Samouczek: automatyczne sprawdzanie i rejestrowanie informacji o reputacji adresów IP w zdarzeniach

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jednym z szybkich i łatwych sposobów oceny ważności zdarzenia jest sprawdzenie, czy jakiekolwiek adresy IP w nim są znane jako źródła złośliwych działań. Możliwość automatycznego wykonania tej czynności pozwala zaoszczędzić dużo czasu i wysiłku.

W tym samouczku dowiesz się, jak używać reguł automatyzacji Microsoft Sentinel i podręczników do automatycznego sprawdzania adresów IP w zdarzeniach pod kątem źródła analizy zagrożeń i rejestrowania każdego wyniku w odpowiednim zdarzeniu.

Po ukończeniu tego samouczka będzie można wykonywać następujące czynności:

  • Tworzenie podręcznika na podstawie szablonu
  • Konfigurowanie i autoryzowanie połączeń podręcznika z innymi zasobami
  • Tworzenie reguły automatyzacji w celu wywołania podręcznika
  • Wyświetlanie wyników zautomatyzowanego procesu

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Wymagania wstępne

Aby ukończyć ten samouczek, upewnij się, że masz następujące elementy:

  • Subskrypcja Azure. Utwórz bezpłatne konto , jeśli jeszcze go nie masz.

  • Obszar roboczy usługi Log Analytics z wdrożonym rozwiązaniem Microsoft Sentinel i pozyskanymi do niego danymi.

  • Użytkownik Azure z następującymi rolami przypisanymi do następujących zasobów:

  • Zainstalowane rozwiązanie VirusTotal z centrum zawartości

  • Na potrzeby tego samouczka wystarczy (bezpłatne) konto VirusTotal . Implementacja produkcyjna wymaga konta VirusTotal Premium.

  • Agent monitora Azure zainstalowany na co najmniej jednej maszynie w środowisku, dzięki czemu zdarzenia są generowane i wysyłane do Microsoft Sentinel.

Tworzenie podręcznika na podstawie szablonu

Microsoft Sentinel zawiera gotowe, gotowe szablony podręczników, które można dostosować i użyć do automatyzacji dużej liczby podstawowych celów i scenariuszy SecOps. Znajdźmy jeden, aby wzbogacić informacje o adresie IP w naszych zdarzeniach.

  1. W Microsoft Sentinel wybierz pozycję Automatyzacja konfiguracji>.

  2. Na stronie Automatyzacja wybierz kartę Szablony podręczników (wersja zapoznawcza ).

  3. Znajdź i wybierz jeden z szablonów raportów Wzbogacanie adresów IP — Suma wirusów dla jednostek, zdarzeń lub wyzwalaczy alertów. W razie potrzeby przefiltruj listę według tagu Wzbogacanie , aby znaleźć szablony.

  4. Wybierz pozycję Utwórz podręcznik w okienku szczegółów. Przykład:

    Zrzut ekranu przedstawiający wybrany szablon Wzbogacanie adresów IP — Raport sumy wirusów — wyzwalacz jednostki.

  5. Zostanie otwarty kreator tworzenia podręcznika . Na karcie Podstawy :

    1. Wybierz subskrypcję, grupę zasobów i region z odpowiednich list rozwijanych.

    2. Edytuj nazwę podręcznika , dodając na końcu sugerowanej nazwy "Get-VirusTotalIPReport". W ten sposób będzie można stwierdzić, z którego oryginalnego szablonu pochodzi ten podręcznik, przy jednoczesnym zapewnieniu, że ma unikatową nazwę na wypadek, gdy chcesz utworzyć kolejny podręcznik na podstawie tego samego szablonu. Nazwijmy to "Get-VirusTotalIPReport-Tutorial-1".

    3. Pozostaw niezaznaczone opcję Włącz dzienniki diagnostyczne w usłudze Log Analytics .

    4. Wybierz pozycję Dalej: Połączenia >.

  6. Na karcie Połączenia zostaną wyświetlone wszystkie połączenia, które ten podręcznik musi nawiązać z innymi usługami, oraz metodę uwierzytelniania, która będzie używana, jeśli połączenie zostało już nawiązane w istniejącym przepływie pracy aplikacji logiki w tej samej grupie zasobów.

    1. Pozostaw połączenie Microsoft Sentinel tak, jak jest (powinno to oznaczać "Połącz za pomocą tożsamości zarządzanej").

    2. Jeśli jakiekolwiek połączenia mówią "Nowe połączenie zostanie skonfigurowane", zostanie wyświetlony monit o to na następnym etapie samouczka. Jeśli masz już połączenia z tymi zasobami, wybierz strzałkę ekspandera po lewej stronie połączenia i wybierz istniejące połączenie z listy rozwiniętej. W tym ćwiczeniu pozostawimy go tak, jak jest.

      Zrzut ekranu przedstawiający kartę Połączenia kreatora tworzenia podręcznika.

    3. Wybierz pozycję Dalej: Przejrzyj i utwórz >.

  7. Na karcie Przeglądanie i tworzenie przejrzyj wszystkie wprowadzone informacje, które są wyświetlane tutaj, a następnie wybierz pozycję Utwórz podręcznik.

    Zrzut ekranu przedstawiający kartę Przeglądanie i tworzenie w kreatorze tworzenia podręcznika.

    Po wdrożeniu podręcznika zobaczysz szybką serię powiadomień o jego postępie. Następnie zostanie otwarty projektant aplikacji logiki z wyświetlonym podręcznikiem. Nadal musimy autoryzować połączenia aplikacji logiki z zasobami, z których korzysta, aby można było uruchomić podręcznik. Następnie przejrzymy każdą akcję w podręczniku, aby upewnić się, że są one odpowiednie dla naszego środowiska, w razie potrzeby wprowadzając zmiany.

    Zrzut ekranu przedstawiający otwarty podręcznik w oknie projektanta aplikacji logiki.

Autoryzowanie połączeń aplikacji logiki

Przypomnij sobie, że po utworzeniu podręcznika na podstawie szablonu powiedziano nam, że Azure log analytics data collector and Virus Total connections (Moduł zbierający dane usługi Log Analytics i łączna liczba połączeń wirusów) zostaną skonfigurowane później.

Zrzut ekranu przedstawiający przegląd informacji z kreatora tworzenia podręcznika.

Oto, gdzie to robimy.

Autoryzuj łączną liczbę połączeń wirusów

  1. Wybierz akcję Dla każdej akcji, aby ją rozwinąć i przejrzeć jej zawartość, która zawiera akcje, które zostaną wykonane dla każdego adresu IP. Przykład:

    Zrzut ekranu przedstawiający akcję instrukcji pętli dla każdej pętli w projektancie aplikacji logiki.

  2. Pierwszy widoczny element akcji ma etykietę Połączenia i ma pomarańczowy trójkąt ostrzegawczy.

    Jeśli zamiast tego pierwsza akcja ma etykietę Pobierz raport ip (wersja zapoznawcza), oznacza to, że masz już istniejące połączenie z sumą wirusów i możesz przejść do następnego kroku.

    1. Wybierz akcję Połączenia , aby ją otworzyć.

    2. Wybierz ikonę w kolumnie Nieprawidłowe dla wyświetlonego połączenia.

      Zrzut ekranu przedstawiający nieprawidłową konfigurację połączenia Suma wirusów.

      Zostanie wyświetlony monit o podanie informacji o połączeniu.

      Zrzut ekranu przedstawiający sposób wprowadzania klucza interfejsu API i innych szczegółów połączenia dla sumy wirusów.

    3. Wprowadź wartość "Suma wirusów" jako nazwę połączenia.

    4. W przypadku api_key x skopiuj i wklej klucz interfejsu API z konta Virus Total.

    5. Wybierz pozycję Aktualizuj.

    6. Teraz zobaczysz akcję Pobierz raport ip (wersja zapoznawcza). (Jeśli masz już konto Suma wirusów, będziesz już na tym etapie).

      Zrzut ekranu przedstawia akcję przesyłania adresu IP do sumy wirusów, aby otrzymać raport na ten temat.

Autoryzowanie połączenia usługi Log Analytics

Następna akcja to Warunek , który określa pozostałe akcje pętli dla każdej pętli na podstawie wyniku raportu adresu IP. Analizuje ona wynik reputacji podany na adres IP w raporcie. Wynik wyższy niż 0 wskazuje, że adres jest nieszkodliwy; wynik niższy niż 0 wskazuje, że jest złośliwy.

Zrzut ekranu przedstawiający akcję warunku w projektancie aplikacji logiki.

Niezależnie od tego, czy warunek ma wartość true, czy false, chcemy wysłać dane w raporcie do tabeli w usłudze Log Analytics, aby można było wykonać zapytanie i przeanalizować je oraz dodać komentarz do zdarzenia.

Ale jak zobaczysz, mamy więcej nieprawidłowych połączeń, które musimy autoryzować.

Zrzut ekranu przedstawiający scenariusze true i false dla zdefiniowanego warunku.

  1. Wybierz akcję Połączenia w ramce True .

  2. Wybierz ikonę w kolumnie Nieprawidłowe dla wyświetlonego połączenia.

    Zrzut ekranu przedstawiający nieprawidłową konfigurację połączenia usługi Log Analytics.

    Zostanie wyświetlony monit o podanie informacji o połączeniu.

    Zrzut ekranu przedstawiający sposób wprowadzania identyfikatora i klucza obszaru roboczego oraz innych szczegółów połączenia dla usługi Log Analytics.

  3. Wprowadź wartość "Log Analytics" jako nazwę połączenia.

  4. W przypadku identyfikatora obszaru roboczego skopiuj i wklej identyfikator ze strony Przegląd ustawień obszaru roboczego usługi Log Analytics.

  5. Wybierz pozycję Aktualizuj.

  6. Teraz zobaczysz akcję Wyślij dane prawidłowo. (Jeśli masz już połączenie usługi Log Analytics z usługi Logic Apps, będziesz już na tym etapie).

    Zrzut ekranu przedstawiający akcję wysyłania rekordu raportu Suma wirusów do tabeli w usłudze Log Analytics.

  7. Teraz wybierz akcję Połączenia w ramce Fałsz . Ta akcja używa tego samego połączenia co ta w ramce True.

  8. Sprawdź, czy połączenie o nazwie Log Analytics jest oznaczone, a następnie wybierz pozycję Anuluj. Dzięki temu akcja będzie teraz prawidłowo wyświetlana w podręczniku.

    Zrzut ekranu przedstawiający drugą nieprawidłową konfigurację połączenia usługi Log Analytics.

    Teraz zobaczysz cały podręcznik, poprawnie skonfigurowany.

  9. Bardzo ważne! Nie zapomnij wybrać pozycji Zapisz w górnej części okna projektanta aplikacji logiki . Po wyświetleniu komunikatów powiadomień o pomyślnym zapisaniu podręcznika na karcie Aktywne podręczniki* na stronie automatyzacji zostanie wyświetlony podręcznik.

Tworzenie reguły automatyzacji

Teraz, aby faktycznie uruchomić ten podręcznik, musisz utworzyć regułę automatyzacji, która będzie uruchamiana po utworzeniu zdarzeń i wywołaniu podręcznika.

  1. Na stronie Automatyzacja wybierz pozycję + Utwórz na górnym banerze. Z menu rozwijanego wybierz pozycję Reguła automatyzacji.

    Zrzut ekranu przedstawiający tworzenie reguły automatyzacji na stronie automatyzacji.

  2. W panelu Tworzenie nowej reguły automatyzacji nadaj regule nazwę "Samouczek: wzbogacanie informacji o adresie IP".

    Zrzut ekranu przedstawiający tworzenie reguły automatyzacji, nazywanie jej i dodawanie warunku.

  3. W obszarze Warunki wybierz pozycję + Dodaj i warunek (I).

    Zrzut ekranu przedstawiający dodawanie warunku do reguły automatyzacji.

  4. Wybierz pozycję Adres IP z listy rozwijanej właściwości po lewej stronie. Wybierz pozycję Zawiera z listy rozwijanej operatora i pozostaw pole wartości puste. W praktyce oznacza to, że reguła będzie miała zastosowanie do zdarzeń, które mają pole adresu IP zawierające dowolne elementy.

    Nie chcemy, aby żadne reguły analizy nie były objęte tą automatyzacją, ale nie chcemy, aby automatyzacja była wyzwalana niepotrzebnie, dlatego ograniczymy zasięg do zdarzeń zawierających jednostki adresów IP.

    Zrzut ekranu przedstawiający definiowanie warunku do dodania do reguły automatyzacji.

  5. W obszarze Akcje wybierz pozycję Uruchom podręcznik z listy rozwijanej.

  6. Wybierz wyświetloną nową listę rozwijaną.

    Zrzut ekranu przedstawiający sposób wybierania podręcznika z listy podręczników — część 1.

    Zostanie wyświetlona lista wszystkich podręczników w subskrypcji. Wyszarzone są te, do których nie masz dostępu. W polu tekstowym Wyszukaj podręczniki zacznij wpisywać nazwę podręcznika utworzonego powyżej lub dowolną część nazwy. Lista podręczników będzie dynamicznie filtrowana przy użyciu każdej wpisanej litery.

    Zrzut ekranu przedstawiający sposób wybierania podręcznika z listy podręczników — część 2.

    Gdy na liście zostanie wyświetlony podręcznik, wybierz go.

    Zrzut ekranu przedstawiający sposób wybierania podręcznika z listy podręczników — część 3.

    Jeśli podręcznik jest wyszarzona, wybierz link Zarządzaj uprawnieniami podręcznika (w akapicie precyzyjnym poniżej, gdzie wybrano podręcznik — zobacz zrzut ekranu powyżej). W otwierającym się panelu wybierz grupę zasobów zawierającą podręcznik z listy dostępnych grup zasobów, a następnie wybierz pozycję Zastosuj.

  7. Wybierz ponownie pozycję + Dodaj akcję . Teraz z wyświetlonej listy rozwijanej nowej akcji wybierz pozycję Dodaj tagi.

  8. Wybierz pozycję + Dodaj tag. Wprowadź ciąg "Adresy IP wzbogacone w samouczek" jako tekst tagu i wybierz przycisk OK.

    Zrzut ekranu przedstawiający sposób dodawania tagu do reguły automatyzacji.

  9. Pozostaw pozostałe ustawienia bez zmian, a następnie wybierz pozycję Zastosuj.

Weryfikowanie pomyślnej automatyzacji

  1. Na stronie Zdarzenia wprowadź tekst tagu Adresy IP wzbogacone w samouczek na pasku wyszukiwania i naciśnij klawisz Enter, aby odfiltrować listę zdarzeń z zastosowanym tagiem. Są to zdarzenia, na których uruchomiono naszą regułę automatyzacji.

  2. Otwórz co najmniej jedno z tych zdarzeń i sprawdź, czy istnieją komentarze dotyczące adresów IP. Obecność tych komentarzy wskazuje, że podręcznik został uruchomiony w zdarzeniu.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tego scenariusza automatyzacji, usuń utworzony podręcznik i regułę automatyzacji, wykonując następujące kroki:

  1. Na stronie Automatyzacja wybierz kartę Aktywne podręczniki .

  2. Wprowadź nazwę (lub część nazwy) podręcznika utworzonego na pasku wyszukiwania .
    (Jeśli nie jest wyświetlany, upewnij się, że wszystkie filtry są ustawione na Wybierz wszystko).

  3. Zaznacz pole wyboru obok podręcznika na liście, a następnie wybierz pozycję Usuń z górnego baneru.
    (Jeśli nie chcesz go usunąć, możesz wybrać pozycję Wyłącz ).

  4. Wybierz kartę Reguły automatyzacji .

  5. Wprowadź nazwę (lub część nazwy) reguły automatyzacji utworzonej na pasku wyszukiwania .
    (Jeśli nie jest wyświetlany, upewnij się, że wszystkie filtry są ustawione na Wybierz wszystko).

  6. Zaznacz pole wyboru obok reguły automatyzacji na liście, a następnie wybierz pozycję Usuń na górnym banerze.
    (Jeśli nie chcesz go usunąć, możesz wybrać pozycję Wyłącz ).

Zawartość pokrewna

Teraz, gdy już wiesz, jak zautomatyzować podstawowy scenariusz wzbogacania incydentów, dowiedz się więcej na temat automatyzacji i innych scenariuszy, w których możesz go używać.

  • Last updated on