Delen via

Zelfstudie: Incidententiteiten ophalen met niet-systeemeigen acties

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Entiteitstoewijzing verrijkt waarschuwingen en incidenten met informatie die essentieel is voor alle onderzoekende processen en herstelacties die volgen.

Microsoft Sentinel-playbooks bevatten deze systeemeigen acties om entiteitsgegevens te extraheren:

  • Rekeningen
  • DNS (Domeinnaamsysteem)
  • Bestands-hashes
  • Gastheren
  • Ips
  • URL's

Naast deze acties bevat analyseregelentiteitstoewijzing entiteitstypen die geen systeemeigen acties zijn, zoals malware, proces, registersleutel, postvak en meer. In deze zelfstudie leert u hoe u met niet-systeemeigen acties kunt werken met behulp van verschillende ingebouwde acties om de relevante waarden te extraheren.

In deze zelfstudie leert u het volgende:

  • Maak een playbook met een incidenttrigger en voer het handmatig uit op het incident.
  • Initialiseer een matrixvariabele.
  • Filter het vereiste entiteitstype uit andere entiteitstypen.
  • Parseert de resultaten in een JSON-bestand.
  • Maak de waarden als dynamische inhoud voor toekomstig gebruik.

Belangrijk

Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.

Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.

Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.

Vereisten

Het volgende moet zijn geïnstalleerd om deze zelfstudie te voltooien:

  • Een Azure-abonnement. Maak een gratis account als u er nog geen hebt.

  • Een Azure-gebruiker met de volgende rollen die zijn toegewezen aan de volgende resources:

  • Een (gratis) VirusTotal-account is voldoende voor deze zelfstudie. Voor een productie-implementatie is een VirusTotal Premium-account vereist.

Een playbook maken met een incidenttrigger

  1. Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel-configuratieautomatisering>>. Selecteer voor Microsoft Sentinel in Azure Portal de pagina Configuratieautomatisering>.

  2. Op de Automation pagina, selecteer Maken>Playbook met incidenttrigger.

  3. Selecteer in de wizard Playbook maken onder Basisbeginselen het abonnement en de resourcegroep en geef het playbook een naam.

  4. Selecteer Volgende: Verbindingen >.

    Onder Verbindingen moet de verbinding met de beheerde identiteit van Microsoft Sentinel zichtbaar zijn. Voorbeeld:

    Schermopname van het maken van een nieuw playbook met een incident-trigger.

  5. Selecteer Volgende: Controleren en aanmaken >.

  6. Selecteer onder Controleren en maken de optie Maken en doorgaan met ontwerpen.

    De ontwerper van logische apps opent een logische app met de naam van uw playbook.

    Schermopname van het weergeven van het playbook in de ontwerpfunctie voor logische apps.

Een matrixvariabele initialiseren

  1. Selecteer nieuwe stap in de ontwerpfunctie voor logische apps onder de stap waar u een variabele wilt toevoegen.

  2. Typ onder Kies een bewerking in het zoekvak variabelen als uw filter. Selecteer de variabele Initialiseren in de lijst met acties.

  3. Geef deze informatie op over uw variabele:

    1. Gebruik entiteiten voor de naam van de variabele.

    2. Voor het type, selecteer Matrix.

    3. Beweeg voor de waarde de muisaanwijzer over het veld Waarde en selecteer fx in de blauwe pictogramgroep aan de linkerkant.

      Schermopname van het initialiseren van een variabele in de ontwerper van logische apps.

    4. Selecteer in het dialoogvenster dat wordt geopend het tabblad Dynamische inhoud en typ entiteiten in het zoekvak.

    5. Selecteer Entiteiten in de lijst en selecteer Toevoegen.

      Schermopname van het selecteren van de waarde Entiteiten in de Logic App-ontwerper.

Een bestaand incident selecteren

  1. Navigeer in Microsoft Sentinel naar Incidenten en selecteer een incident waarop u het playbook wilt uitvoeren.

  2. Selecteer op de incidentpagina aan de rechterkant Acties > Playbook uitvoeren (Preview).

  3. Selecteer onder Playbooks, naast het playbook dat u hebt gemaakt, Uitvoeren.

    Wanneer het playbook wordt geactiveerd, verschijnt er in de rechterbovenhoek een bericht met de tekst Playbook is succesvol geactiveerd.

  4. Selecteer Uitvoeringen en selecteer naast uw playbook De uitvoering weergeven.

    De uitvoeringspagina van de logische app is zichtbaar.

  5. Onder Initialiseer variabele is de voorbeeldpayload zichtbaar onder Waarde. Noteer de voorbeeldpayload voor later gebruik.

    Schermopname van het weergeven van de voorbeeldpayload in het veld Waarde.

Het vereiste entiteitstype filteren op basis van andere entiteitstypen

  1. Navigeer terug naar de Automation-pagina en selecteer uw draaiboek.

  2. Selecteer Nieuwe stap onder de stap waar u een variabele wilt toevoegen.

  3. Voer onder Kies een actie in het zoekvak de filtermatrix in als uw filter. Selecteer Gegevensbewerkingen in de lijst met acties.

    Schermopname van het filteren van een matrix en het selecteren van gegevensbewerkingen.

  4. Geef deze informatie op over uw filtermatrix:

    1. Selecteer onder Van>dynamische inhoud de variabele Entiteiten die u eerder hebt geïnitialiseerd.

    2. Selecteer het eerste veld Een waarde kiezen (aan de linkerkant) en selecteer Expressie.

    3. Plak de waarde item()?['kind'] en selecteer OK.

      Schermopname van het invullen van de filtermatrixexpressie.

    4. Laat de waarde gelijk aan (wijzig deze niet).

    5. Typ in het tweede veld Een waardeveld kiezen (aan de rechterkant) Proces. Dit moet exact overeenkomen met de waarde in het systeem.

      Notitie

      Deze query is hoofdlettergevoelig. Zorg ervoor dat de kind waarde overeenkomt met de waarde in de nettolading van het voorbeeld. Bekijk de voorbeeldpayload van wanneer u een playbook creëert.

      Schermopname van het invullen van de filtermatrixgegevens.

De resultaten parseren naar een JSON-bestand

  1. Selecteer nieuwe stap in uw logische app, onder de stap waar u een variabele wilt toevoegen.

  2. Selecteer Gegevensbewerkingen>JSON parseren.

    Schermopname van het selecteren van de optie JSON parseren onder Gegevensbewerkingen.

  3. Geef deze informatie op over uw bewerking:

    1. Selecteer Inhoud en selecteer onder Dynamische inhoud>Filter arrayHoofdtekst.

      Schermopname van het selecteren van dynamische inhoud onder Inhoud.

    2. Plak onder Schema een JSON-schema, zodat u waarden uit een matrix kunt extraheren. Kopieer de voorbeeldpayload die u hebt gegenereerd toen u het playbook maakte.

      Schermopname van het kopiëren van de nettolading van het voorbeeld.

    3. Ga terug naar het draaiboek en selecteer Voorbeeldpayload gebruiken om een schema te genereren.

      Afbeelding van het selecteren van 'Gebruik voorbeeldpayload om een schema te genereren'.

    4. Plak de nettolading. Voeg een vierkante haak openen ([) toe aan het begin van het schema en sluit deze aan het einde van het schema ].

      Schermafbeelding van het plakken van de voorbeeldpayload.

      Schermopname van het tweede deel van de geplakte voorbeelddata.

    5. Selecteer Gereed.

De nieuwe waarden gebruiken als dynamische inhoud voor toekomstig gebruik

U kunt nu de waarden gebruiken die u hebt gemaakt als dynamische inhoud voor verdere acties. Als u bijvoorbeeld een e-mailbericht met procesgegevens wilt verzenden, kunt u de actie JSON parseren onder Dynamische inhoud vinden als u de naam van de actie niet hebt gewijzigd.

Schermopname van het verzenden van een e-mailbericht met procesgegevens.

Zorg ervoor dat uw playbook is opgeslagen

Zorg ervoor dat het playbook is opgeslagen en u kunt nu uw playbook gebruiken voor SOC-bewerkingen.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over het maken en uitvoeren van incidenttaken in Microsoft Sentinel met behulp van playbooks.

Incidenttaken maken en uitvoeren in Microsoft Sentinel met behulp van playbooks

  • Last updated on