Freigeben über


Tutorial: Extrahieren von Vorfallsentitäten mit nicht nativen Aktionen

Die Entitätszuordnung bereichert Warnungen und Vorfälle mit Informationen, die für alle folgenden Untersuchungsprozesse und Abhilfemaßnahmen wichtig sind.

Microsoft Sentinel-Playbooks enthalten die folgenden nativen Aktionen zum Extrahieren von Entitätsinformationen:

  • Konten
  • DNS
  • Dateihashes
  • Hosts
  • IP-Adressen
  • URLs

Zusätzlich zu diesen Aktionen enthält die Analyseregel-Entitätszuordnung Entitätstypen, die keine nativen Aktionen sind, z. B. Schadsoftware, Prozess, Registrierungsschlüssel, Postfach usw. In diesem Tutorial erfahren Sie, wie Sie mit nicht nativen Aktionen arbeiten, indem Sie verschiedene integrierte Aktionen verwenden, um die relevanten Werte zu extrahieren.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen Sie ein Playbook mit einem Vorfallstrigger, und führen Sie ihn manuell für den Vorfall aus.
  • Initialisieren Sie eine Arrayvariable.
  • Filtern Sie den erforderlichen Entitätstyp aus anderen Entitätstypen heraus.
  • Parsen Sie die Ergebnisse in einer JSON-Datei.
  • Erstellen Sie die Werte als dynamischen Inhalt zur späteren Verwendung.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Damit Sie dieses Tutorial ausführen können, benötigen Sie folgende Komponenten:

  • Ein Azure-Abonnement. Erstellen Sie ein Erstellen Sie ein kostenloses Konto, wenn Sie noch keines besitzen.

  • Ein Azure-Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:

  • Ein (kostenloses) VirusTotal-Konto genügt für dieses Tutorial. Für eine Implementierung in der Produktion ist ein VirusTotal Premium-Konto erforderlich.

Erstellen eines Playbooks mit einem Vorfallstrigger

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsautomatisierung >aus. Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel >Konfiguration>Automatisierung aus.

  2. Wählen Sie auf der Seite Automatisierung die Option Erstellen>Playbook mit Incident-Trigger aus.

  3. Wählen Sie im Assistenten Playbook erstellen unter Grundlagen das Abonnement und die Ressourcengruppe aus, und geben Sie dem Playbook einen Namen.

  4. Wählen Sie Weiter: Verbindungen> aus.

    Unter Verbindungen sollte die Verbindung Microsoft Sentinel – Mit verwalteter Identität verbinden angezeigt werden. Zum Beispiel:

    Screenshot der Erstellung eines neuen Playbooks mit einem Vorfallstrigger.

  5. Wählen Sie Weiter: Überprüfen und erstellen> aus.

  6. Wählen Sie unter Überprüfen und erstellen die Option Erstellen und mit Designer fortfahren aus.

    Der Logik-App-Designer öffnet eine Logik-App mit dem Namen Ihres Playbooks.

    Screenshot der Ansicht des Playbooks im Logik-App-Designer.

Initialisieren einer Arrayvariablen

  1. Wählen Sie im Logik-App-Designer unter dem Schritt, in dem Sie eine Variable hinzufügen, die Option Neuer Schritt aus.

  2. Geben Sie unter Vorgang auswählen im Suchfeld Variablen als Filter ein. Wählen Sie in der Liste der Aktionen Variable initialisieren aus.

  3. Geben Sie diese Informationen für Ihre Variable an:

    • Verwenden Sie für den Variablennamen Entitäten.

    • Wählen Sie als Typ Array aus.

    • Geben Sie für den Wert Entitäten ein, und wählen Sie unter Dynamischer Inhalt die Option Entitäten aus.

      Screenshot der Initialisierung der Arrayvariablen.

Auswählen eines vorhandenen Vorfalls

  1. Navigieren Sie in Microsoft Sentinel zu Vorfälle, und wählen Sie einen Vorfall aus, für den Sie das Playbook ausführen möchten.

  2. Wählen Sie auf der Seite „Vorfall“ die Option Aktionen > Playbook ausführen (Vorschau) aus.

  3. Wählen Sie unter Playbooks neben dem von Ihnen erstellten Playbook die Option Ausführen aus.

    Wenn das Playbook ausgelöst wird, wird oben rechts die Meldung Playbook erfolgreich ausgelöst angezeigt.

  4. Wählen Sie Ausführungen und neben Ihrem Playbook die Option Ausführung anzeigen aus.

    Die Seite Logik-App-Ausführung wird angezeigt.

  5. Unter Variable initialisieren ist die Beispielnutzlast unter Wert sichtbar. Notieren Sie sich die Beispielnutzlast zur späteren Verwendung.

    Screenshot der Ansicht der Beispielnutzlast unter dem Feld „Wert“.

Filtern des erforderlichen Entitätstyps aus anderen Entitätstypen

  1. Navigieren Sie zurück zur Seite Automatisierung, und wählen Sie Ihr Playbook aus.

  2. Wählen Sie in dem Schritt zum Hinzufügen einer Variablen die Option Neuer Schritt aus.

  3. Geben Sie unter Aktion auswählen im Suchfeld Filterarray als Filter ein. Wählen Sie in der Aktionsliste die Option Datenvorgänge aus.

    Screenshot der Filterung eines Arrays und der Auswahl der Option „Datenvorgänge“.

  4. Geben Sie diese Informationen zu Ihrem Filterarray an:

    1. Wählen Sie unter Aus>Dynamischer Inhalt die Variable Entitäten aus, die Sie zuvor initialisiert haben.

    2. Wählen Sie das erste Feld Wert auswählen (links) und dann Ausdruck aus.

    3. Fügen Sie den Wert item()?['kind'], und wählen Sie OK aus.

      Screenshot, der zeigt, wie der Ausdruck für das Filterarray ausgefüllt wird.

    4. Behalten Sie den Wert ist gleich bei (ändern Sie ihn nicht).

    5. Geben Sie im zweiten Feld Wert auswählen (rechts) Prozess ein. Dieser Wert muss eine genaue mit dem Wert im System übereinstimmen.

      Hinweis

      Bei dieser Abfrage wird die Groß-/Kleinschreibung beachtet. Stellen Sie sicher, dass der kind-Wert mit dem Wert in der Beispielnutzlast übereinstimmt. Sehen Sie sich die Beispielnutzlast an, wenn Sie ein Playbook erstellen.

      Screenshot, der zeigt, wie die Informationen für das Filterarray ausgefüllt werden.

Parsen der Ergebnisse in eine JSON-Datei

  1. Wählen Sie in der Logik-App unter dem Schritt, in dem Sie eine Variable hinzufügen, die Option Neuer Schritt aus.

  2. Wählen Sie Datenvorgänge>JSON parsen aus.

    Screenshot, der die Auswahl der Option „JSON parsen“ unter „Datenvorgänge“ zeigt.

  3. Geben Sie diese Informationen zu Ihrem Vorgang an:

    1. Wählen Sie Inhalt und unterDynamischer Inhalt>Filterarray die Option Text aus.

      Screenshot, der die Auswahl von „Dynamischer Inhalt“ unter „Inhalt“ zeigt.

    2. Fügen Sie unter Schema ein JSON-Schema ein, damit Sie Werte aus einem Array extrahieren können. Kopieren Sie die Beispielnutzlast, die Sie beim Erstellen des Playbooks generiert haben.

      Screenshot des Kopierens der Beispielnutzlast.

    3. Kehren Sie zum Playbook zurück, und wählen Sie Beispielnutzlast zum Generieren des Schemas verwenden aus.

      Screenshot, der die Auswahl der Option „Beispielnutzdaten zum Generieren eines Schemas verwenden“ zeigt.

    4. Fügen Sie die Nutzlast ein. Fügen Sie am Anfang des Schemas eine öffnende eckige Klammer ([) hinzu, und schließen Sie diese am Ende des Schemas ].

      Screenshot des Einfügens der Beispielnutzlast.

      Screenshot des zweiten Teils der eingefügten Beispielnutzlast.

    5. Wählen Sie Fertigaus.

Verwenden der neuen Werte als dynamischer Inhalt zur späteren Verwendung

Sie können nun die von Ihnen erstellten Werte als dynamischen Inhalt für weitere Aktionen verwenden. Wenn Sie beispielsweise eine E-Mail mit Prozessdaten senden möchten, finden Sie die Aktion JSON parsen unter Dynamischer Inhalt, wenn Sie den Aktionsnamen nicht geändert haben.

Screenshot, der das Senden einer E-Mail mit Prozessdaten zeigt.

Sicherstellen, dass das Playbook gespeichert wurde

Stellen Sie sicher, dass das Playbook gespeichert wurde, und Sie können Ihr Playbook jetzt für SOC-Vorgänge verwenden.

Nächste Schritte

Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Vorfallsaufgaben in Microsoft Sentinel mithilfe von Playbooks erstellen und ausführen.