentinelu přejděte na Incidenty a vyberte incident, na kterém chcete playbook spustit.

  2. Na stránce incidentu napravo vyberte Akce > Spustit playbook (Preview).

  3. V části Playbooky vedle playbooku, který jste vytvořili, vyberte Spustit.

    Po aktivaci playbooku se v pravém horním rohu zobrazí zpráva o úspěšném spuštění playbooku .

  4. Vyberte Spustit a vedle playbooku vyberte Zobrazit spuštění.

    Stránka Logic app run je viditelná.

  5. V části Inicializovat proměnnou je ukázková datová část zobrazena pod Hodnota. Poznamenejte si ukázkovou datovou část pro pozdější použití.

    Snímek obrazovky s zobrazením ukázkové datové části v poli Hodnota

Filtrování požadovaného typu entity z jiných typů entit

  1. Přejděte zpět na stránku Automation a vyberte svůj playbook.

  2. Pod krokem, do kterého chcete přidat proměnnou, vyberte Nový krok.

  3. V části Zvolit akci do vyhledávacího pole zadejte jako filtr pole filtru . V seznamu akcí vyberte Operace s daty.

    Snímek obrazovky s filtrováním pole a výběrem datových operací

  4. Zadejte tyto informace o poli filtru:

    1. V části Od>Dynamického obsahu vyberte proměnnou Entity, kterou jste inicializovali dříve.

    2. Vyberte první pole Zvolit hodnotu (vlevo) a vyberte Výraz.

    3. Vložit hodnotu item()?[' kind'] a vyberte OK.

      Snímek obrazovky při vyplňování výrazu filtračního pole

    4. Nechejte hodnotu rovnou (neupravujte ji).

    5. Do druhého pole Zvolit hodnotu (vpravo) zadejte Proces. Musí to být přesná shoda s hodnotou v systému.

      Poznámka:

      U tohoto dotazu se rozlišují malá a velká písmena. Ujistěte se, že hodnota kind odpovídá hodnotě v ukázkovém zatížení. Příklad datové části (payload) si prohlédněte, když vytváříte playbook.

      Snímek obrazovky s vyplněním informací o poli filtru

Parsování výsledků do souboru JSON

  1. V aplikaci logiky v kroku, do kterého chcete přidat proměnnou, vyberte Nový krok.

  2. Vyberte Operace s daty>Parsovat JSON.

    Snímek obrazovky s výběrem možnosti Parsovat JSON v části Operace s daty

  3. Zadejte tyto informace o vaší operaci:

    1. Vyberte Obsah a v části Dynamického obsahu>Filtru pole vyberte Tělo.

      Snímek obrazovky s výběrem dynamického obsahu v části Obsah

    2. V části Schéma vložte schéma JSON, abyste mohli extrahovat hodnoty z pole. Zkopírujte ukázkový datový objekt, který jste vygenerovali při vytváření playbooku.

      Snímek obrazovky s kopírováním ukázkového payloadu.

    3. Vraťte se do playbooku a vyberte Použít ukázkový datový vstup k vygenerování schématu.

      Snímek obrazovky s výběrem možnosti Použít ukázkovou datovou část k vygenerování schématu

    4. Vložte payload. Přidejte levou hranatou závorku ([) na začátek schématu a zavřete je na konci schématu ].

      Snímek obrazovky s vložením vzorku dat

      Snímek obrazovky druhé části vloženého ukázkového datového souboru

    5. Vyberte Hotovo.

Použití nových hodnot jako dynamického obsahu pro budoucí použití

Teď můžete použít hodnoty, které jste vytvořili jako dynamický obsah, pro další akce. Pokud například chcete odeslat e-mail s daty procesu, můžete akci Parsovat JSON najít v části Dynamický obsah, pokud jste název akce nezměnili.

Snímek obrazovky s odesláním e-mailu s daty procesu

Ujistěte se, že je playbook uložen.

Ujistěte se, že je příručka uložená, a nyní ji můžete použít pro operace SOC.

Další kroky

V dalším článku se dozvíte, jak vytvářet a provádět úlohy incidentů v Microsoft Sentinelu pomocí playbooků.

Vytvoření a provádění incidentních úloh v Microsoft Sentinelu s pomocí playbooků

  • Last updated on