Esercitazione: Estrarre entità evento imprevisto con azioni non native

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Il mapping delle entità arricchisce avvisi e eventi imprevisti con informazioni essenziali per eventuali processi investigativi e azioni correttive che seguono.

Microsoft Sentinel playbook includono queste azioni native per estrarre le informazioni sulle entità:

  • Account
  • DNS
  • Hash di file
  • Ospita
  • Ips
  • URL

Oltre a queste azioni, il mapping di entità regola analitica contiene tipi di entità che non sono azioni native, ad esempio malware, processo, chiave del Registro di sistema, cassetta postale e altro ancora. Questa esercitazione illustra come usare azioni non native usando diverse azioni predefinite per estrarre i valori pertinenti.

In questa esercitazione si apprenderà come:

  • Creare un playbook con un trigger di evento imprevisto ed eseguirlo manualmente nell'evento imprevisto.
  • Inizializzare una variabile di matrice.
  • Filtrare il tipo di entità richiesto da altri tipi di entità.
  • Analizzare i risultati in un file JSON.
  • Creare i valori come contenuto dinamico per un uso futuro.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Prerequisiti

Per completare questa esercitazione, assicurarsi di avere:

  • Una sottoscrizione di Azure. Creare un account gratuito se non è già disponibile.

  • Un utente Azure con i ruoli seguenti assegnati nelle risorse seguenti:

  • Un account VirusTotal (gratuito) sarà sufficiente per questa esercitazione. Un'implementazione di produzione richiede un account VirusTotal Premium.

Creare un playbook con un trigger di evento imprevisto

  1. Per Microsoft Sentinel nel portale di Defender selezionare Microsoft Sentinel>Automazione configurazione>. Per Microsoft Sentinel nel portale di Azure selezionare la pagina Automazione configurazione>.

  2. Nella pagina Automazione selezionare Crea>playbook con trigger di evento imprevisto.

  3. Nella Creazione guidata playbook , in Informazioni di base selezionare la sottoscrizione e il gruppo di risorse e assegnare un nome al playbook.

  4. Selezionare Avanti: Connessioni >.

    In Connessioni deve essere visibile il Microsoft Sentinel - Connetti con la connessione all'identità gestita. Ad esempio:

    Screenshot della creazione di un nuovo playbook con un trigger di evento imprevisto.

  5. Selezionare Avanti: Rivedere e creare >.

  6. In Rivedi e crea selezionare Crea e continuare con la finestra di progettazione.

    La finestra di progettazione dell'app per la logica apre un'app per la logica con il nome del playbook.

    Screenshot della visualizzazione del playbook nella finestra di progettazione dell'app per la logica.

Inizializzare una variabile array

  1. Nella finestra di progettazione dell'app per la logica, nel passaggio in cui si vuole aggiungere una variabile, selezionare Nuovo passaggio.

  2. In Scegliere un'operazione digitare variabili come filtro nella casella di ricerca. Nell'elenco delle azioni selezionare Inizializza variabile.

  3. Specificare queste informazioni sulla variabile:

    1. Per il nome della variabile, usare Entità.

    2. Per il tipo selezionare Matrice.

    3. Per il valore, passare il puntatore del mouse sul campo Valore e selezionare fx nel gruppo di icone blu a sinistra.

      Screenshot dell'inizializzazione di una variabile nella finestra di progettazione dell'app per la logica.

    4. Nella finestra di dialogo visualizzata selezionare la scheda Contenuto dinamico e digitare entità nella casella di ricerca.

    5. Selezionare Entità dall'elenco e quindi Aggiungi.

      Screenshot della selezione del valore Entità nella finestra di progettazione dell'app per la logica.

Selezionare un evento imprevisto esistente

  1. In Microsoft Sentinel passare a Eventi imprevisti e selezionare un evento imprevisto in cui si vuole eseguire il playbook.

  2. Nella pagina degli eventi imprevisti a destra selezionare Actions > Run playbook (Anteprima).

  3. In Playbook, accanto al playbook creato, selezionare Esegui.

    Quando il playbook viene attivato, un messaggio playbook viene attivato correttamente è visibile in alto a destra.

  4. Selezionare Esecuzioni e accanto al playbook selezionare Visualizza esecuzione.

    La pagina di esecuzione dell'app per la logica è visibile.

  5. In Variabile di inizializzazione il payload di esempio è visibile in Valore. Si noti il payload di esempio per un uso successivo.

    Screenshot della visualizzazione del payload di esempio nel campo Valore.

Filtrare il tipo di entità richiesto da altri tipi di entità

  1. Tornare alla pagina Automazione e selezionare il playbook.

  2. Nel passaggio in cui si vuole aggiungere una variabile selezionare Nuovo passaggio.

  3. In Scegliere un'azione immettere matrice di filtri come filtro nella casella di ricerca. Nell'elenco azioni selezionare Operazioni dati.

    Screenshot del filtro di una matrice e della selezione delle operazioni dei dati.

  4. Specificare queste informazioni sulla matrice di filtri:

    1. In Da>contenuto dinamico selezionare la variabile Entities inizializzata in precedenza.

    2. Selezionare il primo campo Scegliere un valore (a sinistra) e selezionare Espressione.

    3. Incollare il valore item()?[' kind'], quindi selezionare OK.

      Screenshot della compilazione dell'espressione della matrice di filtri.

    4. Lasciare uguale a value (non modificarlo).

    5. Nel secondo campo Scegliere un valore (a destra) digitare Processo. Deve corrispondere esattamente al valore nel sistema.

      Nota

      Questa query fa distinzione tra maiuscole e minuscole. Assicurarsi che il kind valore corrisponda al valore nel payload di esempio. Vedere il payload di esempio da quando si crea un playbook.

      Screenshot della compilazione delle informazioni sulla matrice di filtri.

Analizzare i risultati in un file JSON

  1. Nell'app per la logica, nel passaggio in cui si vuole aggiungere una variabile, selezionare Nuovo passaggio.

  2. Selezionare Operazioni> datiAnalizza JSON.

    Screenshot della selezione dell'opzione Analizza JSON in Operazioni dati.

  3. Fornire queste informazioni sull'operazione:

    1. Selezionare Contenuto e inMatrice filtrocontenuto> dinamico selezionare Corpo.

      Screenshot della selezione di Contenuto dinamico in Contenuto.

    2. In Schema incollare uno schema JSON in modo da poter estrarre valori da una matrice. Copiare il payload di esempio generato durante la creazione del playbook.

      Screenshot della copia del payload di esempio.

    3. Tornare al playbook e selezionare Usa payload di esempio per generare lo schema.

      Screenshot della selezione di Usa payload di esempio per generare lo schema.

    4. Incollare il payload. Aggiungere una parentesi quadra aperta ([) all'inizio dello schema e chiuderle alla fine dello schema ].

      Screenshot dell'incollamento del payload di esempio.

      Screenshot della seconda parte del payload di esempio incollato.

    5. Scegliere Fine.

Usare i nuovi valori come contenuto dinamico per l'uso futuro

È ora possibile usare i valori creati come contenuto dinamico per ulteriori azioni. Ad esempio, se si vuole inviare un messaggio di posta elettronica con i dati del processo, è possibile trovare l'azione Analizza JSON in Contenuto dinamico, se non è stato modificato il nome dell'azione.

Screenshot dell'invio di un messaggio di posta elettronica con i dati del processo.

Assicurarsi che il playbook sia salvato

Assicurarsi che il playbook sia salvato ed è ora possibile usare il playbook per le operazioni SOC.

Passaggi successivi

Passare all'articolo successivo per informazioni su come creare ed eseguire attività impreviste in Microsoft Sentinel usando i playbook.

Creare ed eseguire attività impreviste in Microsoft Sentinel usando playbook

  • Last updated on