Oktatóanyag: Ip-címek hírnevének automatikus ellenőrzése és rögzítése incidensekben
Az incidens súlyosságának felmérésének egyik gyors és egyszerű módja annak megállapítása, hogy a benne található IP-címekről ismertek-e rosszindulatú tevékenységek forrásai. Ha ezt automatikusan meg tudja tenni, sok időt és erőfeszítést takaríthat meg.
Ebben az oktatóanyagban megtudhatja, hogyan használhatja a Microsoft Sentinel automatizálási szabályait és forgatókönyveit az incidensek IP-címeinek automatikus ellenőrzésére egy fenyegetésintelligencia-forráson, és hogyan rögzítheti az egyes eredményeket a megfelelő incidensben.
Az oktatóanyag elvégzése után a következőket végezheti el:
- Forgatókönyv létrehozása sablonból
- A forgatókönyv más erőforrásokhoz való kapcsolatainak konfigurálása és engedélyezése
- Automatizálási szabály létrehozása a forgatókönyv meghívásához
- Az automatizált folyamat eredményeinek megtekintése
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
Az oktatóanyag elvégzéséhez győződjön meg arról, hogy rendelkezik a következőkkel:
Azure-előfizetés. Hozzon létre egy ingyenes fiókot, ha még nem rendelkezik ilyen fiókkal .
Log Analytics-munkaterület, amelyen a Microsoft Sentinel-megoldás van üzembe helyezve, és az adatok betöltése folyamatban van.
Egy Azure-felhasználó az alábbi erőforrásokhoz rendelt szerepkörökkel:
- A Microsoft Sentinel közreműködője azon a Log Analytics-munkaterületen, ahol a Microsoft Sentinel telepítve van.
- A logikai alkalmazás közreműködője és tulajdonosa vagy ezzel egyenértékű, bármelyik erőforráscsoportban szerepel az oktatóanyagban létrehozott forgatókönyv.
Ehhez az oktatóanyaghoz elegendő egy (ingyenes) VirusTotal-fiók . Az éles megvalósításhoz Egy VirusTotal Premium-fiók szükséges.
Forgatókönyv létrehozása sablonból
A Microsoft Sentinel beépített forgatókönyvsablonokat tartalmaz, amelyeket számos alapvető SecOps-célkitűzés és forgatókönyv automatizálására használhat. Találjunk egyet, amely bővíti az IP-címadatokat az incidenseinkben.
A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.
Az Automation lapon válassza a Forgatókönyvsablonok (Előzetes verzió) lapot.
A sablonok listájának szűrése címkék szerint:
Válassza a Címkék szűrő kapcsolót a lista tetején (a Keresés mező jobb oldalán).
Törölje a jelet az Összes kijelölése jelölőnégyzetből, majd jelölje be a Bővítés jelölőnégyzetet. Kattintson az OK gombra.
Példa:
Válassza ki az IP-bővítés – Vírusösszeg jelentéssablont , és válassza a Forgatókönyv létrehozása lehetőséget a részletek panelen.
Ekkor megnyílik a Forgatókönyv létrehozása varázsló. Az Alapismeretek lapon:
Válassza ki előfizetését, erőforráscsoportját és régióját a megfelelő legördülő listákból.
Szerkessze a forgatókönyv nevét úgy, hogy hozzáadja a javasolt "Get-VirusTotalIPReport" név végéhez. (Így meg tudja állapítani, hogy melyik eredeti sablonból származik ez a forgatókönyv, miközben továbbra is biztosítja, hogy egyedi névvel rendelkezik abban az esetben, ha egy másik forgatókönyvet szeretne létrehozni ebből a sablonból.) Nevezzük "Get-VirusTotalIPReport-Tutorial-1"-nek.
Az utolsó két jelölőnégyzetet jelöletlenül hagyjuk, mert ebben az esetben nincs szükségünk ezekre a szolgáltatásokra:
- Diagnosztikai naplók engedélyezése a Log Analyticsben
- Társítás integrációs szolgáltatási környezettel
Válassza a Következő: Csatlakozás ions >lehetőséget.
A Csatlakozás ions lapon láthatja az összes kapcsolatot, amelyet a forgatókönyvnek más szolgáltatásokkal kell létesítenie, valamint azt a hitelesítési módszert, amelyet akkor fog használni, ha a kapcsolat már létrejött egy meglévő Logic App-munkafolyamatban ugyanabban az erőforráscsoportban.
Hagyja meg a Microsoft Sentinel-kapcsolatot a következőképpen (azt kell mondania, hogy "Csatlakozás felügyelt identitással").
Ha bármelyik kapcsolat azt mondja, hogy "Új kapcsolat lesz konfigurálva", a rendszer erre az oktatóanyag következő szakaszában kéri. Vagy ha már rendelkezik kapcsolattal ezekhez az erőforrásokhoz, válassza a kapcsolat bal oldalán található kiterjesztő nyilat, és válasszon ki egy meglévő kapcsolatot a kibontott listából. Ehhez a gyakorlathoz, ahogy van, elhagyjuk.
Válassza a Tovább elemet : Áttekintés és létrehozás >.
A Véleményezés és létrehozás lapon tekintse át az itt megjelenő összes beírt információt, és válassza a Létrehozás és a tervező folytatása lehetőséget.
A forgatókönyv üzembe helyezésekor egy gyors értesítéssorozat jelenik meg a folyamat előrehaladásáról. Ezután a logikai alkalmazás tervezője megnyílik a forgatókönyv megjelenítésével. Továbbra is engedélyezni kell a logikai alkalmazás kapcsolatait az általa használt erőforrásokhoz, hogy a forgatókönyv fusson. Ezután áttekintjük a forgatókönyvben szereplő összes műveletet, hogy meggyőződjünk arról, hogy megfelelőek a környezetünknek, és szükség esetén módosításokat hajtunk végre.
Logikai alkalmazáskapcsolatok engedélyezése
Ne feledje, hogy amikor létrehoztuk a forgatókönyvet a sablonból, azt mondták nekünk, hogy az Azure Log Analytics Data Collector és a Virus Total kapcsolatok később lesznek konfigurálva.
Itt csináljuk.
Összes víruskapcsolat engedélyezése
Az egyes műveleteknél válassza ki a kibontáshoz és a tartalmának áttekintéséhez (az egyes IP-címekhez végrehajtandó műveleteket).
Az első látható műveletelem Csatlakozás ionok címkével van ellátva, és narancssárga figyelmeztető háromszöge van.
(Ha ehelyett az első művelet fel van címkézve Ip-jelentés (előzetes verzió) lekérése, ami azt jelenti, hogy már rendelkezik kapcsolattal a Virus Total szolgáltatással, és továbbléphet a következő lépésre.)
Nyissa meg a Csatlakozás ions műveletet.
Válassza a megjelenített kapcsolat Érvénytelen oszlopában található ikont.
A rendszer kérni fogja a kapcsolati adatokat.
Adja meg a "Virus Total" nevet a Csatlakozás ion neveként.
X-api_key esetén másolja és illessze be az API-kulcsot a Virus Total fiókból.
Válassza a Frissítés lehetőséget.
Most már megfelelően láthatja az IP-jelentés (előzetes verzió) lekérése műveletet. (Ha már rendelkezik a Virus Total fiókkal, akkor már ebben a szakaszban lesz.)
Log Analytics-kapcsolat engedélyezése
A következő művelet egy feltétel , amely meghatározza az egyes ciklusok többi műveletét az IP-címjelentés eredménye alapján. Elemzi a jelentésben szereplő IP-címhez megadott hírnévpontszámot . A 0-nál magasabb pontszám azt jelzi, hogy a cím ártalmatlan; a 0-nál alacsonyabb pontszám azt jelzi, hogy rosszindulatú.
Függetlenül attól, hogy a feltétel igaz vagy hamis, a jelentés adatait a Log Analytics egy táblájába szeretnénk küldeni, hogy lekérdezhető és elemezhető legyen, és megjegyzést fűzzünk az incidenshez.
De amint látni fogja, több érvénytelen kapcsolatot kell engedélyeznünk.
Válassza ki a Csatlakozás ions műveletet az Igaz keretben.
Válassza a megjelenített kapcsolat Érvénytelen oszlopában található ikont.
A rendszer kérni fogja a kapcsolati adatokat.
Adja meg a "Log Analytics" nevet a Csatlakozás ion neveként.
Munkaterületkulcs és munkaterület-azonosító esetén másolja és illessze be a kulcsot és az azonosítót a Log Analytics-munkaterület beállításaiból. Ezek megtalálhatók az Ügynökök felügyeleti oldalán, a Log Analytics-ügynök utasításainak kibontójában.
Válassza a Frissítés lehetőséget.
Most az Adatok küldése művelet helyesen jelenik meg. (Ha már rendelkezik Log Analytics-kapcsolattal a Logic Appsből, akkor már ebben a szakaszban lesz.)
Most válassza ki a Csatlakozás ions műveletet a Hamis keretben. Ez a művelet ugyanazt a kapcsolatot használja, mint az Igaz keretben lévő.
Ellenőrizze, hogy a Log Analytics nevű kapcsolat van-e megjelölve, és válassza a Mégse lehetőséget. Ez biztosítja, hogy a művelet megfelelően jelenjen meg a forgatókönyvben.
Most már láthatja a teljes forgatókönyvet, megfelelően konfigurálva.
Nagyon fontos! Ne felejtse el a Logic App Designer ablakának tetején a Mentés lehetőséget választani. Miután a forgatókönyv sikeres mentéséről értesítő üzeneteket lát, az Automation lapon az Aktív forgatókönyvek* lapon láthatja a forgatókönyvet.
Automatizálási szabály létrehozása
A forgatókönyv tényleges futtatásához létre kell hoznia egy automatizálási szabályt, amely incidensek létrehozásakor és a forgatókönyv meghívásakor fog futni.
Az Automation lapon válassza a + Létrehozás lehetőséget a felső szalagcímről. A legördülő menüben válassza az Automation-szabályt.
Az Új automatizálási szabály létrehozása panelen nevezze el az "Oktatóanyag: AZ IP-adatok bővítése" szabályt.
A Feltételek területen válassza a + Hozzáadás és feltétel (És) lehetőséget.
Válassza ki az IP-címet a tulajdonság bal oldali legördülő menüjéből. Válassza a Tartalmaz lehetőséget az operátor legördülő menüjében, és hagyja üresen az értékmezőt. Ez gyakorlatilag azt jelenti, hogy a szabály olyan incidensekre lesz érvényes, amelyek ip-címmezője bármit tartalmaz.
Nem szeretnénk megakadályozni, hogy az elemzési szabályokra vonatkozzon ez az automatizálás, de azt sem szeretnénk, hogy az automatizálás szükségtelenül aktiválódjon, ezért az IP-cím entitásokat tartalmazó incidensekre korlátozzuk a lefedettséget.
A Műveletek csoportban válassza a Forgatókönyv futtatása lehetőséget a legördülő listában.
Válassza ki a megjelenő új legördülő elemet.
Megjelenik az előfizetés összes forgatókönyvének listája. A kiszürkítettek azok, amelyekhez nincs hozzáférése. A Keresési forgatókönyvek szövegmezőben kezdje el beírni a fent létrehozott forgatókönyv nevét vagy bármely részét. A forgatókönyvek listája dinamikusan lesz szűrve minden beírt betűvel.
Amikor megjelenik a forgatókönyv a listában, jelölje ki.
Ha a forgatókönyv szürkítve jelenik meg, válassza a Forgatókönyv engedélyeinek kezelése hivatkozást (az alábbi finomnyomtatási bekezdésben, ahol kiválasztotta a forgatókönyvet – lásd a fenti képernyőképet). A megnyíló panelen válassza ki a forgatókönyvet tartalmazó erőforráscsoportot az elérhető erőforráscsoportok listájából, majd válassza az Alkalmaz lehetőséget.
Válassza ismét a + Művelet hozzáadása lehetőséget . A megjelenő új művelet legördülő menüjében válassza a Címkék hozzáadása lehetőséget.
Válassza a +Címke hozzáadása lehetőséget. Adja meg a "Tutorial-Enriched IP addresses" (Oktatóanyagokkal bővített IP-címek) szöveget a címke szövegeként, és válassza az OK gombot.
Hagyja meg a többi beállítást, és válassza az Alkalmaz lehetőséget.
Sikeres automatizálás ellenőrzése
Az Incidensek lapon írja be az Oktatóanyag–Bővített IP-címek címkeszövegét a keresősávba, és nyomja le az Enter billentyűt az incidensek listájának szűréséhez az adott címke alkalmazásával. Ezek azok az incidensek, amelyeken az automatizálási szabályunk futott.
Nyisson meg egy vagy több ilyen incidenst, és ellenőrizze, hogy vannak-e megjegyzések az ott található IP-címekkel kapcsolatban. A megjegyzések jelenléte azt jelzi, hogy a forgatókönyv az incidensen futott.
Az erőforrások eltávolítása
Ha nem fogja használni ezt az automatizálási forgatókönyvet, törölje a létrehozott forgatókönyvet és automatizálási szabályt az alábbi lépésekkel:
Az Automation lapon válassza az Aktív forgatókönyvek lapot.
Adja meg a keresősávban létrehozott forgatókönyv nevét (vagy annak egy részét).
(Ha nem jelenik meg, győződjön meg arról, hogy a szűrők a következőre vannak beállítva: Az összes kijelölése.)Jelölje be a forgatókönyv melletti jelölőnégyzetet a listában, és válassza a Törlés lehetőséget a felső szalagcímről.
(Ha nem szeretné törölni, válassza a Tiltsa le helyette.)Válassza az Automation-szabályok lapot.
Adja meg a keresősávban létrehozott automatizálási szabály nevét (vagy egy részét).
(Ha nem jelenik meg, győződjön meg arról, hogy a szűrők a következőre vannak beállítva: Az összes kijelölése.)Jelölje be az automatizálási szabály melletti jelölőnégyzetet a listában, és válassza a Törlés lehetőséget a felső szalagcímről.
(Ha nem szeretné törölni, válassza a Tiltsa le helyette.)
Következő lépések
Most, hogy megtanulta, hogyan automatizálhat egy alapszintű incidens-bővítési forgatókönyvet, többet tudhat meg az automatizálásról és más olyan forgatókönyvekről, amelyekben használhatja azt.
- További példák a forgatókönyvek automatizálási szabályokkal való használatára.
- Részletesebben is megismerkedhet a forgatókönyvek műveleteinek hozzáadásával.
- Megismerhet néhány olyan alapvető automatizálási forgatókönyvet , amelyekhez nincs szükség forgatókönyvekre.