Tutoriel : Vérifier et enregistrer automatiquement les informations de réputation des adresses IP dans les incidents

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Un moyen rapide et simple d’évaluer la gravité d’un incident est de voir si les adresses IP qu’il contient sont connues comme sources d’activités malveillantes. Avoir un moyen de le faire automatiquement peut vous épargner beaucoup de temps et de travail.

Dans ce tutoriel, vous découvrez comment utiliser des règles et des playbooks d’automatisation Microsoft Sentinel pour vérifier automatiquement les adresses IP dans vos incidents par rapport à une source Threat Intelligence et enregistrer chaque résultat dans son incident approprié.

Grâce à ce didacticiel, vous pourrez :

  • Créer un playbook à partir d’un modèle
  • Configurer et autoriser les connexions du playbook à d’autres ressources
  • Créer une règle d’automatisation pour appeler le playbook
  • Voir les résultats de votre processus automatisé

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Pour suivre ce tutoriel, veillez à disposer des éléments suivants :

  • Un abonnement Azure. Créez un compte gratuit si vous n’en avez pas déjà un.

  • Un espace de travail Log Analytics avec la solution Sentinel Microsoft déployée sur celui-ci et les données qui y sont ingérées.

  • Un utilisateur Azure avec les rôles suivants attribués sur les ressources suivantes :

  • Un compte VirusTotal suffit pour ce tutoriel. Une implémentation de production nécessite un compte VirusTotal Premium.

Créer un playbook à partir d’un modèle

Microsoft Sentinel inclut des modèles de playbook prêts à l’emploi que vous pouvez personnaliser et utiliser pour automatiser un grand nombre d’objectifs et de scénarios SecOps de base. Trouvons-en un pour enrichir les informations sur les adresses IP dans nos incidents.

  1. Pour Microsoft Sentinel dans le portail Azure, sélectionnez la page Configuration>Automation. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Automation.

  2. Dans la page Automation, sélectionnez l’onglet Modèles de playbook (préversion).

  3. Filtrez la liste des modèles par étiquette :

    1. Sélectionnez le bouton bascule du filtre Étiquettes en haut de la liste (à droite du champ Rechercher).

    2. Décochez la case Sélectionner tout, puis cochez la case Enrichissement. Cliquez sur OK.

    Par exemple :

    Capture d’écran de la liste des modèles de playbook à filtrer par étiquettes.

  4. Sélectionnez le modèle Enrichissement IP - Rapport VirusTotal, puis sélectionnez Créer un playbook dans le volet d’informations.

    Capture d’écran de la sélection d’un modèle de playbook à partir duquel créer un playbook.

  5. L’Assistant Création d’un playbook s’ouvre. Sous l’onglet Informations de base :

    1. Sélectionnez votre Abonnement, votre Groupe de ressources et votre Région dans leurs listes déroulantes respectives.

    2. Modifiez le Nom du playbook en ajoutant « Get-VirusTotalIPReport » à la fin du nom suggéré. (De cette façon, vous serez en mesure de déterminer de quel modèle d’origine provient ce playbook, tout garantissant qu’il a un nom unique dans le cas où vous coulez créer un autre playbook à partir de ce même modèle.) Appelons-le « Get-VirusTotalIPReport-Tutorial-1 ».

    3. Laissez les deux dernières cases non cochées telles qu’elles sont, car nous n’avons pas besoin de ces services dans le cas présent :

      • Activer les journaux de diagnostic dans Log Analytics
      • Associer à l’environnement de service d’intégration

      Capture d’écran de l’onglet Informations de base de l’Assistant Création d’un playbook.

    4. Sélectionnez Suivant : Connexions >.

  6. Dans l’onglet Connexions, vous verrez toutes les connexions que ce playbook doit établir avec d’autres services ainsi que la méthode d’authentification qui sera utilisée si la connexion a déjà été établie dans un workflow d’application logique existant dans le même groupe de ressources.

    1. Laissez la connexion Microsoft Sentinel en l’état (elle doit indiquer « Se connecter avec une identité managée »).

    2. Si des connexions indiquent « Une nouvelle connexion sera configurée », vous serez invité à le faire à l’étape suivante du tutoriel. Si vous avez déjà des connexions à ces ressources, sélectionnez la flèche de développement à gauche de la connexion et choisissez une connexion existante dans la liste développée. Pour cet exercice, nous allons la laisser telle quelle.

      Capture d’écran de l’onglet Connexions de l’Assistant Création d’un playbook.

    3. Sélectionnez Suivant : Vérifier et créer>.

  7. Sous l’onglet Vérifier et créer, passez en revue toutes les informations que vous avez entrées telles qu’elles s’affichent ici, puis sélectionnez Créer et passer au concepteur.

    Capture d’écran de l’onglet Vérifier et créer de l’Assistant Création d’un playbook.

    Pendant le déploiement du playbook, vous voyez une série de notifications rapides de sa progression. Ensuite, le Concepteur d’application logique s’ouvre et affiche votre playbook. Nous devons encore autoriser les connexions de l’application logique aux ressources avec lesquelles elle interagit, pour que le playbook puisse s’exécuter. Nous allons ensuite examiner chacune des actions du playbook pour vérifier qu’elles sont adaptées à notre environnement, en y apportant des modifications si nécessaire.

    Capture d’écran du playbook ouvert dans la fenêtre du Concepteur d’application logique.

Autoriser les connexions de l’application logique

Rappelez-vous que lorsque nous avons créé le playbook à partir du modèle, on nous a dit que les connexions Collecteur de données Azure Log Analytics et VirusTotal seraient configurées ultérieurement.

Capture d’écran du passage en revue des informations de l’Assistant Création d’un playbook.

C’est ici que nous allons le faire.

Autoriser la connexion VirusTotal

  1. Sélectionnez l’action Pour chaque pour la développer et passez en revue son contenu (les actions qui seront effectuées pour chaque adresse IP).

    Capture d’écran de l’action de l’instruction de boucle for-each dans le Concepteur d’application logique.

  2. Le premier élément d’action que vous voyez est libellé Connexions et a un triangle d’avertissement orange.

    (Si au lieu de cela, cette première action est libellée Obtenir un rapport IP (préversion),, cela signifie que vous avez déjà d’une connexion à VirusTotal et que vous pouvez passer à l’étape suivante.)

    1. Sélectionnez l’action Connexions pour l’ouvrir.

    2. Sélectionnez l’icône dans la colonne Non valide pour la connexion affichée.

      Capture d’écran de la configuration d’une connexion VirusTotal non valide.

      Vous serez invité à entrer des informations de connexion.

      Capture d’écran montrant comment entrer la clé d’API et d’autres informations de connexion pour VirusTotal.

    3. Entrez « VirusTotal » comme Nom de la connexion.

    4. Pour x-api_key, copiez et collez la clé d’API à partir de votre compte VirusTotal.

    5. Sélectionnez Update.

    6. Vous voyez maintenant l’action Obtenir un rapport IP (préversion) correctement. (Si vous aviez déjà un compte VirusTotal, vous en serez déjà à ce stade.)

      Capture d’écran montrant l’action pour envoyer une adresse IP à VirusTotal et recevoir un rapport sur celle-ci.

Autoriser la connexion Log Analytics

L’action suivante est une Condition qui détermine le reste des actions de la boucle for-each en fonction du résultat du rapport sur l’adresse IP. Elle analyse le score de Réputation donné à l’adresse IP dans le rapport. Un score supérieur à 0 indique que l’adresse est sans danger ; un score inférieur à 0 indique qu’elle est malveillante.

Capture d’écran de l’action de condition dans le Concepteur d’application logique.

Que la condition soit vraie ou false, nous voulons envoyer les données du rapport à une table dans Log Analytics pour qu’elles puissent être interrogées et analysées, et ajouter un commentaire à l’incident.

Mais comme vous le verrez, nous avons d’autres connexions non valides que nous devons autoriser.

Capture d’écran montrant les scénarios true (vrai) et false (faux) pour une condition définie.

  1. Sélectionnez l’action Connexions dans le cadre True (Vrai).

  2. Sélectionnez l’icône dans la colonne Non valide pour la connexion affichée.

    Capture d’écran de la configuration de la connexion Log Analytics non valide.

    Vous serez invité à entrer des informations de connexion.

    Capture d’écran montrant comment entrer l’ID et la clé de l’espace de travail ainsi que d’autres informations de connexion pour Log Analytics.

  3. Entrez « Log Analytics » comme Nom de la connexion.

  4. Pour Clé d’espace de travail et ID d’espace de travail, copiez et collez la clé et l’ID à partir des paramètres de votre espace de travail Log Analytics. Vous les trouverez dans la page Administration des agents, dans la zone d’expansion des instructions de l’agent Log Analytics.

  5. Sélectionnez Update.

  6. Vous voyez maintenant l’action Envoyer des données correctement. (Si vous aviez déjà une connexion Log Analytics depuis Logic Apps, vous en serez déjà à ce stade.)

    Capture d’écran montrant l’action pour envoyer un enregistrement de rapport VirusTotal à une table dans Log Analytics.

  7. Sélectionnez maintenant l’action Connexions dans le cadre False (Faux). Cette action utilise la même connexion que celle du cadre True (Vrai).

  8. Vérifiez que la connexion appelée Log Analytics est marquée, puis sélectionnez Annuler. Ceci fait que l’action s’affichera désormais correctement dans le playbook.

    Capture d’écran de la configuration de la deuxième connexion Log Analytics non valide.

    Vous voyez maintenant l’intégralité de votre playbook correctement configuré.

  9. C’est très important ! N’oubliez pas de sélectionner Enregistrer en haut de la fenêtre du Concepteur d’application logique. Une fois que vous voyez des messages de notification indiquant que votre playbook a été enregistré correctement, vous voyez votre playbook listé sous l’onglet Playbooks actifs* dans la page Automation.

Créer une tâche d'automatisation

Maintenant, pour exécuter ce playbook, vous devez créer une règle d’automatisation qui va s’exécuter quand des incidents sont créés et appeler le playbook.

  1. Dans la page Automation, sélectionnez + Créer dans la bannière du haut. Dans le menu déroulant, sélectionnez Règle d’automatisation.

    Capture d’écran de la création d’une règle d’automatisation à partir de la page Automation.

  2. Dans le panneau Créer une règle d’automatisation, nommez la règle « Tutoriel : Enrichir les informations IP ».

    Capture d’écran de la création d’une règle d’automatisation, de son nommage et de l’ajout d’une condition.

  3. Sous Conditions, sélectionnez + Ajouter et Condition (Et).

    Capture d’écran de l’ajout d’une condition à une règle d’automatisation.

  4. Sélectionnez Adresse IP dans la liste déroulante des propriétés à gauche. Sélectionnez Contient dans la liste déroulante des opérateurs, puis laissez la valeur du champ vide. Cela signifie en fait que la règle va s’appliquer aux incidents dont le champ Adresse IP ne contient rien.

    Nous ne voulons pas empêcher des règles d’analyse d’être couvertes par cette automatisation, mais nous ne voulons pas non plus que l’automatisation soit déclenchée inutilement : nous allons donc limiter la couverture aux incidents qui contiennent des entités d’adresse IP.

    Capture d’écran de la définition d’une condition à ajouter à une règle d’automatisation.

  5. Sous Actions, sélectionnez Exécuter le playbook dans la liste déroulante.

  6. Sélectionnez la nouvelle liste déroulante qui apparaît.

    Capture d’écran montrant comment sélectionner votre playbook dans la liste des playbooks - partie 1.

    Vous verrez une liste de tous les playbooks de votre abonnement. Les playbooks apparaissant en grisé sont ceux auxquels vous n’avez pas accès. Dans la zone de texte Rechercher les playbooks, commencez à taper le nom (ou n’importe quelle partie du nom ) du playbook que nous avons créé ci-dessus. La liste des playbooks sera filtrée dynamiquement avec chaque lettre que vous tapez.

    Capture d’écran montrant comment sélectionner votre playbook dans la liste des playbooks - partie 2.

    Quand vous voyez votre playbook dans la liste, sélectionnez-le.

    Capture d’écran montrant comment sélectionner votre playbook dans la liste des playbooks - partie 3.

    Si le playbook est en grisé, sélectionnez le lien Gérer les autorisations du playbook (dans le paragraphe en petits caractères situé sous l’endroit où vous avez sélectionné un playbook - voir la capture d’écran ci-dessus). Dans le panneau qui s’ouvre, sélectionnez le groupe de ressources contenant le playbook dans la liste des groupes de ressources disponibles, puis sélectionnez Appliquer.

  7. Resélectionnez + Ajouter une action. Maintenant, dans la nouvelle liste déroulante d’action qui apparaît, sélectionnez Ajouter des étiquettes.

  8. Sélectionnez + Ajouter une étiquette. Entrez « Tutorial-Enriched IP addresses » comme texte de l’étiquette, puis sélectionnez OK.

    Capture d’écran montrant comment ajouter une étiquette à une règle d’automatisation.

  9. Laissez les autres paramètres tels qu’ils sont, puis sélectionnez Appliquer.

Vérifier la réussite de l’automatisation

  1. Dans la page Incidents, entrez le texte de l’étiquetteTutorial-Enriched IP addresses dans la barre de recherche, puis appuyez sur la touche Entrée pour filtrer la liste des incidents ayant cette étiquette appliquée. Ce sont les incidents sur lesquels notre règle d’automatisation s’est exécutée.

  2. Ouvrez un ou plusieurs de ces incidents, et regardez s’il y a ici des commentaires sur les adresses IP. La présence de ces commentaires indique que le playbook s’est exécuté sur l’incident.

Nettoyer les ressources

Si vous ne voulez pas continuer à utiliser ce scénario d’automatisation, supprimez le playbook et la règle d’automatisation que vous avez créés en procédant comme suit :

  1. Dans la page Automation, sélectionnez l’onglet Playbooks actifs.

  2. Entrez le nom (ou une partie du nom) du playbook que vous avez créé dans la barre de recherche.
    (S’il n’apparaît pas, vérifiez que tous les filtres sont définis sur Sélectionner tout.)

  3. Cochez la case en regard de votre playbook dans la liste, puis sélectionnez Supprimer dans la bannière du haut.
    (Si vous ne voulez pas le supprimer, vous pouvez sélectionner Désactiver à la place.)

  4. Sélectionnez l’onglet Règles d’automatisation.

  5. Entrez le nom (ou une partie du nom) de la règle d’automatisation que vous avez créée dans la barre de recherche.
    (S’il n’apparaît pas, vérifiez que tous les filtres sont définis sur Sélectionner tout.)

  6. Cochez la case en regard de votre règle d’automatisation dans la liste, puis sélectionnez Supprimer dans la bannière du haut.
    (Si vous ne voulez pas la supprimer, vous pouvez sélectionner Désactiver à la place.)

Étapes suivantes

Maintenant que vous avez découvert comment automatiser un scénario d’enrichissement d’incident de base, vous pouvez en savoir plus sur l’automatisation et d’autres scénarios dans lesquels vous pouvez l’utiliser.