Eseményindítók és műveletek használata a Microsoft Sentinel forgatókönyveiben
Ez a dokumentum ismerteti a Logic Apps Microsoft Sentinel-összekötő eseményindítóinak és műveleteinek típusait, amelyeket a forgatókönyvek a Microsoft Sentinel és a munkaterület tábláinak információinak kezelésére használhatnak. Azt is bemutatja, hogyan juthat hozzá a Microsoft Sentinel bizonyos típusú információihoz, amelyekre valószínűleg szüksége lesz.
Ez a dokumentum, valamint a forgatókönyvek Microsoft Sentinelhez való hitelesítéséről szóló útmutatónk a forgatókönyvek egyéb dokumentációjához is tartozik – oktatóanyag: Forgatókönyvek használata automatizálási szabályokkal a Microsoft Sentinelben. Ez a három dokumentum oda-vissza hivatkozik egymásra.
A forgatókönyvek bemutatása: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben.
A Microsoft Sentinel-összekötő teljes specifikációját a Logic Apps-összekötő dokumentációjában találja.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A szükséges engedélyek
Szerepkörök \ Csatlakozás or-összetevők | Triggerek | "Get" műveletek | Frissítési incidens, megjegyzés hozzáadása |
---|---|---|---|
Microsoft Sentinel-olvasó | ✓ | ✓ | ✗ |
Microsoft Sentinel-válaszadó /közreműködője | ✓ | ✓ | ✓ |
További információ a Microsoft Sentinel engedélyeiről.
A Microsoft Sentinel eseményindítóinak összegzése
Bár a Microsoft Sentinel-összekötő többféleképpen is használható, az összekötő összetevői három folyamatra oszthatók, amelyeket egy másik Microsoft Sentinel-előfordulás aktivál:
Eseményindító (teljes név a Logic Apps Tervező) | Mikor lehet használni | Ismert korlátozások |
---|---|---|
Microsoft Sentinel-incidens (előzetes verzió) | A legtöbb incidensautomatizálási forgatókönyv esetében ajánlott. A forgatókönyv incidensobjektumokat fogad, beleértve az entitásokat és a riasztásokat. Ennek az eseményindítónak a használatával a forgatókönyv egy Automation-szabályhoz csatolható, így aktiválható, ha a Microsoft Sentinel egy incidenst hoz létre (és most is frissít), és az automatizálási szabályok minden előnye alkalmazható az incidensre. |
Az eseményindítóval rendelkező forgatókönyvek nem támogatják a riasztások csoportosítását, ami azt jelenti, hogy csak az egyes incidensekkel küldött első riasztást kapják meg. FRISSÍTÉS: 2023 februárjától a riasztások csoportosítása támogatott ehhez az eseményindítóhoz. |
Microsoft Sentinel-riasztás (előzetes verzió) | Olyan forgatókönyvek esetében ajánlott, amelyeket manuálisan kell futtatni a riasztásokon a Microsoft Sentinel portálról, vagy olyan ütemezett elemzési szabályok esetén, amelyek nem hoznak létre incidenseket a riasztásaikhoz. | Ez az eseményindító nem használható a Microsoft biztonsági elemzési szabályai által létrehozott riasztásokra adott válaszok automatizálására. Az eseményindítót használó forgatókönyveket nem hívhatják meg automatizálási szabályok. |
Microsoft Sentinel entitás (előzetes verzió) | Olyan forgatókönyvekhez használható, amelyeket manuálisan kell futtatni egy adott entitáson egy vizsgálat vagy fenyegetéskeresési környezetből. | Az eseményindítót használó forgatókönyveket nem hívhatják meg automatizálási szabályok. |
A folyamatok által használt sémák nem azonosak. Az ajánlott eljárás a Microsoft Sentinel incidensindító folyamatának használata, amely a legtöbb forgatókönyvre alkalmazható.
Incidens dinamikus mezői
A Microsoft Sentinel-incidenstől kapott incidensobjektum a következő dinamikus mezőket tartalmazza:
Incidens tulajdonságai (Az incidens neveként jelenik meg)
Riasztások (tömb)
Riasztás tulajdonságai ("Riasztás: mezőnév" néven jelenik meg)
Riasztási tulajdonság (például Riasztás: <tulajdonságnév>) kiválasztásakor a rendszer automatikusan létrehoz egy-egyciklust, mivel egy incidens több riasztást is tartalmazhat.
Entitások (egy riasztás összes entitásának tömbje)
Munkaterület-információs mezők (az incidenst létrehozó Sentinel-munkaterületre vonatkozik)
- Előfizetés azonosítója
- Munkaterület neve
- Munkaterület azonosítója
- Erőforráscsoport neve
Microsoft Sentinel-műveletek összefoglalása
Összetevő | Mikor lehet használni |
---|---|
Riasztás – Incidens lekérése | A Riasztás eseményindítóval kezdődő forgatókönyvekben. Hasznos az incidens tulajdonságainak lekéréséhez, vagy az incidens ARM-azonosítójának lekéréséhez, amelyet az incidens frissítéséhez vagy megjegyzés hozzáadása incidensműveletekhez használ. |
Incidens lekérése | Forgatókönyv külső forrásból vagy nem Sentinel-eseményindítóval történő indításakor. Azonosítsa az incidens ARM-azonosítójával. Lekéri az incidens tulajdonságait és megjegyzéseit. |
Frissítési incidens | Az incidens állapotának módosításához (például az incidens lezárásakor) rendeljen hozzá egy tulajdonost, vegyen fel vagy távolítson el egy címkét, vagy módosítsa annak súlyosságát, címét vagy leírását. |
Megjegyzések hozzáadása incidenshez | Az incidens kibővítése külső forrásokból gyűjtött információkkal; az entitásokra vonatkozó forgatókönyv által tett műveletek naplózása; az incidensvizsgálat szempontjából értékes további információk biztosítása. |
Entitások – Entitástípus lekérése <> | Olyan forgatókönyvekben, amelyek egy adott entitástípuson (IP, fiók, gazdagép, URL vagy FileHash) dolgoznak, amely a forgatókönyv létrehozásakor ismert, és képesnek kell lennie elemezni és az egyedi mezőkön dolgozni. |
Incidensek használata – használati példák
Tipp.
A műveletek frissítik az incidenst , és megjegyzést adnak az incidenshez , és az incidens ARM-azonosítóját igénylik.
Használja a Riasztás – Incidens lekérése műveletet előre az incidens ARM-azonosítójának lekéréséhez.
Incidens frissítése
A forgatókönyvet a Microsoft Sentinel-incidens aktiválja
A forgatókönyvet a Microsoft Sentinel-riasztás aktiválja
Incidensadatok használata
Alapszintű forgatókönyv az incidens részleteinek elküldéséhez e-mailben:
A forgatókönyvet a Microsoft Sentinel-incidens aktiválja
A forgatókönyvet a Microsoft Sentinel-riasztás aktiválja
Megjegyzés hozzáadása az incidenshez
A forgatókönyvet a Microsoft Sentinel-incidens aktiválja
A forgatókönyvet a Microsoft Sentinel-riasztás aktiválja
Felhasználó letiltása
A forgatókönyvet a Microsoft Sentinel Entity aktiválja
Entitás forgatókönyvei incidensazonosító nélkül
Az Entity triggerrel létrehozott forgatókönyvek gyakran használják az Incidens ARM-azonosító mezőjét (például egy incidens frissítéséhez az entitáson végzett művelet után).
Ha egy ilyen forgatókönyv olyan környezetben aktiválódik , amely nem kapcsolódik egy incidenshez (például fenyegetéskereséskor), akkor nincs olyan incidens , amelynek azonosítója feltöltheti ezt a mezőt. Ebben az esetben a mező null értékkel lesz kitöltve.
Ennek eredményeképpen előfordulhat, hogy a forgatókönyv nem fut a befejezésig. A hiba elkerülése érdekében ajánlott létrehozni egy feltételt, amely ellenőrzi az incidensazonosító mezőben szereplő értéket, mielőtt bármilyen műveletet végrehajtana rajta, és eltérő műveletkészletet ír elő, ha a mező null értékkel rendelkezik – vagyis ha a forgatókönyv nem incidensből fut.
Az Incidens ARM-azonosító mezőjére hivatkozó első művelet előtt adjon hozzá egy Feltétel típusú lépést.
Válassza az Érték kiválasztása mezőt, és adja meg a Dinamikus tartalom hozzáadása párbeszédpanelt.
Válassza a Kifejezés lapot és a hossz(gyűjtemény) függvényt.
Válassza a Dinamikus tartalom lapot és az Incidens ARM-azonosító mezőjét .
Ellenőrizze az eredményként kapott kifejezést, és válassza az
length(triggerBody()?['IncidentArmID'])
OK gombot.Állítsa a feltétel operátorát és értékét "nagyobb, mint" és "0" értékre.
A True keretben adja hozzá azokat a műveleteket, amelyeket akkor kell végrehajtani, ha a forgatókönyv incidenskörnyezetből fut.
A Hamis keretben adja hozzá azokat a műveleteket, amelyeket akkor kell végrehajtani, ha a forgatókönyv nem incidensalapú környezetből fut.
Adott entitástípusok működése
Az Entitások dinamikus mező JSON-objektumok tömbje, amelyek mindegyike egy entitást jelöl. Minden entitástípus saját sémával rendelkezik az egyedi tulajdonságaitól függően.
Az "Entitások – Entitástípus lekérése<>" művelet a következőket teszi lehetővé:
- Az entitások tömbjének szűrése a kért típus szerint.
- Elemezheti az ilyen típusú mezőket, hogy további műveletekben dinamikus mezőként lehessen használni őket.
A bemenet az Entitások dinamikus mező.
A válasz entitások tömbje, ahol a speciális tulajdonságok elemezve vannak, és közvetlenül használhatók az egyes hurkokhoz.
Jelenleg támogatott entitástípusok:
Más entitástípusok esetében hasonló funkciók érhetők el a Logic Apps beépített műveleteivel:
Szűrje az entitások tömböt a kért típus szerint a Szűrőtömb használatával.
Elemezheti az ilyen típusú mezőket, így dinamikus mezőként használhatók további műveletekben a JSON-elemzéssel.
Egyéni adatokkal végzett munka
A Riasztás egyéni részletek dinamikus mezője, amely az incidens-eseményindítóban érhető el, JSON-objektumok tömbje, amelyek mindegyike egy riasztás egyéni részleteit jelöli. Az egyéni részletek olyan kulcs-érték párok, amelyek lehetővé teszik a riasztásban lévő események információinak felszínre hozását, hogy azok az incidens részeként megjeleníthetők, nyomon követhetők és elemezhetők legyenek.
Mivel a riasztás ezen mezője testreszabható, a séma a felszínre került esemény típusától függ. Az esemény egy példányából kell adatokat szolgáltatnia ahhoz, hogy létrehozhassa azt a sémát, amely meghatározza az egyéni részletek mező elemzésének módját.
Lásd a következő példát:
Ezekben a kulcs-érték párokban a kulcs (a bal oldali oszlop) a létrehozott egyéni mezőket, az érték (a jobb oldali oszlop) pedig az egyéni mezőket kitöltő eseményadatok mezőit jelöli.
A séma létrehozásához a következő JSON-kódot adhatja meg. A kód tömbökként jeleníti meg a kulcsneveket, a tömbök elemeiként pedig az értékeket (tényleges értékként, nem pedig az értékeket tartalmazó oszlopként).
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Adjon hozzá egy új lépést a JSON-elemzés beépített műveletével. A kereséshez írja be a "parse json" kifejezést a Keresőmezőbe.
Keresse meg és válassza ki a Riasztás egyéni adatai lehetőséget a dinamikus tartalomlistában , az incidens eseményindítója alatt.
Ez minden ciklushoz létrehoz egy-egy eseményt, mivel egy incidens riasztások tömbét tartalmazza.
Válassza a Minta hasznos adatainak használata sémahivatkozás létrehozásához lehetőséget.
Adjon meg egy hasznos adatmintát. A minta hasznos adatok kereséséhez keresse meg a Log Analyticsben a riasztás egy másik példányát, és másolja az egyéni adatobjektumot (a Bővített tulajdonságok területen). A Log Analytics-adatok elérése az Azure Portal Naplók lapján vagy a Defender portál speciális vadászlapján . Az alábbi képernyőképen a fent látható JSON-kódot használtuk.
Az egyéni mezők készen állnak a Tömb típusú dinamikus mezők használatára. Itt láthatja a tömböt és annak elemeit, mind a sémában, mind a dinamikus tartalom alatt megjelenő listában, amelyet fent ismertettünk.
Következő lépések
Ebben a cikkben többet is megtudhatott arról, hogyan használhatja a Microsoft Sentinel forgatókönyveinek eseményindítóit és műveleteit a fenyegetésekre való reagáláshoz.
- Megtudhatja, hogyan kereshet proaktívan fenyegetéseket a Microsoft Sentinel használatával.