Udostępnij za pośrednictwem

Samouczek: automatyczne sprawdzanie i rejestrowanie informacji o reputacji adresów IP w zdarzeniach

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Jednym z szybkich i łatwych sposobów oceny ważności zdarzenia jest sprawdzenie, czy jakiekolwiek adresy IP w nim są znane jako źródła złośliwych działań. Dzięki temu możesz automatycznie zaoszczędzić dużo czasu i wysiłku.

W tym samouczku dowiesz się, jak używać reguł automatyzacji i podręczników usługi Microsoft Sentinel do automatycznego sprawdzania adresów IP w zdarzeniach względem źródła analizy zagrożeń i rejestrowania każdego wyniku w odpowiednim zdarzeniu.

Po ukończeniu tego samouczka będziesz mieć następujące możliwości:

  • Tworzenie podręcznika na podstawie szablonu
  • Konfigurowanie i autoryzacja połączeń podręcznika z innymi zasobami
  • Tworzenie reguły automatyzacji w celu wywołania podręcznika
  • Wyświetlanie wyników zautomatyzowanego procesu

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby ukończyć kroki tego samouczka, upewnij się, że dysponujesz następującymi elementami:

  • Subskrypcja Azure. Utwórz bezpłatne konto, jeśli jeszcze go nie masz.

  • Obszar roboczy usługi Log Analytics z wdrożonym rozwiązaniem usługi Microsoft Sentinel i pozyskiwanym do niego danymi.

  • Użytkownik platformy Azure z następującymi rolami przypisanymi do następujących zasobów:

    • Współautor usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics, w którym wdrożono usługę Microsoft Sentinel.
    • Współautor aplikacji logiki i właściciel lub odpowiednik, w zależności od grupy zasobów będzie zawierać podręcznik utworzony w tym samouczku.

  • Na potrzeby tego samouczka wystarczy (bezpłatne) konto VirusTotal. Implementacja produkcyjna wymaga konta VirusTotal Premium.

Tworzenie podręcznika na podstawie szablonu

Usługa Microsoft Sentinel zawiera gotowe, gotowe do użycia szablony podręczników, które można dostosować i użyć do automatyzacji dużej liczby podstawowych celów i scenariuszy SecOps. Znajdźmy jeden, aby wzbogacić informacje o adresie IP w naszych incydentach.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.

  2. Na stronie Automatyzacja wybierz kartę Szablony podręczników (wersja zapoznawcza).

  3. Filtruj listę szablonów według tagu:

    1. Wybierz przełącznik Filtr Tagi w górnej części listy (po prawej stronie pola Wyszukaj).

    2. Wyczyść pole wyboru Zaznacz wszystko, a następnie zaznacz pole wyboru Wzbogacanie. Wybierz przycisk OK.

    Na przykład:

    Zrzut ekranu przedstawiający listę szablonów podręczników do filtrowania według tagów.

  4. Wybierz szablon Raport Wzbogacanie adresu IP — suma wirusów, a następnie wybierz pozycję Utwórz podręcznik w okienku szczegółów.

    Zrzut ekranu przedstawiający wybieranie szablonu podręcznika, z którego ma zostać utworzony podręcznik.

  5. Zostanie otwarty kreator Tworzenia podręcznika . Na karcie Podstawy :

    1. Wybierz swoją subskrypcję, grupę zasobów i region z odpowiednich list rozwijanych.

    2. Edytuj nazwę podręcznika, dodając na końcu sugerowanej nazwy "Get-VirusTotalIPReport". (W ten sposób będzie można określić, z którego oryginalnego szablonu pochodzi ten podręcznik, przy jednoczesnym zapewnieniu, że ma on unikatową nazwę w przypadku utworzenia innego podręcznika na podstawie tego samego szablonu). Nazwijmy to "Get-VirusTotalIPReport-Tutorial-1".

    3. Pozostawmy ostatnie dwa pola wyboru bez znaku, ponieważ nie potrzebujemy tych usług w tym przypadku:

      • Włączanie dzienników diagnostycznych w usłudze Log Analytics
      • Kojarzenie ze środowiskiem usługi integracji

      Zrzut ekranu przedstawiający kartę Podstawowe w kreatorze tworzenia podręcznika.

    4. Wybierz pozycję Dalej: Połączenia >.

  6. Na karcie Połączenia zobaczysz wszystkie połączenia, które ten podręcznik musi wykonać w innych usługach, oraz metodę uwierzytelniania, która będzie używana, jeśli połączenie zostało już nawiązane w istniejącym przepływie pracy aplikacji logiki w tej samej grupie zasobów.

    1. Pozostaw połączenie usługi Microsoft Sentinel w następujący sposób (powinno to być "Nawiązywanie połączenia z tożsamością zarządzaną").

    2. Jeśli jakiekolwiek połączenia mówią "Nowe połączenie zostanie skonfigurowane", zostanie wyświetlony monit o to na następnym etapie samouczka. Jeśli masz już połączenia z tymi zasobami, wybierz strzałkę rozwijania po lewej stronie połączenia i wybierz istniejące połączenie z rozwiniętej listy. W tym ćwiczeniu pozostawimy to tak, jak to jest.

      Zrzut ekranu przedstawiający kartę Połączenia kreatora tworzenia podręcznika.

    3. Wybierz pozycję Dalej: Przejrzyj i utwórz plik >.

  7. Na karcie Przeglądanie i tworzenie przejrzyj wszystkie wprowadzone tutaj informacje, a następnie wybierz pozycję Utwórz i przejdź do projektanta.

    Zrzut ekranu przedstawiający kartę Przeglądanie i tworzenie z poziomu kreatora tworzenia podręcznika.

    W miarę wdrażania podręcznika zobaczysz szybką serię powiadomień o jego postępie. Następnie zostanie otwarty projektant aplikacji logiki z wyświetlonym podręcznikiem. Nadal musimy autoryzować połączenia aplikacji logiki z zasobami, z którymi współdziała, aby podręcznik mógł działać. Następnie przejrzymy każdą z akcji w podręczniku, aby upewnić się, że są one odpowiednie dla naszego środowiska, wprowadzając zmiany w razie potrzeby.

    Zrzut ekranu przedstawiający podręcznik otwarty w oknie projektanta aplikacji logiki.

Autoryzowanie połączeń aplikacji logiki

Pamiętaj, że podczas tworzenia podręcznika na podstawie szablonu powiedziano nam, że połączenia modułu zbierającego dane usługi Azure Log Analytics i łączna liczba wirusów zostaną skonfigurowane później.

Zrzut ekranu przedstawiający przeglądanie informacji z kreatora tworzenia podręcznika.

Oto, gdzie to robimy.

Autoryzowanie połączenia antywirusowego Całkowita liczba połączeń

  1. Wybierz opcję Dla każdej akcji, aby ją rozwinąć i przejrzeć jej zawartość (akcje, które zostaną wykonane dla każdego adresu IP).

    Zrzut ekranu przedstawiający akcję instrukcji pętli dla każdego w projektancie aplikacji logiki.

  2. Pierwszy widoczny element akcji ma etykietę Połączenia i ma pomarańczowy trójkąt ostrzegawczy.

    (Jeśli zamiast tego pierwsza akcja jest oznaczona etykietą Pobierz raport IP (wersja zapoznawcza), co oznacza, że masz już istniejące połączenie z sumą wirusów i możesz przejść do następnego kroku).

    1. Wybierz akcję Połączenia, aby ją otworzyć.

    2. Wybierz ikonę w kolumnie Nieprawidłowa dla wyświetlonego połączenia.

      Zrzut ekranu przedstawiający nieprawidłową konfigurację połączenia Suma wirusów.

      Zostanie wyświetlony monit o podanie informacji o połączeniu.

      Zrzut ekranu przedstawiający sposób wprowadzania klucza interfejsu API i innych szczegółów połączenia dla sumy wirusów.

    3. Wprowadź wartość "Suma wirusa" jako nazwę połączenia.

    4. W przypadku api_key x skopiuj i wklej klucz interfejsu API z konta Suma wirusów.

    5. Wybierz Aktualizuj.

    6. Teraz zobaczysz prawidłowo akcję Pobierz raport IP (wersja zapoznawcza). (Jeśli masz już konto Suma wirusów, będziesz już na tym etapie).

      Zrzut ekranu przedstawia akcję w celu przesłania adresu IP do sumy wirusów w celu otrzymania raportu o nim.

Autoryzowanie połączenia usługi Log Analytics

Następną akcją jest warunek , który określa resztę akcji pętli dla każdego na podstawie wyniku raportu adresu IP. Analizuje wynik reputacji podany dla adresu IP w raporcie. Wynik wyższy niż 0 wskazuje, że adres jest nieszkodliwy. Wynik niższy niż 0 wskazuje, że jest złośliwy.

Zrzut ekranu przedstawiający akcję warunku w projektancie aplikacji logiki.

Niezależnie od tego, czy warunek ma wartość true, czy false, chcemy wysłać dane w raporcie do tabeli w usłudze Log Analytics, aby można było wykonywać zapytania i analizować je oraz dodawać komentarz do zdarzenia.

Ale jak zobaczysz, mamy więcej nieprawidłowych połączeń, które musimy autoryzować.

Zrzut ekranu przedstawiający scenariusze true i false dla zdefiniowanego warunku.

  1. Wybierz akcję Połączenia w ramce True.

  2. Wybierz ikonę w kolumnie Nieprawidłowa dla wyświetlonego połączenia.

    Zrzut ekranu przedstawiający nieprawidłową konfigurację połączenia usługi Log Analytics.

    Zostanie wyświetlony monit o podanie informacji o połączeniu.

    Zrzut ekranu przedstawia sposób wprowadzania identyfikatora i klucza obszaru roboczego oraz innych szczegółów połączenia dla usługi Log Analytics.

  3. Wprowadź wartość "Log Analytics" jako nazwę połączenia.

  4. W obszarze Klucz obszaru roboczego i identyfikator obszaru roboczego skopiuj i wklej klucz oraz identyfikator z ustawień obszaru roboczego usługi Log Analytics. Można je znaleźć na stronie Zarządzanie agentami w ekspanderze instrukcji agenta usługi Log Analytics.

  5. Wybierz Aktualizuj.

  6. Teraz zobaczysz prawidłowo akcję Wyślij dane . (Jeśli masz już połączenie usługi Log Analytics z usługi Logic Apps, będziesz już na tym etapie).

    Zrzut ekranu przedstawiający akcję wysyłania rekordu raportu Suma wirusa do tabeli w usłudze Log Analytics.

  7. Teraz wybierz akcję Połączenia w ramce False . Ta akcja używa tego samego połączenia co połączenie w ramce True.

  8. Sprawdź, czy połączenie o nazwie Log Analytics jest oznaczone, a następnie wybierz pozycję Anuluj. Dzięki temu akcja będzie teraz prawidłowo wyświetlana w podręczniku.

    Zrzut ekranu przedstawiający drugą nieprawidłową konfigurację połączenia usługi Log Analytics.

    Teraz zobaczysz cały podręcznik, prawidłowo skonfigurowany.

  9. Bardzo ważne! Nie zapomnij wybrać pozycji Zapisz w górnej części okna projektanta aplikacji logiki. Po wyświetleniu komunikatów z powiadomieniami, że podręcznik został pomyślnie zapisany, na karcie Aktywnych podręczników* na stronie Automatyzacja zostanie wyświetlony podręcznik.

Tworzenie reguły automatyzacji

Teraz, aby faktycznie uruchomić ten podręcznik, należy utworzyć regułę automatyzacji, która będzie uruchamiana po utworzeniu zdarzeń i wywołaniu podręcznika.

  1. Na stronie Automatyzacja wybierz pozycję + Utwórz na górnym banerze. Z menu rozwijanego wybierz pozycję Reguła automatyzacji.

    Zrzut ekranu przedstawiający tworzenie reguły automatyzacji na stronie Automatyzacja.

  2. W panelu Tworzenie nowej reguły automatyzacji nadaj regule nazwę "Samouczek: wzbogacanie informacji o adresie IP".

    Zrzut ekranu przedstawiający tworzenie reguły automatyzacji, nazywanie jej i dodawanie warunku.

  3. W obszarze Warunki wybierz pozycję + Dodaj i warunek (i).

    Zrzut ekranu przedstawiający dodawanie warunku do reguły automatyzacji.

  4. Wybierz pozycję Adres IP z listy rozwijanej właściwości po lewej stronie. Wybierz pozycję Zawiera z listy rozwijanej operatora i pozostaw pole wartości puste. Oznacza to, że reguła będzie stosowana do zdarzeń, które mają pole adresu IP, które zawiera dowolne elementy.

    Nie chcemy, aby żadne reguły analizy nie były objęte tą automatyzacją, ale nie chcemy, aby automatyzacja była wyzwalana niepotrzebnie, dlatego ograniczymy pokrycie zdarzeń zawierających jednostki adresów IP.

    Zrzut ekranu przedstawiający definiowanie warunku do dodania do reguły automatyzacji.

  5. W obszarze Akcje wybierz pozycję Uruchom element playbook z listy rozwijanej.

  6. Wybierz nową listę rozwijaną, która zostanie wyświetlona.

    Zrzut ekranu przedstawiający sposób wybierania podręcznika z listy podręczników — część 1.

    Zostanie wyświetlona lista wszystkich podręczników w ramach subskrypcji. Szare są te, do których nie masz dostępu. W polu tekstowym Wyszukaj podręczniki zacznij wpisywać nazwę lub dowolną część nazwy podręcznika utworzonego powyżej. Lista podręczników będzie dynamicznie filtrowana przy użyciu każdej wpisanej litery.

    Zrzut ekranu przedstawiający sposób wybierania podręcznika z listy podręczników — część 2.

    Po wyświetleniu podręcznika na liście wybierz go.

    Zrzut ekranu przedstawiający sposób wybierania podręcznika z listy podręczników — część 3.

    Jeśli podręcznik jest wyszaryzowany, wybierz link Zarządzaj uprawnieniami podręcznika (w poniższym akapicie z precyzyjnym drukowaniem, w którym wybrano podręcznik — zobacz powyższy zrzut ekranu). W wyświetlonym panelu wybierz grupę zasobów zawierającą podręcznik z listy dostępnych grup zasobów, a następnie wybierz pozycję Zastosuj.

  7. Ponownie wybierz pozycję + Dodaj akcję . Teraz z wyświetlonej listy rozwijanej nowej akcji wybierz pozycję Dodaj tagi.

  8. Wybierz pozycję + Dodaj tag. Wprowadź tekst tagu "Tutorial-Enriched IP address" (Adresy IP wzbogacone w samouczku) i wybierz przycisk OK.

    Zrzut ekranu przedstawiający sposób dodawania tagu do reguły automatyzacji.

  9. Pozostaw pozostałe ustawienia tak, jak są, a następnie wybierz pozycję Zastosuj.

Weryfikowanie pomyślnej automatyzacji

  1. Na stronie Incydenty wprowadź tekst tagu Tutorial-Enriched IP adresy IP na pasku wyszukiwania i naciśnij Enter, aby przefiltrować listę zdarzeń z zastosowanym tagiem. Są to zdarzenia uruchamiane przez naszą regułę automatyzacji.

  2. Otwórz co najmniej jeden z tych zdarzeń i sprawdź, czy istnieją tam komentarze dotyczące adresów IP. Obecność tych komentarzy wskazuje, że podręcznik był uruchamiany na incydencie.

Czyszczenie zasobów

Jeśli nie zamierzasz nadal korzystać z tego scenariusza automatyzacji, usuń podręcznik i regułę automatyzacji utworzoną przy użyciu następujących kroków:

  1. Na stronie Automatyzacja wybierz kartę Aktywne podręczniki.

  2. Wprowadź nazwę (lub część nazwy) podręcznika utworzonego na pasku wyszukiwania .
    (Jeśli nie jest wyświetlany, upewnij się, że wszystkie filtry są ustawione na Wybierz wszystko.

  3. Zaznacz pole wyboru obok podręcznika na liście, a następnie wybierz pozycję Usuń z górnego baneru.
    (Jeśli nie chcesz go usunąć, możesz wybrać opcję Wyłącz zamiast tego).

  4. Wybierz kartę Reguły automatyzacji.

  5. Wprowadź nazwę (lub część nazwy) reguły automatyzacji utworzonej na pasku wyszukiwania .
    (Jeśli nie jest wyświetlany, upewnij się, że wszystkie filtry są ustawione na Wybierz wszystko.

  6. Zaznacz pole wyboru obok reguły automatyzacji na liście, a następnie wybierz pozycję Usuń z górnego baneru.
    (Jeśli nie chcesz go usunąć, możesz wybrać opcję Wyłącz zamiast tego).

Następne kroki

Teraz, gdy wiesz już, jak zautomatyzować podstawowy scenariusz wzbogacania zdarzeń, dowiedz się więcej o automatyzacji i innych scenariuszach, w których można go używać.