Tutoriel : extraire des entités d’incident avec des actions non natives

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Le mappage d’entités enrichit les alertes et les incidents avec des informations essentielles pour les processus d’investigation et les actions correctives qui suivent.

Les playbooks Microsoft Sentinel incluent ces actions natives pour extraire des informations d’entité :

  • Comptes
  • DNS
  • Hachages de fichier
  • Hôtes
  • Adresses IP
  • URLs

En plus de ces actions, le mappage d’entités de règle analytique contient des types d’entités qui ne sont pas des actions natives, comme les programmes malveillants, les processus, la clé de Registre, la boîte aux lettres, etc. Dans ce tutoriel, vous allez apprendre à utiliser des actions non natives à l’aide de différentes actions intégrées pour extraire les valeurs appropriées.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un playbook avec un déclencheur d’incident et exécutez-le manuellement sur l’incident.
  • initialiser une variable de tableau.
  • Filtrer le type d’entité requis à partir d’autres types d’entités.
  • Analyser les résultats dans un fichier JSON.
  • Créer les valeurs en tant que contenu dynamique pour une utilisation ultérieure.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Pour suivre ce tutoriel, veillez à disposer des éléments suivants :

  • Un abonnement Azure. Créez un compte gratuit si vous n’en avez pas déjà un.

  • Un utilisateur Azure avec les rôles suivants attribués sur les ressources suivantes :

  • Un compte VirusTotal suffit pour ce tutoriel. Une implémentation de production nécessite un compte VirusTotal Premium.

Créer un playbook avec un déclencheur d’incident

  1. Pour Microsoft Sentinel dans le portail Azure, sélectionnez la page Configuration>Automation. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Automation.

  2. Dans la page Automation, sélectionnez Créer>Playbook avec le déclencheur d’incident.

  3. Dans l’Assistant Création d’un playbook, sous Informations de base, sélectionnez l’abonnement et le groupe de ressources, puis attribuez un nom au playbook.

  4. Sélectionnez Suivant : Connexions >.

    Sous Connexions, Microsoft Sentinel : se connecter avec une connexion d’identité managée doit être visible. Par exemple :

    Capture d’écran de la création d’un nouveau playbook avec un déclencheur d’incident.

  5. Sélectionnez Suivant : Vérifier et créer>.

  6. Sous Vérifier et créer, sélectionnez Créer et continuer à concevoir.

    Le concepteur d’application logique ouvre une application logique avec le nom de votre playbook.

    Capture d’écran du playbook dans le Concepteur d’application logique.

initialiser une variable de tableau

  1. Dans le Concepteur d'application logique, sous l’étape où vous souhaitez ajouter la variable, sélectionnez Nouvelle étape.

  2. Sous Choisir une opération, dans la zone de recherche, entrez variables comme filtre. Dans la liste d’actions, sélectionnez Initialiser la variable.

  3. Fournissez les informations suivantes pour votre variable :

    • Pour le nom de la variable, utilisez Entités.

    • Pour le type, sélectionnez Tableau.

    • Pour la valeur, commencez à taper des entités et sélectionnez Entités sous Contenu dynamique.

      Capture d’écran de l’initialisation de la variable du tableau.

Sélectionner un incident existant

  1. Dans Microsoft Sentinel, accédez à Incidents et sélectionnez un incident sur lequel vous souhaitez exécuter le playbook.

  2. Dans le volet des détails de l’incident sur la droite, sélectionnez Actions > Exécuter le playbook (préversion).

  3. Sous Playbooks, à côté du playbook que vous avez créé, sélectionnez Exécuter.

    Lorsque le playbook est déclenché, un message Le Playbook est correctement déclenché est visible en haut à droite.

  4. Sélectionnez Exécutions, puis à côté de votre playbook, sélectionnez Afficher l’exécution.

    La page d’exécution de l’application logique est visible.

  5. Sous Initialiser la variable, l’exemple de charge utile est visible sous Valeur. Notez l’exemple de charge utile pour une utilisation ultérieure.

    Capture d’écran de l’exemple de charge utile sous le champ de Valeur.

Filtrez le type d’entité requis à partir d’autres types d’entités

  1. Revenez à la page Automation et sélectionnez votre playbook.

  2. En dessous de l’étape où vous voulez ajouter une action, sélectionnez Nouvelle étape.

  3. Sous Choisir une action, dans la zone de recherche, entrez tableau de filtre comme filtre. Dans la liste des actions, sélectionnez Opérations de données.

    Capture d’écran du filtrage d’un tableau et de la sélections des opérations de données.

  4. Fournissez les informations suivantes pour votre tableau de filtres :

    1. Sous À partir du>contenu dynamique, sélectionnez la variable Entités que vous avez initialisée précédemment.

    2. Sélectionnez le premier champ Choisir une valeur (à gauche), puis sélectionnez Expression.

    3. Collez la valeur item()?[' kind'], puis sélectionnez OK.

      Copie d’écran du remplissage dans l’expression du tableau de filtres.

    4. Laissez le est égal à la valeur (ne le modifiez pas).

    5. Dans le deuxième champ Choisir une valeur (à droite), tapez Processus. Il doit s’agir d’une correspondance exacte avec la valeur dans le système.

      Notes

      Cette requête est sensible à la casse. Vérifiez que la valeur kind corresponde à la valeur de l’exemple de charge utile. Consultez l’exemple de charge utile à partir du moment où vous créez un playbook.

      Copie d’écran du remplissage des informations du tableau de filtres.

Analyser les résultats dans un fichier JSON

  1. Dans le Concepteur d'application logique, sous l’étape où vous souhaitez ajouter la variable, sélectionnez Nouvelle étape.

  2. Sélectionnez Opérations de données>Analyser JSON.

    Capture d’écran de la sélection Analyser JSON option sous les Opérations de données.

  3. Fournissez les informations suivantes pour votre variable :

    1. Sélectionnez Contenu, puis sousContenu dynamique > Tableau de filtres, sélectionnez Corps.

      Capture d’écran de la sélection du contenu dynamique sous la rubrique Contenu.

    2. Sous Schéma, collez un schéma JSON afin de pouvoir extraire des valeurs d’un tableau. Copiez l’exemple de charge utile que vous avez généré lors de la création du playbook.

      Capture d’écran de la copie de l’exemple de charge utile.

    3. Revenez au playbook, puis sélectionnez Utiliser l’exemple de charge utile pour générer le schéma.

      Capture d’écran montrant l’option « Utiliser l’exemple de charge utile pour générer le schéma » sélectionnée.

    4. Collez la charge utile. Ajoutez un crochet ouvrant ([) au début du schéma et fermez-les à la fin du schéma ].

      Capture d’écran du collage de l’exemple de charge utile.

      Capture d’écran du collage de la seconde partie de l’exemple de charge utile.

    5. Sélectionnez Terminé.

Utiliser les valeurs en tant que contenu dynamique pour une utilisation ultérieure

Vous pouvez maintenant utiliser les valeurs que vous avez créées comme contenu dynamique pour d’autres actions. Par exemple, si vous souhaitez envoyer un e-mail avec des données de processus, vous pouvez trouver l’action Analyser JSON sous Contenu dynamique, si vous n’avez pas modifié le nom de l’action.

Copie d’écran de l’envoi d’un email avec les données de processus.

Assurez-vous que votre playbook soit enregistré

Assurez-vous que le playbook soit enregistré et que vous pouvez maintenant utiliser votre playbook pour les opérations SOC.

Étapes suivantes

Passez à l’article suivant pour découvrir comment créer et effectuer des tâches d’incident dans Microsoft Sentinel à l’aide de playbooks.

Créer et exécuter des tâches d’incident dans Microsoft Sentinel à l’aide de playbooks