Eseményindítók és műveletek használata a Microsoft Sentinel forgatókönyveiben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a dokumentum ismerteti a Logic Apps Microsoft Sentinel-összekötő eseményindítóinak és műveleteinek típusait, amelyeket a forgatókönyvek a Microsoft Sentinel és a munkaterület tábláinak információinak kezelésére használhatnak. Azt is bemutatja, hogyan juthat hozzá a Microsoft Sentinel bizonyos típusú információihoz, amelyekre valószínűleg szüksége lesz.

Ez a dokumentum, valamint a forgatókönyvek Microsoft Sentinelhez való hitelesítéséről szóló útmutatónk a forgatókönyvek egyéb dokumentációjához is tartozik – oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben. Ez a három dokumentum oda-vissza hivatkozik egymásra.

A forgatókönyvek bemutatása: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben.

A Microsoft Sentinel-összekötő teljes specifikációját a Logic Apps-összekötő dokumentációjában találja.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

A szükséges engedélyek

Szerepkörök \ Csatlakozás or-összetevők Triggerek "Get" műveletek Frissítési incidens,
megjegyzés hozzáadása
Microsoft Sentinel-olvasó
Microsoft Sentinel-válaszadó /közreműködője

További információ a Microsoft Sentinel engedélyeiről.

A Microsoft Sentinel eseményindítóinak összegzése

Bár a Microsoft Sentinel-összekötő többféleképpen is használható, az összekötő összetevői három folyamatra oszthatók, amelyeket egy másik Microsoft Sentinel-előfordulás aktivál:

Eseményindító (teljes név a Logic Apps Tervező) Mikor lehet használni Ismert korlátozások
Microsoft Sentinel-incidens (előzetes verzió) A legtöbb incidensautomatizálási forgatókönyv esetében ajánlott.

A forgatókönyv incidensobjektumokat fogad, beleértve az entitásokat és a riasztásokat. Ennek az eseményindítónak a használatával a forgatókönyv egy Automation-szabályhoz csatolható, így aktiválható, ha a Microsoft Sentinel egy incidenst hoz létre (és most is frissít), és az automatizálási szabályok minden előnye alkalmazható az incidensre.		 Az eseményindítóval rendelkező forgatókönyvek nem támogatják a riasztások csoportosítását, ami azt jelenti, hogy csak az egyes incidensekkel küldött első riasztást kapják meg.

FRISSÍTÉS: 2023 februárjától a riasztások csoportosítása támogatott ehhez az eseményindítóhoz.
Microsoft Sentinel-riasztás (előzetes verzió) Olyan forgatókönyvek esetében ajánlott, amelyeket manuálisan kell futtatni a riasztásokon a Microsoft Sentinel portálról, vagy olyan ütemezett elemzési szabályok esetén, amelyek nem hoznak létre incidenseket a riasztásaikhoz. Ez az eseményindító nem használható a Microsoft biztonsági elemzési szabályai által létrehozott riasztásokra adott válaszok automatizálására.

Az eseményindítót használó forgatókönyveket nem hívhatják meg automatizálási szabályok.
Microsoft Sentinel entitás (előzetes verzió) Olyan forgatókönyvekhez használható, amelyeket manuálisan kell futtatni egy adott entitáson egy vizsgálat vagy fenyegetéskeresési környezetből. Az eseményindítót használó forgatókönyveket nem hívhatják meg automatizálási szabályok.

A folyamatok által használt sémák nem azonosak. Az ajánlott eljárás a Microsoft Sentinel incidensindító folyamatának használata, amely a legtöbb forgatókönyvre alkalmazható.

Incidens dinamikus mezői

A Microsoft Sentinel-incidenstől kapott incidensobjektum a következő dinamikus mezőket tartalmazza:

  • Incidens tulajdonságai (Az incidens neveként jelenik meg)

  • Riasztások (tömb)

    • Riasztás tulajdonságai ("Riasztás: mezőnév" néven jelenik meg)

      Riasztási tulajdonság (például Riasztás: <tulajdonságnév>) kiválasztásakor a rendszer automatikusan létrehoz egy-egyciklust, mivel egy incidens több riasztást is tartalmazhat.

  • Entitások (egy riasztás összes entitásának tömbje)

  • Munkaterület-információs mezők (az incidenst létrehozó Sentinel-munkaterületre vonatkozik)

    • Előfizetés azonosítója
    • Munkaterület neve
    • Munkaterület azonosítója
    • Erőforráscsoport neve

Microsoft Sentinel-műveletek összefoglalása

Összetevő Mikor lehet használni
Riasztás – Incidens lekérése A Riasztás eseményindítóval kezdődő forgatókönyvekben. Hasznos az incidens tulajdonságainak lekéréséhez, vagy az incidens ARM-azonosítójának lekéréséhez, amelyet az incidens frissítéséhez vagy megjegyzés hozzáadása incidensműveletekhez használ.
Incidens lekérése Forgatókönyv külső forrásból vagy nem Sentinel-eseményindítóval történő indításakor. Azonosítsa az incidens ARM-azonosítójával. Lekéri az incidens tulajdonságait és megjegyzéseit.
Frissítési incidens Az incidens állapotának módosításához (például az incidens lezárásakor) rendeljen hozzá egy tulajdonost, vegyen fel vagy távolítson el egy címkét, vagy módosítsa annak súlyosságát, címét vagy leírását.
Megjegyzések hozzáadása incidenshez Az incidens kibővítése külső forrásokból gyűjtött információkkal; az entitásokra vonatkozó forgatókönyv által tett műveletek naplózása; az incidensvizsgálat szempontjából értékes további információk biztosítása.
Entitások – Entitástípus lekérése <> Olyan forgatókönyvekben, amelyek egy adott entitástípuson (IP, fiók, gazdagép, URL vagy FileHash) dolgoznak, amely a forgatókönyv létrehozásakor ismert, és képesnek kell lennie elemezni és az egyedi mezőkön dolgozni.

Incidensek használata – használati példák

Tipp.

A műveletek frissítik az incidenst , és megjegyzést adnak az incidenshez , és az incidens ARM-azonosítóját igénylik.

Használja a Riasztás – Incidens lekérése műveletet előre az incidens ARM-azonosítójának lekéréséhez.

Incidens frissítése

  • A forgatókönyvet a Microsoft Sentinel-incidens aktiválja

    Incidensindító egyszerű frissítési folyamat példája

  • A forgatókönyvet a Microsoft Sentinel-riasztás aktiválja

    Riasztási eseményindító egyszerű frissítési incidensfolyamat példája

Incidensadatok használata

Alapszintű forgatókönyv az incidens részleteinek elküldéséhez e-mailben:

  • A forgatókönyvet a Microsoft Sentinel-incidens aktiválja

    Incidensindító egyszerű Folyamat lekérése példa

  • A forgatókönyvet a Microsoft Sentinel-riasztás aktiválja

    Riasztási eseményindító egyszerű Incidens lekérése folyamat példája

Megjegyzés hozzáadása az incidenshez

  • A forgatókönyvet a Microsoft Sentinel-incidens aktiválja

    Incidensindító egyszerű megjegyzés hozzáadása példa

  • A forgatókönyvet a Microsoft Sentinel-riasztás aktiválja

Felhasználó letiltása

  • A forgatókönyvet a Microsoft Sentinel Entity aktiválja

    Képernyőkép egy entitás-eseményindító forgatókönyvben a felhasználó letiltásához végrehajtandó műveletekről.

Entitás forgatókönyvei incidensazonosító nélkül

Az Entity triggerrel létrehozott forgatókönyvek gyakran használják az Incidens ARM-azonosító mezőjét (például egy incidens frissítéséhez az entitáson végzett művelet után).

Ha egy ilyen forgatókönyv olyan környezetben aktiválódik , amely nem kapcsolódik egy incidenshez (például fenyegetéskereséskor), akkor nincs olyan incidens , amelynek azonosítója feltöltheti ezt a mezőt. Ebben az esetben a mező null értékkel lesz kitöltve.

Ennek eredményeképpen előfordulhat, hogy a forgatókönyv nem fut a befejezésig. A hiba elkerülése érdekében ajánlott létrehozni egy feltételt, amely ellenőrzi az incidensazonosító mezőben szereplő értéket, mielőtt bármilyen műveletet végrehajtana rajta, és eltérő műveletkészletet ír elő, ha a mező null értékkel rendelkezik – vagyis ha a forgatókönyv nem incidensből fut.

  1. Az Incidens ARM-azonosító mezőjére hivatkozó első művelet előtt adjon hozzá egy Feltétel típusú lépést.

  2. Válassza az Érték kiválasztása mezőt, és adja meg a Dinamikus tartalom hozzáadása párbeszédpanelt.

  3. Válassza a Kifejezés lapot és a hossz(gyűjtemény) függvényt.

  4. Válassza a Dinamikus tartalom lapot és az Incidens ARM-azonosító mezőjét .

  5. Ellenőrizze az eredményként kapott kifejezést, és válassza az length(triggerBody()?['IncidentArmID']) OK gombot.

    Képernyőkép a dinamikus tartalom párbeszédpanelről egy forgatókönyv-feltétel mezőinek kiválasztásához.

  6. Állítsa a feltétel operátorát és értékét "nagyobb, mint" és "0" értékre.

    Az előző képernyőképen ismertetett feltétel végleges definíciójának képernyőképe.

  7. A True keretben adja hozzá azokat a műveleteket, amelyeket akkor kell végrehajtani, ha a forgatókönyv incidenskörnyezetből fut.

    A Hamis keretben adja hozzá azokat a műveleteket, amelyeket akkor kell végrehajtani, ha a forgatókönyv nem incidensalapú környezetből fut.

Adott entitástípusok működése

Az Entitások dinamikus mező JSON-objektumok tömbje, amelyek mindegyike egy entitást jelöl. Minden entitástípus saját sémával rendelkezik az egyedi tulajdonságaitól függően.

Az "Entitások – Entitástípus lekérése<>" művelet a következőket teszi lehetővé:

  • Az entitások tömbjének szűrése a kért típus szerint.
  • Elemezheti az ilyen típusú mezőket, hogy további műveletekben dinamikus mezőként lehessen használni őket.

A bemenet az Entitások dinamikus mező.

A válasz entitások tömbje, ahol a speciális tulajdonságok elemezve vannak, és közvetlenül használhatók az egyes hurkokhoz.

Jelenleg támogatott entitástípusok:

Más entitástípusok esetében hasonló funkciók érhetők el a Logic Apps beépített műveleteivel:

  • Szűrje az entitások tömböt a kért típus szerint a Szűrőtömb használatával.

  • Elemezheti az ilyen típusú mezőket, így dinamikus mezőként használhatók további műveletekben a JSON-elemzéssel.

Egyéni adatokkal végzett munka

A Riasztás egyéni részletek dinamikus mezője, amely az incidens-eseményindítóban érhető el, JSON-objektumok tömbje, amelyek mindegyike egy riasztás egyéni részleteit jelöli. Az egyéni részletek olyan kulcs-érték párok, amelyek lehetővé teszik a riasztásban lévő események információinak felszínre hozását, hogy azok az incidens részeként megjeleníthetők, nyomon követhetők és elemezhetők legyenek.

Mivel a riasztás ezen mezője testreszabható, a séma a felszínre került esemény típusától függ. Az esemény egy példányából kell adatokat szolgáltatnia ahhoz, hogy létrehozhassa azt a sémát, amely meghatározza az egyéni részletek mező elemzésének módját.

Lásd a következő példát:

Az elemzési szabályban meghatározott egyéni részletek.

Ezekben a kulcs-érték párokban a kulcs (a bal oldali oszlop) a létrehozott egyéni mezőket, az érték (a jobb oldali oszlop) pedig az egyéni mezőket kitöltő eseményadatok mezőit jelöli.

A séma létrehozásához a következő JSON-kódot adhatja meg. A kód tömbökként jeleníti meg a kulcsneveket, a tömbök elemeiként pedig az értékeket (tényleges értékként, nem pedig az értékeket tartalmazó oszlopként).

{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }

  1. Adjon hozzá egy új lépést a JSON-elemzés beépített műveletével. A kereséshez írja be a "parse json" kifejezést a Keresőmezőbe.

  2. Keresse meg és válassza ki a Riasztás egyéni adatai lehetőséget a dinamikus tartalomlistában , az incidens eseményindítója alatt.

    Válassza az

    Ez minden ciklushoz létrehoz egy-egy eseményt, mivel egy incidens riasztások tömbét tartalmazza.

  3. Válassza a Minta hasznos adatainak használata sémahivatkozás létrehozásához lehetőséget.

    Válassza a

  4. Adjon meg egy hasznos adatmintát. A minta hasznos adatok kereséséhez keresse meg a Log Analyticsben a riasztás egy másik példányát, és másolja az egyéni adatobjektumot (a Bővített tulajdonságok területen). A Log Analytics-adatok elérése az Azure Portal Naplók lapján vagy a Defender portál speciális vadászlapján . Az alábbi képernyőképen a fent látható JSON-kódot használtuk.

    Adja meg a JSON-minta hasznos adatait.

  5. Az egyéni mezők készen állnak a Tömb típusú dinamikus mezők használatára. Itt láthatja a tömböt és annak elemeit, mind a sémában, mind a dinamikus tartalom alatt megjelenő listában, amelyet fent ismertettünk.

    A séma használatra kész mezői.

Következő lépések

Ebben a cikkben többet is megtudhatott arról, hogyan használhatja a Microsoft Sentinel forgatókönyveinek eseményindítóit és műveleteit a fenyegetésekre való reagáláshoz.