Поделиться через

Руководство. Автоматическая проверка и запись сведений о репутации IP-адресов в инцидентах

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Один из быстрых и простых способов оценить серьезность инцидента заключается в том, чтобы узнать, являются ли ip-адреса в нем источниками вредоносных действий. Наличие способа сделать это автоматически может сэкономить вам много времени и усилий.

В этом руководстве вы узнаете, как использовать правила и сборники схем службы автоматизации Microsoft Sentinel для автоматической проверки IP-адресов в инцидентах в отношении источника аналитики угроз и записи каждого результата в соответствующем инциденте.

По завершении работы с этим руководством вы сможете:

  • Создание сборника схем из шаблона
  • Настройка и авторизация подключений сборника схем к другим ресурсам
  • Создание правила автоматизации для вызова сборника схем
  • Просмотр результатов автоматизированного процесса

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.

Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.

Необходимые компоненты

В рамках этого руководства вам потребуются:

  • Подписка Azure. Создайте бесплатную учетную запись , если у вас еще нет учетной записи.

  • Рабочая область Log Analytics с решением Microsoft Sentinel, развернутой на нем, и данные, которые принимаются в него.

  • Пользователь Azure со следующими ролями, назначенными для следующих ресурсов:

  • Установленное решение VirusTotal из Центра содержимого

  • Учетная запись VirusTotal (бесплатная) будет достаточной для работы с этим руководством. Для рабочей реализации требуется учетная запись VirusTotal Premium.

  • Агент Azure Monitor, установленный по крайней мере на одном компьютере в вашей среде, поэтому инциденты создаются и отправляются в Microsoft Sentinel.

Создание сборника схем из шаблона

Microsoft Sentinel включает готовые и готовые шаблоны сборников схем, которые можно настроить и использовать для автоматизации большого количества основных целей и сценариев SecOps. Давайте найдем один для обогащения сведений ОБ IP-адресе в наших инцидентах.

  1. В Microsoft Sentinel выберите Конфигурация>Автоматизация.

  2. На странице Автоматизация перейдите на вкладку Шаблоны плейбуков (предварительная версия)

  3. Найдите и выберите один из шаблонов IP Enrichment - Virus Total report для сущностей, инцидентов или триггеров оповещений. При необходимости отфильтруйте список по тегу обогащения , чтобы найти шаблоны.

  4. Выберите Создать плейбук в области сведений. Например:

    Снимок экрана: обогащение IP-адресов — общий отчет о вирусе — выбранный шаблон триггера сущности.

  5. Откроется мастер создания плейбука. На вкладке "Основные сведения" :

    1. Выберите подписку, группу ресурсов и регион из соответствующих раскрывающихся списков.

    2. Измените имя сборника схем , добавив в конец предлагаемого имени Get-VirusTotalIPReport. Таким образом вы сможете сообщить, какой исходный шаблон эта сборник схем была получена, при этом убедитесь, что он имеет уникальное имя в случае, если вы хотите создать другую сборник схему из этого же шаблона. Давайте назовем его Get-VirusTotalIPReport-Tutorial-1.

    3. Оставьте флажок "Включить журналы диагностики" в Log Analytics не отмеченным.

    4. Нажмите кнопку "Далее: подключения >".

  6. На вкладке "Подключения" вы увидите все подключения, которые требуется сделать с другими службами, и метод проверки подлинности, который будет использоваться, если подключение уже сделано в существующем рабочем процессе приложения логики в той же группе ресурсов.

    1. Оставьте подключение Microsoft Sentinel без изменений (оно должно отображать "Подключиться с управляемым удостоверением").

    2. Если о каких-либо соединениях будет сказано "Будет настроено новое соединение", вам будет предложено сделать это на следующем этапе руководства. Или, если у вас уже есть подключения к этим ресурсам, щелкните стрелку расширения слева от подключения и выберите существующее соединение из развернутого списка. Для этого упражнения мы оставим его как есть.

      Снимок экрана вкладки

    3. Нажмите кнопку "Далее" — проверка и создание >.

  7. На вкладке «Обзор и создание» просмотрите всю введенную информацию, отображаемую здесь, и выберите «Создать сборник схем».

    Снимок экрана: вкладка

    По мере развертывания сборника схем вы увидите краткий ряд уведомлений о ходе его выполнения. Затем конструктор приложений Logic откроется с отображением вашего сценария. Нам по-прежнему необходимо авторизовать подключения приложения логики к ресурсам, с которыми он взаимодействует, чтобы сборник схем можно было запустить. Затем мы рассмотрим все действия в сборнике схем, чтобы убедиться, что они подходят для нашей среды, внося изменения при необходимости.

    Снимок экрана: сборник схем, открытый в окне конструктора приложений логики.

Авторизация подключений приложения логики

Помните, что при создании сборника схем из шаблона мы сказали, что сборщик данных Azure Log Analytics и общее количество подключений к вирусу будут настроены позже.

Снимок экрана информации для просмотра из мастера создания плейбука.

Вот где мы делаем это.

Авторизовать общее подключение к вирусу

  1. Выберите действие For each, чтобы развернуть его и просмотреть его содержимое, в том числе действия, которые будут выполняться для каждого IP-адреса. Например:

    Снимок экрана: операция цикла for-each в конструкторе приложений логики.

  2. Первый элемент действия, который вы видите, имеет метку "Подключения" и имеет оранжевый треугольник предупреждения.

    Если вместо этого первое действие помечено получить IP-отчет (Предварительная версия), это означает, что у вас уже есть подключение к VirusTotal, и вы можете перейти к следующему шагу.

    1. Выберите действие "Подключения" , чтобы открыть его.

    2. Выберите значок в столбце "Недопустимый " для отображаемого подключения.

      Снимок экрана недопустимой конфигурации подключения VirusTotal.

      Вам будет предложено получить сведения о подключении.

      Снимок экрана показывает, как ввести ключ API и другие данные подключения для Virus Total.

    3. Введите "Virus Total" в качестве имени подключения.

    4. Для x-api_key скопируйте и вставьте ключ API из учетной записи VirusTotal.

    5. Выберите "Обновить".

    6. Теперь вы правильно увидите действие . (Если у вас уже была учетная запись "Итог вируса", вы уже будете на этом этапе.)

      Снимок экрана показывает действие по предоставлению IP-адреса в Virus Total для получения отчета об этом адресе.

Авторизация подключения Log Analytics

Следующее действие — это условие, определяющее остальные действия цикла для каждого на основе отчёта об IP-адресах. Он анализирует оценку репутации , указанную IP-адресу в отчете. Оценка выше 0 указывает, что адрес безвреден; Оценка ниже 0 указывает, что это злонамеренный.

Снимок экрана действия условия в конструкторе логических приложений.

Указывает, является ли условие истинным или ложным, мы хотим отправить данные в таблицу в Log Analytics, чтобы его можно было запрашивать и анализировать, а также добавлять комментарий к инциденту.

Но, как вы увидите, у нас есть более недопустимые подключения, которые нам нужно авторизовать.

Снимок экрана: истинные и ложные сценарии для определенного условия.

  1. Выберите действие "Подключения" в кадре True .

  2. Выберите значок в столбце "Недопустимый " для отображаемого подключения.

    Снимок экрана: недопустимая конфигурация подключения Log Analytics.

    Вам будет предложено получить сведения о подключении.

    Снимок экрана: ввод идентификатора рабочей области и ключа и других сведений о подключении для Log Analytics.

  3. Введите Log Analytics в качестве имени подключения.

  4. Для идентификатора рабочей области скопируйте и вставьте идентификатор на странице обзора параметров рабочей области Log Analytics.

  5. Выберите "Обновить".

  6. Теперь вы увидите действие "Отправить данные " правильно. (Если у вас уже было подключение Log Analytics из Logic Apps, вы уже будете на этом этапе.)

    Снимок экрана показывает действие для отправки записи отчета Virus Total в таблицу в Log Analytics.

  7. Теперь выберите действие "Подключения" в кадре False . Это действие использует то же соединение, что и в кадре True.

  8. Убедитесь, что подключение с именем Log Analytics отмечено и нажмите кнопку "Отмена". Это гарантирует правильность отображения действия в сборнике схем.

    Снимок экрана: вторая недопустимая конфигурация подключения Log Analytics.

    Теперь вы увидите всю книгу схем, правильно настроенную.

  9. Очень важно! Не забудьте выбрать Сохранить в верхней части окна конструктора приложений Logic Apps. После того, как вы увидите уведомления о том, что ваш плейбук был успешно сохранен, вы увидите его в списке на вкладке Активные плейбуки на странице Автоматизация.

Создание правила автоматизации

Теперь, чтобы на самом деле запустить этот сборник схем, необходимо создать правило автоматизации, которое будет выполняться при создании инцидентов и вызове сборника схем.

  1. На странице автоматизации выберите +Создать из верхнего баннера. В раскрывающемся меню выберите правило автоматизации.

    Снимок экрана: создание правила автоматизации на странице автоматизации.

  2. На панели "Создание нового правила автоматизации " назовите правило "Учебник: обогащение сведений о IP-адресах".

    Снимок экрана: создание правила автоматизации, его именование и добавление условия.

  3. В разделе "Условия" выберите +Добавить и условие (и).

    Снимок экрана: добавление условия в правило автоматизации.

  4. Выберите IP-адрес из раскрывающегося списка свойств слева. Выберите "Содержит" в раскрывающемся списке оператора и оставьте поле значения пустым. Это означает, что правило будет применяться к инцидентам с полем IP-адреса, содержащим что-либо.

    Мы не хотим, чтобы какие-либо правила аналитики не охватывались этой автоматизацией, но мы не хотим, чтобы автоматизация была активирована ненужно, поэтому мы собираемся ограничить охват инцидентами, содержащими сущности IP-адресов.

    Снимок экрана: определение условия для добавления в правило автоматизации.

  5. В разделе "Действия" выберите "Выполнить плейбук" в раскрывающемся списке.

  6. Выберите новый раскрывающийся список, который появится.

    Снимок экрана, показывающий, как выбрать плейбук из списка плейбуков — часть 1.

    Вы увидите список всех сборников схем в подписке. Серые из них — это те, к которым у вас нет доступа. В текстовом поле Поиск плейбуков начните вводить имя — или любую часть имени — плейбука, который мы создали выше. Список сборников схем будет динамически отфильтрован с каждой буквой, которую вы вводите.

    Снимок экрана, демонстрирующий выбор плейбука из списка плейбуков — часть 2.

    Когда вы увидите сборник схем в списке, выберите его.

    Скриншот, показывающий, как выбрать плейбук из списка плейбуков — часть 3.

    Если плейбук неактивен, выберите ссылку «Управление разрешениями плейбука» (в абзаце с мелким шрифтом ниже того места, где вы выбрали плейбук; см. снимок экрана выше). На открывающейся панели выберите группу ресурсов, содержащую сборник схем из списка доступных групп ресурсов, а затем нажмите кнопку "Применить".

  7. Нажмите кнопку +Добавить действие еще раз. Теперь в появившемся раскрывающемся списке нового действия выберите "Добавить теги".

  8. Выберите +Добавить тег. Введите "Tutorial-Enriched IP-адреса" в виде текста тега и нажмите кнопку "ОК".

    Снимок экрана: добавление тега в правило автоматизации.

  9. Оставьте оставшиеся параметры без изменений и нажмите Применить.

Проверка успешной автоматизации

  1. На странице "Инциденты" введите текст тега Tutorial-Enriched IP-адреса в поле поиска и нажмите клавишу ВВОД, чтобы отфильтровать список инцидентов с этим тегом. Это инциденты, на которых запущено правило автоматизации.

  2. Откройте любой или несколько этих инцидентов и посмотрите, есть ли комментарии о IP-адресах. Наличие этих комментариев указывает, что сборник схем запущен по инциденту.

Очистка ресурсов

Если вы не собираетесь продолжать использовать этот сценарий автоматизации, удалите сборник схем и правило автоматизации, созданное с помощью следующих действий:

  1. На странице Автоматизация выберите вкладку Активные плейбуки.

  2. В строке поиска введите название (или часть названия) созданного плейбука.
    (Если он не отображается, убедитесь, что для фильтров задано значение Select all.)

  3. Установите флажок рядом с вашей книгой сценариев в списке и выберите Удалить в верхнем баннере.
    (Если вы не хотите удалить его, вы можете выбрать "Отключить ".)

  4. Перейдите на вкладку "Правила автоматизации ".

  5. Введите имя (или часть имени) правила автоматизации, созданного в строке поиска .
    (Если он не отображается, убедитесь, что для фильтров задано значение Select all.)

  6. Установите флажок рядом с правилом автоматизации в списке и выберите "Удалить " из верхнего баннера.
    (Если вы не хотите удалить его, вы можете выбрать "Отключить ".)

Связанный контент

Теперь, когда вы узнали, как автоматизировать базовый сценарий обогащения инцидентов, узнайте больше об автоматизации и других сценариях, в которые его можно использовать.