Udostępnij za pośrednictwem

Samouczek: wyodrębnianie jednostek zdarzeń przy użyciu akcji innych niż natywne

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mapowanie jednostek wzbogaca alerty i zdarzenia o informacje niezbędne dla wszelkich procesów śledczych i działań naprawczych, które następują.

Podręczniki usługi Microsoft Sentinel obejmują następujące akcje natywne w celu wyodrębnienia informacji o jednostce:

  • Klienci
  • DNS
  • Skróty plików
  • Hosts
  • Ips
  • Adresy URL

Oprócz tych akcji mapowanie jednostki reguły analitycznej zawiera typy jednostek, które nie są akcjami natywnymi, takimi jak złośliwe oprogramowanie, proces, klucz rejestru, skrzynka pocztowa i inne. Z tego samouczka dowiesz się, jak pracować z akcjami nienatywnych przy użyciu różnych wbudowanych akcji w celu wyodrębnienia odpowiednich wartości.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz podręcznik z wyzwalaczem zdarzenia i uruchom go ręcznie w zdarzeniu.
  • Zainicjuj zmienną tablicową.
  • Filtruj wymagany typ jednostki z innych typów jednostek.
  • Przeanalizuj wyniki w pliku JSON.
  • Utwórz wartości jako zawartość dynamiczną do użycia w przyszłości.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby ukończyć kroki tego samouczka, upewnij się, że dysponujesz następującymi elementami:

  • Subskrypcja Azure. Utwórz bezpłatne konto, jeśli jeszcze go nie masz.

  • Użytkownik platformy Azure z następującymi rolami przypisanymi do następujących zasobów:

    • Współautor usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics, w którym wdrożono usługę Microsoft Sentinel.
    • Współautor aplikacji logiki i właściciel lub odpowiednik, w zależności od grupy zasobów będzie zawierać podręcznik utworzony w tym samouczku.

  • Na potrzeby tego samouczka wystarczy (bezpłatne) konto VirusTotal. Implementacja produkcyjna wymaga konta VirusTotal Premium.

Tworzenie podręcznika z wyzwalaczem zdarzenia

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal wybierz stronę Automatyzacja konfiguracji>. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation.

  2. Na stronie Automatyzacja wybierz pozycję Utwórz>podręcznik z wyzwalaczem zdarzenia.

  3. W kreatorze Tworzenie podręcznika w obszarze Podstawy wybierz subskrypcję i grupę zasobów i nadaj podręcznikowi nazwę.

  4. Wybierz pozycję Dalej: połączenia >.

    W obszarze Połączenia powinna być widoczna opcja Microsoft Sentinel — nawiązywanie połączenia z tożsamością zarządzaną. Na przykład:

    Zrzut ekranu przedstawiający tworzenie nowego podręcznika z wyzwalaczem zdarzenia.

  5. Wybierz pozycję Dalej: Przejrzyj i utwórz plik >.

  6. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz i przejdź do projektanta.

    Projektant aplikacji logiki otwiera aplikację logiki o nazwie podręcznika.

    Zrzut ekranu przedstawiający wyświetlanie podręcznika w projektancie aplikacji logiki.

Inicjowanie zmiennej tablicy

  1. W projektancie aplikacji logiki w kroku, w którym chcesz dodać zmienną, wybierz pozycję Nowy krok.

  2. W obszarze Wybierz operację w polu wyszukiwania wpisz zmienne jako filtr. Z listy akcji wybierz pozycję Inicjuj zmienną.

  3. Podaj te informacje o zmiennej:

    • W polu nazwa zmiennej użyj wartości Entities (Jednostki).

    • Dla typu wybierz pozycję Tablica.

    • Dla wartości rozpocznij wpisywanie jednostek i wybierz pozycję Jednostki w obszarze Zawartość dynamiczna.

      Zrzut ekranu przedstawiający inicjowanie zmiennej tablicowej.

Wybierz istniejące zdarzenie

  1. W usłudze Microsoft Sentinel przejdź do obszaru Incydenty i wybierz zdarzenie, na którym chcesz uruchomić podręcznik.

  2. Na stronie zdarzenia po prawej stronie wybierz pozycję Akcje > Uruchom element playbook (wersja zapoznawcza).

  3. W obszarze Podręczniki obok utworzonego podręcznika wybierz pozycję Uruchom.

    Po wyzwoleniu podręcznika zostanie wyzwolony komunikat o pomyślnym wyzwoleniu elementu playbook w prawym górnym rogu.

  4. Wybierz pozycję Uruchomienia, a następnie obok podręcznika wybierz pozycję Wyświetl przebieg.

    Strona uruchamiania aplikacji logiki jest widoczna.

  5. W obszarze Zainicjuj zmienną przykładowy ładunek jest widoczny w obszarze Wartość. Zanotuj przykładowy ładunek do późniejszego użycia.

    Zrzut ekranu przedstawiający wyświetlanie przykładowego ładunku w polu Wartość.

Filtrowanie wymaganego typu jednostki z innych typów jednostek

  1. Wróć do strony Automatyzacja i wybierz podręcznik.

  2. W kroku, w którym chcesz dodać zmienną, wybierz pozycję Nowy krok.

  3. W obszarze Wybierz akcję w polu wyszukiwania wprowadź tablicę filtru jako filtr. Z listy akcji wybierz pozycję Operacje na danych.

    Zrzut ekranu przedstawiający filtrowanie tablicy i wybieranie operacji na danych.

  4. Podaj te informacje o tablicy filtrów:

    1. W obszarze Z>zawartości dynamicznej wybierz wcześniej zainicjowaną zmienną Jednostki.

    2. Wybierz pierwsze pole Wybierz wartość (po lewej stronie), a następnie wybierz pozycję Wyrażenie.

    3. Wklej element wartości ()?[" kind'], a następnie wybierz przycisk OK.

      Zrzut ekranu przedstawiający wypełnianie wyrażenia tablicy filtru.

    4. Pozostaw wartość jest równa wartości (nie należy jej modyfikować).

    5. W drugim polu Wybierz wartość (po prawej stronie) wpisz Proces. Musi to być dokładne dopasowanie do wartości w systemie.

      Uwaga

      W tym zapytaniu jest uwzględniana wielkość liter. Upewnij się, że wartość jest zgodna kind z wartością w przykładowym ładunku. Zobacz przykładowy ładunek podczas tworzenia podręcznika.

      Zrzut ekranu przedstawiający wypełnianie informacji o tablicy filtrów.

Analizowanie wyników do pliku JSON

  1. W aplikacji logiki w kroku, w którym chcesz dodać zmienną, wybierz pozycję Nowy krok.

  2. Wybierz pozycję Operacje>danych Przeanalizuj dane w formacie JSON.

    Zrzut ekranu przedstawiający wybieranie opcji Przeanalizuj dane JSON w obszarze Operacje na danych.

  3. Podaj te informacje dotyczące operacji:

    1. Wybierz pozycję Zawartość, a następnie w obszarze Tablica filtru zawartości>dynamicznej wybierz pozycję Treść.

      Zrzut ekranu przedstawiający wybieranie zawartości dynamicznej w obszarze Zawartość.

    2. W obszarze Schemat wklej schemat JSON, aby można było wyodrębnić wartości z tablicy. Skopiuj przykładowy ładunek wygenerowany podczas tworzenia podręcznika.

      Zrzut ekranu przedstawiający kopiowanie przykładowego ładunku.

    3. Wróć do podręcznika i wybierz pozycję Użyj przykładowego ładunku, aby wygenerować schemat.

      Zrzut ekranu przedstawiający wybieranie pozycji Użyj przykładowego ładunku do wygenerowania schematu.

    4. Wklej ładunek. Dodaj otwierający nawias kwadratowy ([) na początku schematu i zamknij go na końcu schematu ].

      Zrzut ekranu przedstawiający wklejanie przykładowego ładunku.

      Zrzut ekranu przedstawiający drugą część wklejonego ładunku przykładu.

    5. Wybierz pozycję Gotowe.

Użyj nowych wartości jako zawartości dynamicznej do użycia w przyszłości

Teraz możesz użyć wartości utworzonych jako zawartość dynamiczna w celu wykonania dalszych akcji. Jeśli na przykład chcesz wysłać wiadomość e-mail z danymi przetwarzania, możesz znaleźć akcję Przeanalizuj kod JSON w obszarze Zawartość dynamiczna, jeśli nazwa akcji nie została zmieniona.

Zrzut ekranu przedstawiający wysyłanie wiadomości e-mail z danymi procesu.

Upewnij się, że podręcznik został zapisany

Upewnij się, że podręcznik został zapisany i możesz teraz używać podręcznika na potrzeby operacji SOC.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak tworzyć i wykonywać zadania zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników.

Tworzenie i wykonywanie zadań zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników