Tutorial: Extrahieren von Incidententitäten mit nicht nativen Aktionen

Entitätszuordnungen reichern Warnungen und Vorfälle mit Informationen an, die für alle folgenden Untersuchungsprozesse und Abhilfemaßnahmen unerlässlich sind.

Microsoft Sentinel Playbooks enthalten die folgenden nativen Aktionen zum Extrahieren von Entitätsinformationen:

• Konten
• DNS
• Dateihashes
• Hosts
• Ips
• URLs

Zusätzlich zu diesen Aktionen enthält die Analyseregelentitätszuordnung Entitätstypen, die keine nativen Aktionen sind, z. B. Schadsoftware, Prozess, Registrierungsschlüssel, Postfach usw. In diesem Tutorial erfahren Sie, wie Sie mit nicht nativen Aktionen arbeiten, indem Sie verschiedene integrierte Aktionen verwenden, um die relevanten Werte zu extrahieren.

In diesem Tutorial wird Folgendes vermittelt:

• Erstellen Sie ein Playbook mit einem Incidenttrigger, und führen Sie es manuell für den Incident aus.
• Initialisieren Sie eine Arrayvariable.
• Filtern Sie den erforderlichen Entitätstyp aus anderen Entitätstypen.
• Analysieren Sie die Ergebnisse in einer JSON-Datei.
• Erstellen Sie die Werte als dynamischen Inhalt für die zukünftige Verwendung.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Stellen Sie für dieses Tutorial sicher, dass Sie über Folgendes verfügen:

• Ein Azure-Abonnement. Erstellen Sie ein kostenloses Konto , falls Sie noch kein Konto besitzen.

• Ein Azure Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:

  • Microsoft Sentinel Mitwirkender im Log Analytics-Arbeitsbereich, in dem Microsoft Sentinel bereitgestellt wird.
  • Logik-App-Mitwirkender und Besitzer oder gleichwertige Ressourcengruppe, die das in diesem Tutorial erstellte Playbook enthält.

• Ein (kostenloses) VirusTotal-Konto reicht für dieses Tutorial aus. Eine Produktionsimplementierung erfordert ein VirusTotal Premium-Konto.

Erstellen eines Playbooks mit einem Incidenttrigger

1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurationsautomatisierung aus>. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsautomatisierung> aus.

2. Wählen Sieauf der Seite Automatisierungdie Option Playbook mit Incidenttrigger erstellen aus.>

3. Wählen Sie im Assistenten zum Erstellen eines Playbooks unter Grundlagen das Abonnement und die Ressourcengruppe aus, und geben Sie dem Playbook einen Namen.

4. Wählen Sie Weiter: Verbindungen >aus.

   Unter Verbindungen sollte die Microsoft Sentinel – Verbindung mit verwalteter Identität herstellen angezeigt werden. Zum Beispiel:

   

5. Wählen Sie Weiter: Überprüfen und erstellen >Sie .

6. Wählen Sie unter Überprüfen und erstellen die Option Erstellen aus, und fahren Sie mit dem Designer fort.

   Der Logik-App-Designer öffnet eine Logik-App mit dem Namen Ihres Playbooks.

   

Initialisieren einer Arrayvariablen

1. Wählen Sie im Logik-App-Designer unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.

2. Geben Sie unter Vorgang auswählen im Suchfeld Variablen als Filter ein. Wählen Sie in der Liste der Aktionen Variable initialisieren aus.

3. Geben Sie diese Informationen zu Ihrer Variablen an:

   1. Verwenden Sie für den Variablennamen Entitäten.

   2. Wählen Sie für den Typ Array aus.

   3. Zeigen Sie für den Wert auf das Feld Wert , und wählen Sie in der blauen Symbolgruppe auf der linken Seite fx aus.

      

   4. Wählen Sie im daraufhin geöffneten Dialogfeld die Registerkarte Dynamischer Inhalt aus, und geben Sie im Suchfeld Entitäten ein.

   5. Wählen Sie in der Liste Entitäten und dann Hinzufügen aus.

      

Auswählen eines vorhandenen Incidents

1. Navigieren Sie Microsoft Sentinel zu Incidents, und wählen Sie einen Incident aus, für den Sie das Playbook ausführen möchten.

2. Wählen Sie auf der seite incident auf der rechten Seite Aktionen > Playbook ausführen (Vorschau) aus.

3. Wählen Sie unter Playbooks neben dem von Ihnen erstellten Playbookdie Option Ausführen aus.

   Wenn das Playbook ausgelöst wird, wird ein Playbook erfolgreich ausgelöst Meldung ist oben rechts sichtbar.

4. Wählen Sie Ausführungen aus, und wählen Sie neben Ihrem Playbook Ausführung anzeigen aus.

   Die Seite "Logik-App-Ausführung" wird angezeigt.

5. Unter Variable initialisieren ist die Beispielnutzlast unter Wert sichtbar. Beachten Sie die Beispielnutzlast zur späteren Verwendung.

   

Filtern des erforderlichen Entitätstyps aus anderen Entitätstypen

1. Navigieren Sie zurück zur Seite Automation , und wählen Sie Ihr Playbook aus.

2. Wählen Sie unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.

3. Geben Sie unter Aktion auswählen im Suchfeld Filterarray als Filter ein. Wählen Sie in der Liste der Aktionen Die Option Datenvorgänge aus.

   

4. Geben Sie diese Informationen zu Ihrem Filterarray an:

   1. Wählen Sie unter Aus>dynamischem Inhalt die Variable Entitäten aus, die Sie zuvor initialisiert haben.

   2. Wählen Sie das erste Feld Wert auswählen (auf der linken Seite) und dann Ausdruck aus.

   3. Fügen Sie den Wert item()?[' ein. kind'], und wählen Sie OK aus.

      

   4. Belassen Sie die ist gleich dem Wert (ändern Sie ihn nicht).

   5. Geben Sie im zweiten Feld Wert auswählen (rechts) den Text Process ein. Dies muss eine genaue Übereinstimmung mit dem Wert im System sein.

      Hinweis

      Bei dieser Abfrage wird die Groß-/Kleinschreibung beachtet. Stellen Sie sicher, dass der kind Wert mit dem Wert in der Beispielnutzlast übereinstimmt. Sehen Sie sich die Beispielnutzlast an, wenn Sie ein Playbook erstellen.

      

Analysieren der Ergebnisse in einer JSON-Datei

1. Wählen Sie in Ihrer Logik-App unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.

2. Wählen Sie Datenvorgänge>JSON analysieren aus.

   

3. Geben Sie diese Informationen zu Ihrem Vorgang an:

   1. Wählen Sie Inhalt und unter Array dynamischer Inhaltsfilter> die Option Text aus.

      

   2. Fügen Sie unter Schema ein JSON-Schema ein, damit Sie Werte aus einem Array extrahieren können. Kopieren Sie die Beispielnutzlast, die Sie beim Erstellen des Playbooks generiert haben.

      

   3. Kehren Sie zum Playbook zurück, und wählen Sie Beispielnutzlast zum Generieren eines Schemas verwenden aus.

      

   4. Fügen Sie die Nutzlast ein. Fügen Sie am Anfang des Schemas eine öffnende eckige Klammer ([) hinzu, und schließen Sie sie am Ende des Schemas ].

      

      

   5. Wählen Sie Fertig aus.

Verwenden der neuen Werte als dynamischer Inhalt für die zukünftige Verwendung

Sie können nun die von Ihnen erstellten Werte als dynamischen Inhalt für weitere Aktionen verwenden. Wenn Sie beispielsweise eine E-Mail mit Prozessdaten senden möchten, finden Sie die Aktion JSON analysieren unter Dynamischer Inhalt, wenn Sie den Aktionsnamen nicht geändert haben.

Stellen Sie sicher, dass Ihr Playbook gespeichert ist.

Stellen Sie sicher, dass das Playbook gespeichert ist und Sie ihr Playbook jetzt für SOC-Vorgänge verwenden können.

Nächste Schritte

Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Incidentaufgaben in Microsoft Sentinel mithilfe von Playbooks erstellen und ausführen.

Erstellen und Ausführen von Incidentaufgaben in Microsoft Sentinel mithilfe von Playbooks