Delen via

Zelfstudie: Incidententiteiten extraheren met niet-systeemeigen acties

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Entiteitstoewijzing verrijkt waarschuwingen en incidenten met informatie die essentieel is voor alle onderzoekende processen en herstelacties die volgen.

Microsoft Sentinel-playbooks bevatten deze systeemeigen acties om entiteitsgegevens te extraheren:

  • Accounts
  • DNS
  • Bestands-hashes
  • Hosts
  • Ips
  • URL's

Naast deze acties bevat analyseregelentiteitstoewijzing entiteitstypen die geen systeemeigen acties zijn, zoals malware, proces, registersleutel, postvak en meer. In deze zelfstudie leert u hoe u met niet-systeemeigen acties kunt werken met behulp van verschillende ingebouwde acties om de relevante waarden te extraheren.

In deze zelfstudie leert u het volgende:

  • Maak een playbook met een incidenttrigger en voer het handmatig uit op het incident.
  • Initialiseer een matrixvariabele.
  • Filter het vereiste entiteitstype uit andere entiteitstypen.
  • Parseert de resultaten in een JSON-bestand.
  • Maak de waarden als dynamische inhoud voor toekomstig gebruik.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Het volgende moet zijn geïnstalleerd om deze zelfstudie te voltooien:

  • Een Azure-abonnement. Maak een gratis account als u er nog geen hebt.

  • Een Azure-gebruiker met de volgende rollen die zijn toegewezen aan de volgende resources:

    • Microsoft Sentinel-inzender in de Log Analytics-werkruimte waar Microsoft Sentinel wordt geïmplementeerd.
    • Inzender voor logische apps en eigenaar of gelijkwaardig, voor elke resourcegroep die het playbook bevat dat in deze zelfstudie is gemaakt.

  • Een (gratis) VirusTotal-account is voldoende voor deze zelfstudie. Voor een productie-implementatie is een VirusTotal Premium-account vereist.

Een playbook maken met een incidenttrigger

  1. Selecteer voor Microsoft Sentinel in Azure Portal de pagina Configuratieautomatisering>. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel-configuratieautomatisering>>.

  2. Selecteer> Op de pagina Automation playbook maken met incidenttrigger.

  3. Selecteer in de wizard Playbook maken onder Basisbeginselen het abonnement en de resourcegroep en geef het playbook een naam.

  4. Selecteer Volgende: Verbinding maken ions>.

    Onder Verbinding maken ions moet de Microsoft Sentinel- Verbinding maken met een beheerde identiteit zichtbaar zijn. Voorbeeld:

    Schermopname van het maken van een nieuw playbook met een incidenttrigger.

  5. Selecteer Volgende: Controleren en maken >.

  6. Selecteer onder Controleren en maken de optie Maken en doorgaan met ontwerpen.

    De ontwerper van logische apps opent een logische app met de naam van uw playbook.

    Schermopname van het weergeven van het playbook in de ontwerpfunctie voor logische apps.

Een matrixvariabele initialiseren

  1. Selecteer nieuwe stap in de ontwerpfunctie voor logische apps onder de stap waar u een variabele wilt toevoegen.

  2. Typ onder Kies een bewerking in het zoekvak variabelen als uw filter. Selecteer de variabele Initialiseren in de lijst met acties.

  3. Geef deze informatie op over uw variabele:

    • Gebruik entiteiten voor de naam van de variabele.

    • Selecteer Matrix voor het type.

    • Voor de waarde begint u entiteiten te typen en entiteiten te selecteren onder Dynamische inhoud.

      Schermopname van het initialiseren van een matrixvariabele.

Een bestaand incident selecteren

  1. Navigeer in Microsoft Sentinel naar Incidenten en selecteer een incident waarop u het playbook wilt uitvoeren.

  2. Selecteer op de incidentpagina aan de rechterkant het playbook Acties > uitvoeren (preview).

  3. Selecteer Uitvoeren onder Playbooks naast het playbook dat u hebt gemaakt.

    Wanneer het playbook wordt geactiveerd, wordt er in de rechterbovenhoek een playbook geactiveerd .

  4. Selecteer Uitvoeringen en selecteer naast uw playbook De uitvoering weergeven.

    De uitvoeringspagina van de logische app is zichtbaar.

  5. Onder Initialize-variabele is de nettolading van het voorbeeld zichtbaar onder Waarde. Noteer de voorbeeldpayload voor later gebruik.

    Schermopname van het weergeven van de nettolading van het voorbeeld onder het veld Waarde.

Het vereiste entiteitstype filteren op basis van andere entiteitstypen

  1. Ga terug naar de Automation-pagina en selecteer uw playbook.

  2. Selecteer Nieuwe stap onder de stap waar u een variabele wilt toevoegen.

  3. Voer onder Kies een actie in het zoekvak de filtermatrix in als uw filter. Selecteer Gegevensbewerkingen in de lijst met acties.

    Schermopname van het filteren van een matrix en het selecteren van gegevensbewerkingen.

  4. Geef deze informatie op over uw filtermatrix:

    1. Selecteer onder Van>dynamische inhoud de variabele Entiteiten die u eerder hebt geïnitialiseerd.

    2. Selecteer het eerste veld Een waarde kiezen (aan de linkerkant) en selecteer Expressie.

    3. Plak het waardeitem ()?[' kind'] en selecteer OK.

      Schermopname van het invullen van de filtermatrixexpressie.

    4. Laat de waarde gelijk aan (wijzig deze niet).

    5. Typ in het tweede veld Een waardeveld kiezen (aan de rechterkant) Proces. Dit moet exact overeenkomen met de waarde in het systeem.

      Notitie

      Deze query is hoofdlettergevoelig. Zorg ervoor dat de kind waarde overeenkomt met de waarde in de nettolading van het voorbeeld. Bekijk de voorbeeldpayload van waaruit u een playbook maakt.

      Schermopname van het invullen van de filtermatrixgegevens.

De resultaten parseren naar een JSON-bestand

  1. Selecteer nieuwe stap in uw logische app, onder de stap waar u een variabele wilt toevoegen.

  2. Selecteer Gegevensbewerkingen>JSON parseren.

    Schermopname van het selecteren van de optie JSON parseren onder Gegevensbewerkingen.

  3. Geef deze informatie op over uw bewerking:

    1. Selecteer Inhoud en selecteer onder Matrix dynamisch inhoudsfilter>de optie Hoofdtekst.

      Schermopname van het selecteren van dynamische inhoud onder Inhoud.

    2. Plak onder Schema een JSON-schema, zodat u waarden uit een matrix kunt extraheren. Kopieer de voorbeeldpayload die u hebt gegenereerd toen u het playbook maakte.

      Schermopname van het kopiëren van de nettolading van het voorbeeld.

    3. Ga terug naar het playbook en selecteer Voorbeeldpayload gebruiken om een schema te genereren.

      Schermopname van het selecteren van Voorbeeldpayload gebruiken om een schema te genereren.

    4. Plak de nettolading. Voeg een vierkante haak openen ([) toe aan het begin van het schema en sluit deze aan het einde van het schema ].

      Schermopname van het plakken van de nettolading van het voorbeeld.

      Schermopname van het tweede deel van de geplakte nettolading van het voorbeeld.

    5. Selecteer Gereed.

De nieuwe waarden gebruiken als dynamische inhoud voor toekomstig gebruik

U kunt nu de waarden gebruiken die u hebt gemaakt als dynamische inhoud voor verdere acties. Als u bijvoorbeeld een e-mailbericht met procesgegevens wilt verzenden, kunt u de actie JSON parseren onder Dynamische inhoud vinden als u de naam van de actie niet hebt gewijzigd.

Schermopname van het verzenden van een e-mailbericht met procesgegevens.

Zorg ervoor dat uw playbook is opgeslagen

Zorg ervoor dat het playbook is opgeslagen en u kunt nu uw playbook gebruiken voor SOC-bewerkingen.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over het maken en uitvoeren van incidenttaken in Microsoft Sentinel met behulp van playbooks.

Incidenttaken maken en uitvoeren in Microsoft Sentinel met behulp van playbooks