Share via

Oktatóanyag: Ip-címek hírnevének automatikus ellenőrzése és rögzítése incidensekben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az incidens súlyosságának felmérésének egyik gyors és egyszerű módja annak megállapítása, hogy a benne található IP-címekről ismertek-e rosszindulatú tevékenységek forrásai. Ha ezt automatikusan meg tudja tenni, sok időt és erőfeszítést takaríthat meg.

Ebben az oktatóanyagban megtudhatja, hogyan használhatja a Microsoft Sentinel automatizálási szabályait és forgatókönyveit az incidensek IP-címeinek automatikus ellenőrzésére egy fenyegetésintelligencia-forráson, és hogyan rögzítheti az egyes eredményeket a megfelelő incidensben.

Az oktatóanyag elvégzése után a következőket végezheti el:

  • Forgatókönyv létrehozása sablonból
  • A forgatókönyv más erőforrásokhoz való kapcsolatainak konfigurálása és engedélyezése
  • Automatizálási szabály létrehozása a forgatókönyv meghívásához
  • Az automatizált folyamat eredményeinek megtekintése

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Az oktatóanyag elvégzéséhez győződjön meg arról, hogy rendelkezik a következőkkel:

Forgatókönyv létrehozása sablonból

A Microsoft Sentinel beépített forgatókönyvsablonokat tartalmaz, amelyeket számos alapvető SecOps-célkitűzés és forgatókönyv automatizálására használhat. Találjunk egyet, amely bővíti az IP-címadatokat az incidenseinkben.

  1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.

  2. Az Automation lapon válassza a Forgatókönyvsablonok (Előzetes verzió) lapot.

  3. A sablonok listájának szűrése címkék szerint:

    1. Válassza a Címkék szűrő kapcsolót a lista tetején (a Keresés mező jobb oldalán).

    2. Törölje a jelet az Összes kijelölése jelölőnégyzetből, majd jelölje be a Bővítés jelölőnégyzetet. Kattintson az OK gombra.

    Példa:

    Képernyőkép a címkék alapján szűrni kívánt forgatókönyvsablonok listájáról.

  4. Válassza ki az IP-bővítés – Vírusösszeg jelentéssablont , és válassza a Forgatókönyv létrehozása lehetőséget a részletek panelen.

    Képernyőkép egy forgatókönyvsablon kiválasztásáról, amelyből forgatókönyvet szeretne létrehozni.

  5. Ekkor megnyílik a Forgatókönyv létrehozása varázsló. Az Alapismeretek lapon:

    1. Válassza ki előfizetését, erőforráscsoportját és régióját a megfelelő legördülő listákból.

    2. Szerkessze a forgatókönyv nevét úgy, hogy hozzáadja a javasolt "Get-VirusTotalIPReport" név végéhez. (Így meg tudja állapítani, hogy melyik eredeti sablonból származik ez a forgatókönyv, miközben továbbra is biztosítja, hogy egyedi névvel rendelkezik abban az esetben, ha egy másik forgatókönyvet szeretne létrehozni ebből a sablonból.) Nevezzük "Get-VirusTotalIPReport-Tutorial-1"-nek.

    3. Az utolsó két jelölőnégyzetet jelöletlenül hagyjuk, mert ebben az esetben nincs szükségünk ezekre a szolgáltatásokra:

      • Diagnosztikai naplók engedélyezése a Log Analyticsben
      • Társítás integrációs szolgáltatási környezettel

      Képernyőkép az Alapismeretek lapról a forgatókönyv-létrehozási varázslóból.

    4. Válassza a Következő: Csatlakozás ions >lehetőséget.

  6. A Csatlakozás ions lapon láthatja az összes kapcsolatot, amelyet a forgatókönyvnek más szolgáltatásokkal kell létesítenie, valamint azt a hitelesítési módszert, amelyet akkor fog használni, ha a kapcsolat már létrejött egy meglévő Logic App-munkafolyamatban ugyanabban az erőforráscsoportban.

    1. Hagyja meg a Microsoft Sentinel-kapcsolatot a következőképpen (azt kell mondania, hogy "Csatlakozás felügyelt identitással").

    2. Ha bármelyik kapcsolat azt mondja, hogy "Új kapcsolat lesz konfigurálva", a rendszer erre az oktatóanyag következő szakaszában kéri. Vagy ha már rendelkezik kapcsolattal ezekhez az erőforrásokhoz, válassza a kapcsolat bal oldalán található kiterjesztő nyilat, és válasszon ki egy meglévő kapcsolatot a kibontott listából. Ehhez a gyakorlathoz, ahogy van, elhagyjuk.

      Képernyőkép a forgatókönyv-létrehozási varázsló Csatlakozás ions lapján.

    3. Válassza a Tovább elemet : Áttekintés és létrehozás >.

  7. A Véleményezés és létrehozás lapon tekintse át az itt megjelenő összes beírt információt, és válassza a Létrehozás és a tervező folytatása lehetőséget.

    Képernyőkép a Forgatókönyv létrehozása varázsló Véleményezés és létrehozás lapjáról.

    A forgatókönyv üzembe helyezésekor egy gyors értesítéssorozat jelenik meg a folyamat előrehaladásáról. Ezután a logikai alkalmazás tervezője megnyílik a forgatókönyv megjelenítésével. Továbbra is engedélyezni kell a logikai alkalmazás kapcsolatait az általa használt erőforrásokhoz, hogy a forgatókönyv fusson. Ezután áttekintjük a forgatókönyvben szereplő összes műveletet, hogy meggyőződjünk arról, hogy megfelelőek a környezetünknek, és szükség esetén módosításokat hajtunk végre.

    Képernyőkép a logikai alkalmazás tervezőablakában megnyitott forgatókönyvről.

Logikai alkalmazáskapcsolatok engedélyezése

Ne feledje, hogy amikor létrehoztuk a forgatókönyvet a sablonból, azt mondták nekünk, hogy az Azure Log Analytics Data Collector és a Virus Total kapcsolatok később lesznek konfigurálva.

Képernyőkép a forgatókönyv-létrehozási varázsló áttekintési információiról.

Itt csináljuk.

Összes víruskapcsolat engedélyezése

  1. Az egyes műveleteknél válassza ki a kibontáshoz és a tartalmának áttekintéséhez (az egyes IP-címekhez végrehajtandó műveleteket).

    Képernyőkép a logikai alkalmazástervező minden ciklusutasítási műveletéről.

  2. Az első látható műveletelem Csatlakozás ionok címkével van ellátva, és narancssárga figyelmeztető háromszöge van.

    (Ha ehelyett az első művelet fel van címkézve Ip-jelentés (előzetes verzió) lekérése, ami azt jelenti, hogy már rendelkezik kapcsolattal a Virus Total szolgáltatással, és továbbléphet a következő lépésre.)

    1. Nyissa meg a Csatlakozás ions műveletet.

    2. Válassza a megjelenített kapcsolat Érvénytelen oszlopában található ikont.

      Képernyőkép a Virus Total kapcsolat érvénytelen konfigurációjáról.

      A rendszer kérni fogja a kapcsolati adatokat.

      Képernyőkép az API-kulcs és a Virus Total egyéb kapcsolati adatainak megadásáról.

    3. Adja meg a "Virus Total" nevet a Csatlakozás ion neveként.

    4. X-api_key esetén másolja és illessze be az API-kulcsot a Virus Total fiókból.

    5. Válassza a Frissítés lehetőséget.

    6. Most már megfelelően láthatja az IP-jelentés (előzetes verzió) lekérése műveletet. (Ha már rendelkezik a Virus Total fiókkal, akkor már ebben a szakaszban lesz.)

      Képernyőkép arról a műveletről, amely egy IP-címet küld a Virus Total-nak, hogy jelentést kapjon róla.

Log Analytics-kapcsolat engedélyezése

A következő művelet egy feltétel , amely meghatározza az egyes ciklusok többi műveletét az IP-címjelentés eredménye alapján. Elemzi a jelentésben szereplő IP-címhez megadott hírnévpontszámot . A 0-nál magasabb pontszám azt jelzi, hogy a cím ártalmatlan; a 0-nál alacsonyabb pontszám azt jelzi, hogy rosszindulatú.

A logikaialkalmazás-tervező feltételműveletének képernyőképe.

Függetlenül attól, hogy a feltétel igaz vagy hamis, a jelentés adatait a Log Analytics egy táblájába szeretnénk küldeni, hogy lekérdezhető és elemezhető legyen, és megjegyzést fűzzünk az incidenshez.

De amint látni fogja, több érvénytelen kapcsolatot kell engedélyeznünk.

A megadott feltétel igaz és hamis forgatókönyveit bemutató képernyőkép.

  1. Válassza ki a Csatlakozás ions műveletet az Igaz keretben.

  2. Válassza a megjelenített kapcsolat Érvénytelen oszlopában található ikont.

    Érvénytelen Log Analytics-kapcsolatkonfiguráció képernyőképe.

    A rendszer kérni fogja a kapcsolati adatokat.

    Képernyőkép a Log Analytics munkaterület-azonosítójának, kulcsának és egyéb kapcsolati adatainak megadásáról.

  3. Adja meg a "Log Analytics" nevet a Csatlakozás ion neveként.

  4. Munkaterületkulcs és munkaterület-azonosító esetén másolja és illessze be a kulcsot és az azonosítót a Log Analytics-munkaterület beállításaiból. Ezek megtalálhatók az Ügynökök felügyeleti oldalán, a Log Analytics-ügynök utasításainak kibontójában.

  5. Válassza a Frissítés lehetőséget.

  6. Most az Adatok küldése művelet helyesen jelenik meg. (Ha már rendelkezik Log Analytics-kapcsolattal a Logic Appsből, akkor már ebben a szakaszban lesz.)

    Képernyőkép a Vírusösszeg jelentés rekordjának a Log Analytics egy táblába való küldéséhez szükséges műveletről.

  7. Most válassza ki a Csatlakozás ions műveletet a Hamis keretben. Ez a művelet ugyanazt a kapcsolatot használja, mint az Igaz keretben lévő.

  8. Ellenőrizze, hogy a Log Analytics nevű kapcsolat van-e megjelölve, és válassza a Mégse lehetőséget. Ez biztosítja, hogy a művelet megfelelően jelenjen meg a forgatókönyvben.

    Képernyőkép a második érvénytelen Log Analytics-kapcsolatkonfigurációról.

    Most már láthatja a teljes forgatókönyvet, megfelelően konfigurálva.

  9. Nagyon fontos! Ne felejtse el a Logic App Designer ablakának tetején a Mentés lehetőséget választani. Miután a forgatókönyv sikeres mentéséről értesítő üzeneteket lát, az Automation lapon az Aktív forgatókönyvek* lapon láthatja a forgatókönyvet.

Automatizálási szabály létrehozása

A forgatókönyv tényleges futtatásához létre kell hoznia egy automatizálási szabályt, amely incidensek létrehozásakor és a forgatókönyv meghívásakor fog futni.

  1. Az Automation lapon válassza a + Létrehozás lehetőséget a felső szalagcímről. A legördülő menüben válassza az Automation-szabályt.

    Képernyőkép egy automatizálási szabály létrehozásáról az Automation oldalról.

  2. Az Új automatizálási szabály létrehozása panelen nevezze el az "Oktatóanyag: AZ IP-adatok bővítése" szabályt.

    Képernyőkép egy automatizálási szabály létrehozásáról, elnevezéséről és feltétel hozzáadásáról.

  3. A Feltételek területen válassza a + Hozzáadás és feltétel (És) lehetőséget.

    Képernyőkép egy feltétel automatizálási szabályhoz való hozzáadásáról.

  4. Válassza ki az IP-címet a tulajdonság bal oldali legördülő menüjéből. Válassza a Tartalmaz lehetőséget az operátor legördülő menüjében, és hagyja üresen az értékmezőt. Ez gyakorlatilag azt jelenti, hogy a szabály olyan incidensekre lesz érvényes, amelyek ip-címmezője bármit tartalmaz.

    Nem szeretnénk megakadályozni, hogy az elemzési szabályokra vonatkozzon ez az automatizálás, de azt sem szeretnénk, hogy az automatizálás szükségtelenül aktiválódjon, ezért az IP-cím entitásokat tartalmazó incidensekre korlátozzuk a lefedettséget.

    Képernyőkép egy automation-szabályhoz hozzáadandó feltétel definiálásáról.

  5. A Műveletek csoportban válassza a Forgatókönyv futtatása lehetőséget a legördülő listában.

  6. Válassza ki a megjelenő új legördülő elemet.

    Képernyőkép a forgatókönyv kiválasztásáról a forgatókönyvek listájából – 1. rész.

    Megjelenik az előfizetés összes forgatókönyvének listája. A kiszürkítettek azok, amelyekhez nincs hozzáférése. A Keresési forgatókönyvek szövegmezőben kezdje el beírni a fent létrehozott forgatókönyv nevét vagy bármely részét. A forgatókönyvek listája dinamikusan lesz szűrve minden beírt betűvel.

    Képernyőkép a forgatókönyv kiválasztásáról a forgatókönyvek listájából – 2. rész.

    Amikor megjelenik a forgatókönyv a listában, jelölje ki.

    Képernyőkép a forgatókönyv kiválasztásáról a forgatókönyvek listájából – 3. rész.

    Ha a forgatókönyv szürkítve jelenik meg, válassza a Forgatókönyv engedélyeinek kezelése hivatkozást (az alábbi finomnyomtatási bekezdésben, ahol kiválasztotta a forgatókönyvet – lásd a fenti képernyőképet). A megnyíló panelen válassza ki a forgatókönyvet tartalmazó erőforráscsoportot az elérhető erőforráscsoportok listájából, majd válassza az Alkalmaz lehetőséget.

  7. Válassza ismét a + Művelet hozzáadása lehetőséget . A megjelenő új művelet legördülő menüjében válassza a Címkék hozzáadása lehetőséget.

  8. Válassza a +Címke hozzáadása lehetőséget. Adja meg a "Tutorial-Enriched IP addresses" (Oktatóanyagokkal bővített IP-címek) szöveget a címke szövegeként, és válassza az OK gombot.

    Képernyőkép arról, hogyan adhat hozzá címkét egy automatizálási szabályhoz.

  9. Hagyja meg a többi beállítást, és válassza az Alkalmaz lehetőséget.

Sikeres automatizálás ellenőrzése

  1. Az Incidensek lapon írja be az Oktatóanyag–Bővített IP-címek címkeszövegét a keresősávba, és nyomja le az Enter billentyűt az incidensek listájának szűréséhez az adott címke alkalmazásával. Ezek azok az incidensek, amelyeken az automatizálási szabályunk futott.

  2. Nyisson meg egy vagy több ilyen incidenst, és ellenőrizze, hogy vannak-e megjegyzések az ott található IP-címekkel kapcsolatban. A megjegyzések jelenléte azt jelzi, hogy a forgatókönyv az incidensen futott.

Az erőforrások eltávolítása

Ha nem fogja használni ezt az automatizálási forgatókönyvet, törölje a létrehozott forgatókönyvet és automatizálási szabályt az alábbi lépésekkel:

  1. Az Automation lapon válassza az Aktív forgatókönyvek lapot.

  2. Adja meg a keresősávban létrehozott forgatókönyv nevét (vagy annak egy részét).
    (Ha nem jelenik meg, győződjön meg arról, hogy a szűrők a következőre vannak beállítva: Az összes kijelölése.)

  3. Jelölje be a forgatókönyv melletti jelölőnégyzetet a listában, és válassza a Törlés lehetőséget a felső szalagcímről.
    (Ha nem szeretné törölni, válassza a Tiltsa le helyette.)

  4. Válassza az Automation-szabályok lapot.

  5. Adja meg a keresősávban létrehozott automatizálási szabály nevét (vagy egy részét).
    (Ha nem jelenik meg, győződjön meg arról, hogy a szűrők a következőre vannak beállítva: Az összes kijelölése.)

  6. Jelölje be az automatizálási szabály melletti jelölőnégyzetet a listában, és válassza a Törlés lehetőséget a felső szalagcímről.
    (Ha nem szeretné törölni, válassza a Tiltsa le helyette.)

Következő lépések

Most, hogy megtanulta, hogyan automatizálhat egy alapszintű incidens-bővítési forgatókönyvet, többet tudhat meg az automatizálásról és más olyan forgatókönyvekről, amelyekben használhatja azt.