Share via

Tutorial: Verificar e registrar automaticamente informações de reputação de endereço IP em incidentes

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Uma maneira rápida e fácil de avaliar a gravidade de um incidente é ver se algum endereço IP nele é uma fonte conhecida de atividade mal-intencionada. Ter uma maneira de fazer isso automaticamente pode poupar muito tempo e esforço.

Neste tutorial, você aprenderá a usar as regras de automação e os guias estratégicos do Microsoft Sentinel para verificar automaticamente endereços IP em seus incidentes em relação a uma fonte de inteligência contra ameaças e registrar cada resultado no incidente relevante.

Após concluir este tutorial, você poderá:

  • Criar um guia estratégico com base em um modelo
  • Configurar e autorizar conexões do guia estratégico com outros recursos
  • Criar uma regra de automação para invocar o guia estratégico
  • Ver os resultados do processo automatizado

Importante

O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para concluir este tutorial, verifique se você tem:

  • Uma assinatura do Azure. Crie uma conta gratuita caso ainda não tenha uma.

  • Um workspace do Log Analytics com a solução Microsoft Sentinel implantada e dados sendo ingeridos.

  • Um usuário do Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Uma conta do VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta Premium do VirusTotal.

Criar um guia estratégico com base em um modelo

O Microsoft Sentinel inclui modelos de guia estratégico prontos para uso que você pode personalizar e usar para automatizar um grande número de objetivos e cenários básicos de SecOps. Vamos encontrar uma para enriquecer as informações de endereço IP em nossos incidentes.

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Configuração>Automação. Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuração>Automação.

  2. Na página Automação, selecione a guia Modelos de guia estratégico (versão prévia).

  3. Filtre a lista de modelos por marca:

    1. Selecione a alternância do filtro Marcas na parte superior da lista (à direita do campo Pesquisar).

    2. Desmarque a caixa de seleção Selecionar tudo e marque a caixa de seleção Enriquecimento. Selecione OK.

    Por exemplo:

    Captura de tela da lista de modelos de guia estratégico a serem filtrados pelas marcas.

  4. Selecione o modelo Enriquecimento de IP – Relatório do Virus Total e escolha Criar guia estratégico no painel de detalhes.

    Captura de tela da seleção de um modelo de guia estratégico com base no qual criar um guia estratégico.

  5. O assistente Criar guia estratégico será aberto. Na guia Básico:

    1. Selecione a Assinatura, o Grupo de recursos e a Região nas respectivas listas suspensas.

    2. Edite o Nome do guia estratégico adicionando ao final do nome sugerido "Get-VirusTotalIPReport". (Assim, você saberá de qual modelo original esse guia estratégico veio, ao mesmo tempo em que garante que ele tenha um nome exclusivo caso queira criar outro guia estratégico com base nesse mesmo modelo.) Vamos chamá-lo de "Get-VirusTotalIPReport-Tutorial-1".

    3. Vamos deixar as duas últimas caixas de seleção desmarcadas, pois não precisamos desses serviços neste caso:

      • Habilitar logs de diagnóstico na Análise de Logs
      • Associar ao Ambiente de Serviço de Integração

      Captura de tela da guia Básico do assistente de criação de guias estratégicos.

    4. Selecione Avançar : Conexões >.

  6. Na guia Conexões, você verá todas as conexões que esse guia estratégico precisa fazer com outros serviços, bem como o método de autenticação que será usado se a conexão já tiver sido feita em um fluxo de trabalho existente do Aplicativo Lógico no mesmo grupo de recursos.

    1. Deixe a conexão do Microsoft Sentinel como está (ela deve dizer "Conectar-se com a identidade gerenciada").

    2. Se alguma conexão disser "Uma nova conexão será configurada", você precisará fazer isso na próxima fase do tutorial. Ou, se você já tiver conexões com esses recursos, selecione a seta de expansão à esquerda da conexão e escolha uma conexão existente na lista expandida. Para este exercício, vamos deixá-la como está.

      Captura de tela da guia Conexões do assistente de criação de guias estratégicos.

    3. Clique em Avançar : Revisar e criar >.

  7. Na guia Examinar e criar, examine todas as informações inseridas conforme elas são exibidas aqui e selecione Criar e continuar no designer.

    Captura de tela da guia Examinar e criar do assistente de criação de guias estratégicos.

    À medida que o guia estratégico for implantado, você verá uma série rápida de notificações do progresso. Em seguida, o Designer de aplicativo lógico será aberto com o guia estratégico exibido. Ainda precisamos autorizar as conexões do aplicativo lógico com os recursos com os quais ele interage para que o guia estratégico possa ser executado. Em seguida, examinaremos cada uma das ações no guia estratégico para garantir que sejam adequadas para nosso ambiente, fazendo alterações se necessário.

    Captura de tela do guia estratégico aberto na janela do designer do aplicativo lógico.

Autorizar conexões do aplicativo lógico

Lembre-se de que, quando criamos o guia estratégico com base no modelo, fomos informados de que as conexões de Coletor de Dados do Azure Log Analytics e do Virus Total seriam configuradas posteriormente.

Captura de tela da revisão de informações do assistente de criação de guias estratégicos.

Aqui, nós fazemos isso.

Autorizar a conexão do Virus Total

  1. Selecione a ação For each ação para expandi-la e examine seu conteúdo (as ações que serão executadas para cada endereço IP).

    Captura de tela da ação de instrução do loop for-each no designer de aplicativo lógico.

  2. O primeiro item de ação que você vê é rotulado como Conexões e tem um triângulo de aviso laranja.

    (Se, em vez disso, essa primeira ação é rotulada como Obter um relatório de IP (versão prévia), isso significa que você já tem uma conexão com o Virus Total e pode ir para a próxima etapa.)

    1. Selecione a ação Conexões para abri-la.

    2. Selecione o ícone na coluna Inválido para a conexão exibida.

      Captura de tela da configuração de conexão inválida do Virus Total.

      Você precisará fornecer informações de conexão.

      A captura de tela mostra como inserir a chave de API e outros detalhes de conexão para o Virus Total.

    3. Insira "Virus Total" como o Nome da conexão.

    4. Para x-api_key, copie e cole a chave de API de sua conta do Virus Total.

    5. Selecione Atualizar.

    6. Agora, você verá a ação Obter um relatório de IP (versão prévia) corretamente. (Se você já tinha uma conta do Virus Total, já está nesta fase.)

      A captura de tela mostra a ação para enviar um endereço IP ao Virus Total para receber um relatório sobre ele.

Autorizar a conexão do Log Analytics

A próxima ação é uma Condição que determina o restante das ações do loop for-each com base no resultado do relatório do endereço IP. Ela analisa a pontuação de Reputação fornecida ao endereço IP no relatório. Uma pontuação maior que 0 indica que o endereço é inofensivo; uma pontuação inferior a 0 indica que ele é mal-intencionado.

Captura de tela da ação de condição no designer de aplicativo lógico.

Seja a condição verdadeira ou falsa, queremos enviar os dados no relatório para uma tabela no Log Analytics para que eles possam ser consultados e analisados, além de adicionar um comentário ao incidente.

Mas, como você verá, temos mais conexões inválidas que precisamos autorizar.

Captura de tela mostrando cenários verdadeiros e falsos para a condição definida.

  1. Selecione a ação Conexões no quadro Verdadeiro.

  2. Selecione o ícone na coluna Inválido para a conexão exibida.

    Captura de tela da configuração de conexão inválida do Log Analytics.

    Você precisará fornecer informações de conexão.

    A captura de tela mostra como inserir a ID e a chave do workspace, bem como outros detalhes de conexão para o Log Analytics.

  3. Insira "Log Analytics" como o Nome da conexão.

  4. Para Chave do Workspace e ID do Workspace, copie e cole a chave e a ID das configurações do workspace do Log Analytics. Eles podem ser encontrados na página Gerenciamento de agentes, dentro do expansor de Instruções do agente do Log Analytics.

  5. Selecione Atualizar.

  6. Agora, você verá a ação Enviar dados corretamente. (Se você já tem uma conexão do Log Analytics dos Aplicativos Lógicos, já está nesta fase.)

    A captura de tela mostra a ação para enviar um registro de relatório do Virus Total para uma tabela no Log Analytics.

  7. Agora, selecione a ação Conexões no quadro Falso. Essa ação usa a mesma conexão que a do quadro Verdadeiro.

  8. Verifique se a conexão chamada Log Analytics está marcada e selecione Cancelar. Isso garante que a ação será exibida corretamente no guia estratégico.

    Captura de tela da segunda configuração de conexão inválida do Log Analytics.

    Agora, você verá todo o guia estratégico configurado corretamente.

  9. Muito importante! Não se esqueça de selecionar Salvar na parte superior da janela do Designer de aplicativo lógico. Depois de ver mensagens de notificação de que o guia estratégico foi salvo com êxito, você o verá listado na guia Guias estratégicos ativos* na página Automação.

Criar uma regra de automação

Agora, para executar o guia estratégico, você precisará criar uma regra de automação que será executada quando incidentes forem criados e invocarem o guia estratégico.

  1. Na página Automação, selecione + Criar na faixa superior. No menu suspenso, selecione Regra de automação.

    Captura de tela da criação de uma regra de automação na página Automação.

  2. No painel Criar regra de automação, dê à regra o nome "Tutorial: enriquecer informações de IP".

    Captura de tela da criação de uma regra de automação, de sua nomeação e da adição de uma condição.

  3. Em Condições, selecione + Adicionar e Condição (E).

    Captura de tela da adição de uma condição a uma regra de automação.

  4. Selecione Endereço IP na lista suspensa de propriedades à esquerda. Selecione Contém na lista suspensa de operadores e deixe o campo de valor em branco. Isso significa que a regra será aplicada a incidentes que têm um campo de endereço IP que contém qualquer coisa.

    Não queremos impedir que nenhuma regra de análise seja coberta por essa automação, mas também não queremos que a automação seja disparada desnecessariamente, portanto, limitaremos a cobertura a incidentes que contêm entidades de endereço IP.

    Captura de tela da definição de uma condição a ser adicionada a uma regra de automação.

  5. Em Ações, selecione Executar guia estratégico na lista suspensa.

  6. Selecione a nova lista suspensa exibida.

    Captura de tela mostrando como selecionar o guia estratégico na lista de guias estratégicos – parte 1.

    Você verá uma lista de todos os guias estratégicos em sua assinatura. Os que estão esmaecidos são aqueles aos quais você não tem acesso. Na caixa de texto Pesquisar guias estratégicos, comece a digitar o nome – ou qualquer parte do nome – do guia estratégico que criamos acima. A lista de guias estratégicos será filtrada dinamicamente a cada letra que você digitar.

    Captura de tela mostrando como selecionar o guia estratégico na lista de guias estratégicos – parte 2.

    Quando vir seu guia estratégico na lista, selecione-o.

    Captura de tela mostrando como selecionar o guia estratégico na lista de guias estratégicos – parte 3.

    Se o guia estratégico estiver esmaecido, selecione o link Gerenciar permissões de guia estratégico (no parágrafo em fonte pequena abaixo de onde você selecionou um guia estratégico – consulte a captura de tela acima). No painel que é aberto, selecione o grupo de recursos que contém o guia estratégico na lista de grupos de recursos disponíveis e selecione Aplicar.

  7. Selecione + Adicionar ação novamente. Agora, na nova lista suspensa de ações exibida, selecione Adicionar marcas.

  8. Selecione + Adicionar. Insira "Tutorial – endereços IP enriquecidos" como o texto da marca e selecione OK.

    Captura de tela mostrando como adicionar uma marca a uma regra de automação.

  9. Deixe as configurações restantes como estão e selecione Aplicar.

Verificar o êxito da automação

  1. Na página Incidentes, insira o texto da marca Tutorial – endereços IP enriquecidos na barra de Pesquisa e pressione a tecla Enter para filtrar a lista de incidentes com essa marca aplicada. Esses são os incidentes em que a regra de automação foi executada.

  2. Abra um ou mais desses incidentes e veja se há comentários sobre os endereços IP. A presença desses comentários indica que o guia estratégico foi executado no incidente.

Limpar recursos

Se você não pretende continuar usando esse cenário de automação, exclua o guia estratégico e a regra de automação criados usando as seguintes etapas:

  1. Na página Automação, selecione a guia Guias estratégicos ativos.

  2. Insira o nome (ou parte do nome) do guia estratégico criado na barra de Pesquisa.
    (Se ele não aparecer, verifique se todos os filtros estão definidos como Selecionar tudo.)

  3. Marque a caixa de seleção ao lado do guia estratégico na lista e selecione Excluir na faixa superior.
    (Se não quiser excluí-lo, selecione Desabilitar em vez disso.)

  4. Selecione a guia Regras de automação.

  5. Insira o nome (ou parte do nome) da regra de automação criada na barra de Pesquisa.
    (Se ele não aparecer, verifique se todos os filtros estão definidos como Selecionar tudo.)

  6. Marque a caixa de seleção ao lado da regra de automação na lista e selecione Excluir na faixa superior.
    (Se não quiser excluí-lo, selecione Desabilitar em vez disso.)

Próximas etapas

Agora que você aprendeu a automatizar um cenário básico de enriquecimento de incidentes, saiba mais sobre a automação e sobre outros cenários em que pode usá-la.