Kurz: Extrakce entit incidentů s ne nativními akcemi

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Mapování entit obohacuje výstrahy a incidenty o informace nezbytné pro všechny procesy vyšetřování a nápravná opatření, která následují.

Microsoft Sentinel playbooky obsahují tyto nativní akce pro extrakci informací o entitách:

  • Účty
  • DNS
  • Hodnoty hash souborů
  • Hostitelů
  • Ips
  • Adresy url

Kromě těchto akcí obsahuje mapování entit analytického pravidla typy entit, které nejsou nativními akcemi, jako je malware, proces, klíč registru, poštovní schránka a další. V tomto kurzu se naučíte pracovat s ne nativními akcemi pomocí různých předdefinovaných akcí, které extrahuje relevantní hodnoty.

V tomto kurzu se naučíte:

  • Vytvořte playbook s triggerem incidentu a spusťte ho na incidentu ručně.
  • Inicializace proměnné pole
  • Vyfiltrujte požadovaný typ entity z jiných typů entit.
  • Parsujte výsledky v souboru JSON.
  • Vytvořte hodnoty jako dynamický obsah pro budoucí použití.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Pokud chcete absolvovat tento kurz, ujistěte se, že máte:

  • Předplatné Azure. Vytvořte si bezplatný účet , pokud ho ještě nemáte.

  • Uživatel Azure s následujícími rolemi přiřazenými k následujícím prostředkům:

  • Pro tento kurz bude stačit (zdarma) účet VirusTotal . Produkční implementace vyžaduje účet VirusTotal Premium.

Vytvoření playbooku s triggerem incidentu

  1. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Konfigurace>Automation. Pro Microsoft Sentinel v Azure Portal vyberte stránku Automatizace konfigurace>.

  2. Na stránce Automatizace vyberte Vytvořit>playbook s triggerem incidentu.

  3. V průvodci vytvořením playbooku v části Základy vyberte předplatné a skupinu prostředků a dejte playbooku název.

  4. Vyberte Další: Připojení >.

    V části Připojení by se měla zobrazit Microsoft Sentinel – Připojení pomocí spravované identity. Příklady:

    Snímek obrazovky s vytvořením nového playbooku s triggerem incidentu

  5. Vyberte Další: Zkontrolovat a vytvořit >.

  6. V části Zkontrolovat a vytvořit vyberte Vytvořit a pokračovat v návrháři.

    Návrhář aplikace logiky otevře aplikaci logiky s názvem vašeho playbooku.

    Snímek obrazovky s zobrazením playbooku v návrháři aplikace logiky

Inicializace proměnné pole

  1. V návrháři aplikace logiky v kroku, kam chcete přidat proměnnou, vyberte Nový krok.

  2. V části Zvolit operaci zadejte do vyhledávacího pole jako filtr proměnné . V seznamu akcí vyberte Inicializovat proměnnou.

  3. Zadejte tyto informace o proměnné:

    1. Jako název proměnné použijte Entity.

    2. Jako typ vyberte Pole.

    3. Jako hodnotu najeďte myší na pole Hodnota a vyberte fx ve skupině modrých ikon na levé straně.

      Snímek obrazovky s inicializací proměnné v návrháři aplikace logiky

    4. V dialogovém okně, které se otevře, vyberte kartu Dynamický obsah a do vyhledávacího pole zadejte entity.

    5. V seznamu vyberte Entity a vyberte Přidat.

      Snímek obrazovky s výběrem hodnoty Entity v návrháři aplikace logiky

Výběr existujícího incidentu

  1. V Microsoft Sentinel přejděte na Incidenty a vyberte incident, pro který chcete playbook spustit.

  2. Na stránce incidentu napravo vyberte Playbook Spustit akce > (Preview).

  3. V části Playbooky vedle playbooku, který jste vytvořili, vyberte Spustit.

    Při aktivaci playbooku se v pravém horním rohu zobrazí zpráva o úspěšném spuštění playbooku .

  4. Vyberte Spuštění a vedle svého playbooku vyberte Zobrazit spustit.

    Zobrazí se stránka spuštění aplikace logiky .

  5. V části Initialize variable (Inicializovat proměnnou) je datová část ukázky viditelná v části Value (Hodnota). Poznamenejte si ukázkovou datovou část pro pozdější použití.

    Snímek obrazovky s ukázkovou datovou částí pod polem Hodnota

Filtrování požadovaného typu entity z jiných typů entit

  1. Přejděte zpět na stránku Automation a vyberte svůj playbook.

  2. V kroku, do kterého chcete přidat proměnnou, vyberte Nový krok.

  3. V části Zvolit akci zadejte do vyhledávacího pole jako filtr pole filtru . V seznamu akcí vyberte Operace s daty.

    Snímek obrazovky s filtrováním pole a výběrem datových operací

  4. Zadejte tyto informace o poli filtru:

    1. V části Z>dynamického obsahu vyberte proměnnou Entities, kterou jste inicializovali dříve.

    2. Vyberte první pole Zvolit hodnotu (vlevo) a vyberte Výraz.

    3. Vložit hodnotu item()?[' kind'] a vyberte OK.

      Snímek obrazovky s vyplněním výrazu pole filtru

    4. Hodnota je rovna hodnotě (neupravujte ji).

    5. Do druhého pole Zvolte hodnotu (vpravo) zadejte Proces. Musí se přesně shodovat s hodnotou v systému.

      Poznámka

      V tomto dotazu se rozlišují malá a velká písmena. Ujistěte se, že hodnota kind odpovídá hodnotě v ukázkové datové části. Při vytváření playbooku si můžete prohlédnout ukázkovou datovou část.

      Snímek obrazovky s vyplněním informací o poli filtru

Parsování výsledků do souboru JSON

  1. V aplikaci logiky v kroku, kam chcete přidat proměnnou, vyberte Nový krok.

  2. Vyberte Operace s>daty Parsovat JSON.

    Snímek obrazovky s výběrem možnosti Parsovat JSON v části Operace s daty

  3. Zadejte tyto informace o vaší operaci:

    1. Vyberte Obsah a v částiPole filtrudynamického obsahu> vyberte Text.

      Snímek obrazovky s výběrem dynamického obsahu v části Obsah

    2. V části Schéma vložte schéma JSON, abyste mohli extrahovat hodnoty z pole. Zkopírujte ukázkovou datovou část, kterou jste vygenerovali při vytváření playbooku.

      Snímek obrazovky s kopírováním ukázkové datové části

    3. Vraťte se do playbooku a vyberte Použít ukázkovou datovou část ke generování schématu.

      Snímek obrazovky s výběrem možnosti Použít ukázkovou datovou část ke generování schématu

    4. Vložte datovou část. Na začátek schématu přidejte levou hranatou závorku ([) a na konci schématu ]ji zavřete .

      Snímek obrazovky se vložením ukázkové datové části

      Snímek obrazovky s druhou částí vkládané ukázkové datové části

    5. Vyberte Hotovo.

Použití nových hodnot jako dynamického obsahu pro budoucí použití

Hodnoty, které jste vytvořili, teď můžete použít jako dynamický obsah pro další akce. Pokud například chcete odeslat e-mail s daty procesu, můžete akci Parsovat JSON najít v části Dynamický obsah, pokud jste název akce nezměnili.

Snímek obrazovky s odesláním e-mailu s daty procesu

Ujistěte se, že je playbook uložený.

Ujistěte se, že je playbook uložený a teď ho můžete používat pro operace SOC.

Další kroky

V dalším článku se dozvíte, jak vytvářet a provádět úlohy incidentů v Microsoft Sentinel pomocí playbooků.

Vytváření a provádění úloh incidentů v Microsoft Sentinel pomocí playbooků

  • Last updated on