Condividi tramite

Esercitazione: Controllare e registrare automaticamente le informazioni sulla reputazione degli indirizzi IP negli eventi imprevisti

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Un modo rapido e semplice per valutare la gravità di un evento imprevisto consiste nel verificare se gli indirizzi IP in esso contenuti sono noti come fonti di attività dannose. Avere un modo per farlo automaticamente può risparmiare molto tempo e fatica.

In questa esercitazione si apprenderà come usare le regole e i playbook di automazione di Microsoft Sentinel per controllare automaticamente gli indirizzi IP negli eventi imprevisti in base a un'origine di intelligence per le minacce e registrare ogni risultato nell'evento imprevisto pertinente.

Al termine dell'esercitazione, sarà possibile:

  • Creare un playbook da un modello
  • Configurare e autorizzare le connessioni del playbook ad altre risorse
  • Creare una regola di automazione per richiamare il playbook
  • Visualizzare i risultati del processo automatizzato

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per completare questa esercitazione, accertarsi di avere:

  • Una sottoscrizione di Azure. Se non ne hai già uno, crea un account gratuito.

  • Un'area di lavoro Log Analytics con la soluzione Microsoft Sentinel distribuita in esso e i dati inseriti.

  • Un utente di Azure con i ruoli seguenti assegnati alle risorse seguenti:

    • Collaboratore di Microsoft Sentinel nell'area di lavoro Log Analytics in cui viene distribuito Microsoft Sentinel.
    • Collaboratore app per la logica e Proprietario o equivalente, a seconda del gruppo di risorse conterrà il playbook creato in questa esercitazione.

  • Un account VirusTotal (gratuito) sarà sufficiente per questa esercitazione. Un'implementazione di produzione richiede un account VirusTotal Premium.

Creare un playbook da un modello

Microsoft Sentinel include modelli di playbook pronti e predefiniti che è possibile personalizzare e usare per automatizzare un numero elevato di obiettivi e scenari SecOps di base. È possibile trovarne uno per arricchire le informazioni sull'indirizzo IP negli eventi imprevisti.

  1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Automazione . Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Automazione .

  2. Nella pagina Automazione selezionare la scheda Modelli playbook (anteprima).

  3. Filtrare l'elenco dei modelli in base al tag:

    1. Selezionare l'interruttore Filtro Tag nella parte superiore dell'elenco (a destra del campo Cerca ).

    2. Deselezionare la casella di controllo Seleziona tutto , quindi contrassegnare la casella di controllo Arricchimento . Seleziona OK.

    Ad esempio:

    Screenshot dell'elenco dei modelli di playbook da filtrare in base ai tag.

  4. Selezionare il modello di report Arricchimento IP - Totale virus e selezionare Crea playbook nel riquadro dei dettagli.

    Screenshot della selezione di un modello di playbook da cui creare un playbook.

  5. Verrà aperta la procedura guidata Crea playbook . Nella scheda Informazioni di base:

    1. Selezionare la sottoscrizione, il gruppo di risorse e l'area nei rispettivi elenchi a discesa.

    2. Modificare il nome del playbook aggiungendo alla fine del nome suggerito "Get-VirusTotalIPReport". In questo modo sarà possibile indicare da quale modello originale proviene questo playbook, assicurandosi comunque che abbia un nome univoco nel caso in cui si voglia creare un altro playbook da questo stesso modello. Chiamiamolo "Get-VirusTotalIPReport-Tutorial-1".

    3. Lasciare invariate le ultime due caselle di controllo, perché in questo caso non sono necessarie:

      • Abilitare i log di diagnostica in Log Analytics
      • Associare all'ambiente del servizio di integrazione

      Screenshot della scheda Informazioni di base della creazione guidata del playbook.

    4. Selezionare Avanti: Connessione ions >.

  6. Nella scheda Connessione ions verranno visualizzate tutte le connessioni che questo playbook deve effettuare ad altri servizi e il metodo di autenticazione che verrà usato se la connessione è già stata stabilita in un flusso di lavoro dell'app per la logica esistente nello stesso gruppo di risorse.

    1. Lasciare invariata la connessione a Microsoft Sentinel (deve indicare "Connessione con identità gestita").

    2. Se una connessione indica che verrà configurata una nuova connessione, verrà richiesto di farlo nella fase successiva dell'esercitazione. In alternativa, se si dispone già di connessioni a queste risorse, selezionare la freccia di espansione a sinistra della connessione e scegliere una connessione esistente dall'elenco espanso. Per questo esercizio si lascerà invariato.

      Screenshot della scheda Connessione ions della creazione guidata del playbook.

    3. Selezionare Avanti: Rivedi e crea >.

  7. Nella scheda Rivedi e crea esaminare tutte le informazioni immesse come visualizzate qui e selezionare Crea e continua con la finestra di progettazione.

    Screenshot della scheda Rivedi e crea dalla creazione guidata del playbook.

    Man mano che viene distribuito il playbook, verrà visualizzata una serie rapida di notifiche sullo stato di avanzamento. Verrà quindi aperta la finestra di progettazione dell'app per la logica con il playbook visualizzato. È comunque necessario autorizzare le connessioni dell'app per la logica alle risorse con cui interagisce in modo che il playbook possa essere eseguito. Verranno quindi esaminate tutte le azioni del playbook per assicurarsi che siano adatte per l'ambiente, apportando modifiche, se necessario.

    Screenshot del playbook aperto nella finestra di progettazione dell'app per la logica.

Autorizzare le connessioni dell'app per la logica

Tenere presente che quando è stato creato il playbook dal modello, è stato detto che le connessioni agente di raccolta dati di Azure Log Analytics e Virus Total sarebbero state configurate in un secondo momento.

Screenshot delle informazioni di revisione della creazione guidata del playbook.

Ecco dove lo facciamo.

Autorizzare la connessione totale virus

  1. Selezionare l'opzione Per ogni azione per espanderla ed esaminarne il contenuto (le azioni che verranno eseguite per ogni indirizzo IP).

    Screenshot dell'azione dell'istruzione ciclo for-each in Progettazione app per la logica.

  2. Il primo elemento azione visualizzato è etichettato Connessione ions e ha un triangolo di avviso arancione.

    Se invece la prima azione viene etichettata Ottenere un report IP (anteprima) significa che si dispone già di una connessione esistente a Virus Total ed è possibile passare al passaggio successivo.

    1. Selezionare l'azione Connessione ions per aprirla.

    2. Selezionare l'icona nella colonna Non valida per la connessione visualizzata.

      Screenshot della configurazione della connessione virus totale non valida.

      Verranno richieste informazioni di connessione.

      Screenshot che mostra come immettere la chiave API e altri dettagli di connessione per Virus Total.

    3. Immettere "Virus Total" come nome Connessione ion.

    4. Per x-api_key, copiare e incollare la chiave API dall'account Totale virus.

    5. Selezionare Aggiorna.

    6. A questo punto verrà visualizzata correttamente l'azione Ottieni un report IP (anteprima). (Se hai già un account Virus Total, sarai già in questa fase.

      Screenshot che mostra l'azione per inviare un indirizzo IP a Virus Total per ricevere un report su di esso.

Autorizzare la connessione di Log Analytics

L'azione successiva è una condizione che determina il resto delle azioni del ciclo for-each in base al risultato del report dell'indirizzo IP. Analizza il punteggio di reputazione assegnato all'indirizzo IP nel report. Un punteggio superiore a 0 indica che l'indirizzo è innocuo; un punteggio inferiore a 0 indica che è dannoso.

Screenshot dell'azione della condizione nella finestra di progettazione dell'app per la logica.

Indipendentemente dal fatto che la condizione sia true o false, si vogliono inviare i dati nel report a una tabella in Log Analytics in modo che possano essere sottoposte a query e analizzate e aggiungere un commento all'evento imprevisto.

Tuttavia, come si vedrà, sono disponibili più connessioni non valide che è necessario autorizzare.

Screenshot che mostra scenari true e false per la condizione definita.

  1. Selezionare l'azione Connessione ions nel fotogramma True.

  2. Selezionare l'icona nella colonna Non valida per la connessione visualizzata.

    Screenshot della configurazione della connessione log analytics non valida.

    Verranno richieste informazioni di connessione.

    Screenshot che mostra come immettere l'ID e la chiave dell'area di lavoro e altri dettagli di connessione per Log Analytics.

  3. Immettere "Log Analytics" come nome Connessione ion.

  4. Per Chiave dell'area di lavoro e ID area di lavoro copiare e incollare la chiave e l'ID dalle impostazioni dell'area di lavoro Log Analytics. Sono disponibili nella pagina Gestione agenti all'interno dell'espansione delle istruzioni dell'agente di Log Analytics.

  5. Selezionare Aggiorna.

  6. A questo punto verrà visualizzata correttamente l'azione Invia dati . Se si dispone già di una connessione di Log Analytics da App per la logica, si sarà già in questa fase.

    Screenshot che mostra l'azione per inviare un record di report Virus Total a una tabella in Log Analytics.

  7. Selezionare ora l'azione Connessione ions nel fotogramma False. Questa azione usa la stessa connessione di quella nel frame True.

  8. Verificare che la connessione denominata Log Analytics sia contrassegnata e selezionare Annulla. In questo modo, l'azione verrà ora visualizzata correttamente nel playbook.

    Screenshot della seconda configurazione di connessione Log Analytics non valida.

    A questo punto verrà visualizzato l'intero playbook, configurato correttamente.

  9. Molto importante! Non dimenticare di selezionare Salva nella parte superiore della finestra di progettazione dell'app per la logica . Dopo aver visualizzato i messaggi di notifica che il playbook è stato salvato correttamente, il playbook verrà visualizzato nella scheda Playbook attivi* nella pagina Automazione .

Creare una regola di automazione

A questo punto, per eseguire effettivamente questo playbook, è necessario creare una regola di automazione che verrà eseguita quando vengono creati eventi imprevisti e richiamare il playbook.

  1. Nella pagina Automazione selezionare + Crea nel banner in alto. Dal menu a discesa selezionare Regola di automazione.

    Screenshot della creazione di una regola di automazione dalla pagina Automazione.

  2. Nel pannello Crea nuova regola di automazione assegnare alla regola il nome "Esercitazione: Arricchire le informazioni IP".

    Screenshot della creazione di una regola di automazione, della denominazione e dell'aggiunta di una condizione.

  3. In Condizioni selezionare + Aggiungi e condizione (e).

    Screenshot dell'aggiunta di una condizione a una regola di automazione.

  4. Selezionare Indirizzo IP nell'elenco a discesa della proprietà a sinistra. Selezionare Contiene nell'elenco a discesa dell'operatore e lasciare vuoto il campo valore. Ciò significa che la regola verrà applicata agli eventi imprevisti con un campo indirizzo IP che contiene qualsiasi elemento.

    Non si vuole impedire che le regole di analisi vengano coperte da questa automazione, ma non si vuole che l'automazione venga attivata inutilmente, quindi si limiterà la copertura agli eventi imprevisti che contengono entità di indirizzo IP.

    Screenshot della definizione di una condizione da aggiungere a una regola di automazione.

  5. In Azioni selezionare Esegui playbook dall'elenco a discesa.

  6. Selezionare il nuovo elenco a discesa visualizzato.

    Screenshot che mostra come selezionare il playbook dall'elenco dei playbook - parte 1.

    Verrà visualizzato un elenco di tutti i playbook nella sottoscrizione. Quelli disattivati sono quelli a cui non si ha accesso. Nella casella di testo Cerca playbook iniziare a digitare il nome o qualsiasi parte del nome del playbook creato in precedenza. L'elenco dei playbook verrà filtrato in modo dinamico con ogni lettera digitata.

    Screenshot che mostra come selezionare il playbook dall'elenco dei playbook - parte 2.

    Quando viene visualizzato il playbook nell'elenco, selezionarlo.

    Screenshot che mostra come selezionare il playbook dall'elenco dei playbook - parte 3.

    Se il playbook è disattivato, selezionare il collegamento Gestisci autorizzazioni playbook (nel paragrafo di stampa fine sotto dove è stato selezionato un playbook- vedere lo screenshot precedente). Nel pannello visualizzato selezionare il gruppo di risorse contenente il playbook nell'elenco dei gruppi di risorse disponibili e quindi selezionare Applica.

  7. Selezionare di nuovo + Aggiungi azione . A questo scopo, nell'elenco a discesa nuova azione visualizzato selezionare Aggiungi tag.

  8. Selezionare + Aggiungi tag. Immettere "Tutorial-Enriched IP addresses" (Indirizzi IP arricchiti da esercitazione) come testo del tag e selezionare OK.

    Screenshot che mostra come aggiungere un tag a una regola di automazione.

  9. Lasciare invariate le impostazioni rimanenti e selezionare Applica.

Verificare che l'automazione abbia esito positivo

  1. Nella pagina Eventi imprevisti immettere il testo del tag Tutorial-Enriched IP addresses (Esercitazione- Indirizzi IP arricchiti) nella barra di ricerca e premere invio per filtrare l'elenco per gli eventi imprevisti con il tag applicato. Si tratta degli eventi imprevisti su cui è stata eseguita la regola di automazione.

  2. Aprire uno o più di questi eventi imprevisti e verificare se sono presenti commenti sugli indirizzi IP. La presenza di questi commenti indica che il playbook è stato eseguito sull'evento imprevisto.

Pulire le risorse

Se non si intende continuare a usare questo scenario di automazione, eliminare il playbook e la regola di automazione creati con la procedura seguente:

  1. Nella pagina Automazione selezionare la scheda Playbook attivi.

  2. Immettere il nome (o parte del nome) del playbook creato nella barra di ricerca .
    (Se non viene visualizzato, assicurarsi che tutti i filtri siano impostati su Selezionare tutto.

  3. Contrassegnare la casella di controllo accanto al playbook nell'elenco e selezionare Elimina dal banner in alto.
    Se non si vuole eliminarlo, è possibile selezionare Disabilitare invece.

  4. Selezionare la scheda Regole di automazione.

  5. Immettere il nome (o parte del nome) della regola di automazione creata nella barra di ricerca .
    (Se non viene visualizzato, assicurarsi che tutti i filtri siano impostati su Selezionare tutto.

  6. Contrassegnare la casella di controllo accanto alla regola di automazione nell'elenco e selezionare Elimina dal banner in alto.
    Se non si vuole eliminarlo, è possibile selezionare Disabilitare invece.

Passaggi successivi

Dopo aver appreso come automatizzare uno scenario di arricchimento degli eventi imprevisti di base, sono disponibili altre informazioni sull'automazione e altri scenari in cui è possibile usarlo.