Selvstudium: Udtræk hændelsesobjekter med ikke-oprindelige handlinger

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Enhedstilknytning beriger beskeder og hændelser med oplysninger, der er vigtige for eventuelle undersøgelsesprocesser og afhjælpende handlinger, der følger.

Microsoft Sentinel playbooks omfatter disse oprindelige handlinger for at udtrække enhedsoplysninger:

  • Konti
  • DNS
  • Filhashes
  • Værter
  • Ips
  • Webadresser

Ud over disse handlinger indeholder tilknytning af analyseregelenhed enhedstyper, der ikke er oprindelige handlinger, f.eks. malware, proces, registreringsdatabasenøgle, postkasse med mere. I dette selvstudium lærer du, hvordan du arbejder med ikke-oprindelige handlinger ved hjælp af forskellige indbyggede handlinger for at udtrække de relevante værdier.

I dette selvstudium lærer du, hvordan du:

  • Opret en playbook med en hændelsesudløser, og kør den manuelt på hændelsen.
  • Initialiser en matrixvariabel.
  • Filtrer den påkrævede objekttype fra andre objekttyper.
  • Fortolkning af resultaterne i en JSON-fil.
  • Opret værdierne som dynamisk indhold til fremtidig brug.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Hvis du vil fuldføre dette selvstudium, skal du sørge for, at du har:

  • Et Azure abonnement. Opret en gratis konto , hvis du ikke allerede har en.

  • En Azure bruger med følgende roller tildelt følgende ressourcer:

  • En (gratis) VirusTotal-konto er tilstrækkelig til dette selvstudium. En produktionsimplementering kræver en VirusTotal Premium-konto.

Opret en playbook med en hændelsesudløser

  1. For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Konfigurationsautomatisering>. For Microsoft Sentinel i Azure Portal skal du vælge siden Konfigurationsautomatisering>.

  2. På siden Automation skal du vælge Opret>playbook med hændelsesudløser.

  3. I guiden Opret playbook under Grundlæggende skal du vælge abonnementet og ressourcegruppen og give playbooken et navn.

  4. Vælg Næste: Forbindelser >.

    Under Forbindelser skal Microsoft Sentinel – Opret forbindelse med administreret identitetsforbindelse være synlig. Det kan f.eks. være:

    Skærmbillede af oprettelse af en ny playbook med en hændelsesudløser.

  5. Vælg Næste: Gennemse, og opret >.

  6. Under Gennemse og opret skal du vælge Opret og fortsætte til designer.

    Logic App-designeren åbner en logikapp med navnet på din playbook.

    Skærmbillede af visning af playbook i Logic App-designeren.

Initialiser en matrixvariabel

  1. Vælg Nyt trin under det trin, hvor du vil tilføje en variabel, i Logic App Designer.

  2. Under Vælg en handling skal du i søgefeltet skrive variabler som dit filter. På listen handlinger skal du vælge Initialiser variabel.

  3. Angiv disse oplysninger om variablen:

    1. Brug Objekter som variabelnavn.

    2. For typen skal du vælge Matrix.

    3. For værdien skal du holde markøren over feltet Værdi og vælge fx i gruppen med det blå ikon til venstre.

      Skærmbillede af initialisering af en variabel i Logic App Designer.

    4. I den dialogboks, der åbnes, skal du vælge fanen Dynamisk indhold og skrive objekter i søgefeltet.

    5. Vælg Objekter på listen, og vælg Tilføj.

      Skærmbillede af valg af værdien Objekter i Logic App Designer.

Vælg en eksisterende hændelse

  1. I Microsoft Sentinel skal du navigere til Hændelser og vælge en hændelse, som du vil køre playbook på.

  2. På hændelsessiden til højre skal du vælge Handlinger > Kør playbook (prøveversion).

  3. Under Playbooks skal du ud for den playbook, du oprettede, vælge Kør.

    Når playbooken udløses, udløses en meddelelse om, at en playbook udløses , øverst til højre.

  4. Vælg Kørsler, og ud for din playbook skal du vælge Vis kørsel.

    Siden til kørsel af Logic App er synlig.

  5. Under Initialiser variabel er eksempelnyttedata synlig under Værdi. Bemærk nyttedataeksemplet til senere brug.

    Skærmbillede af visning af eksempelnyttedata under feltet Værdi.

Filtrer den påkrævede objekttype fra andre objekttyper

  1. Gå tilbage til siden Automation , og vælg din playbook.

  2. Under det trin, hvor du vil tilføje en variabel, skal du vælge Nyt trin.

  3. Under Vælg en handling skal du angive filtermatrixen som dit filter i søgefeltet. Vælg Datahandlinger på listen handlinger.

    Skærmbillede af filtrering af en matrix og valg af datahandlinger.

  4. Angiv disse oplysninger om filtermatrixen:

    1. Under Fra>Dynamisk indhold skal du vælge variablen Objekter, du initialiserede tidligere.

    2. Vælg det første Felt af typen Vælg en værdi (til venstre), og vælg Udtryk.

    3. Skal værdielementet()indsættes?[' kind'], og vælg OK.

      Skærmbillede af udfyldning af udtrykket for filtermatrixen.

    4. Lad er lig med værdien (undlad at ændre den).

    5. I det andet felt Vælg en værdi (til højre) skal du skrive Proces. Dette skal være et nøjagtigt match til værdien i systemet.

      Bemærk!

      Der skelnes mellem store og små bogstaver i denne forespørgsel. Sørg for, at værdien kind stemmer overens med værdien i eksempelnyttedataene. Se nyttedataeksemplet, når du opretter en playbook.

      Skærmbillede af udfyldelse af oplysninger om filtermatrix.

Fortolk resultaterne til en JSON-fil

  1. I din logikapp skal du under det trin, hvor du vil tilføje en variabel, vælge Nyt trin.

  2. Vælg Forfortolkning af JSON for datahandlinger>.

    Skærmbillede af valg af indstillingen Forteg. JSON under Datahandlinger.

  3. Angiv disse oplysninger om handlingen:

    1. Vælg Indhold, og vælg Brødtekst underDynamisk indholdsfiltermatrix>.

      Skærmbillede af valg af dynamisk indhold under Indhold.

    2. Under Skema skal du indsætte et JSON-skema, så du kan udtrække værdier fra en matrix. Kopiér de eksempelnyttedata, du genererede, da du oprettede playbooken.

      Skærmbillede af kopiering af eksempelnyttedata.

    3. Gå tilbage til strategibogen, og vælg Brug eksempelnyttedata til at generere skema.

      Skærmbillede af valg af Brug eksempelnyttedata til at generere skema.

    4. Indsæt nyttedataene. Tilføj en venstreparentes ([) i begyndelsen af skemaet, og luk dem i slutningen af skemaet ].

      Skærmbillede af indsættelse af eksempelnyttedata.

      Skærmbillede af den anden del af den indsatte eksempelnyttedata.

    5. Vælg Udført.

Brug de nye værdier som dynamisk indhold til fremtidig brug

Du kan nu bruge de værdier, du har oprettet som dynamisk indhold, til yderligere handlinger. Hvis du f.eks. vil sende en mail med procesdata, kan du finde handlingen Fortolk JSON under Dynamisk indhold, hvis du ikke ændrede handlingsnavnet.

Skærmbillede af afsendelse af en mail med procesdata.

Sørg for, at din playbook er gemt

Sørg for, at playbooken er gemt, og du kan nu bruge din playbook til SOC-operationer.

Næste trin

Gå videre til næste artikel for at få mere at vide om, hvordan du opretter og udfører hændelsesopgaver i Microsoft Sentinel ved hjælp af playbooks.

Opret og udfør hændelsesopgaver i Microsoft Sentinel ved hjælp af playbooks

  • Last updated on