Aracılığıyla paylaş

Öğretici: Olaylardaki IP adresi itibar bilgilerini otomatik olarak denetleme ve kaydetme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bir olayın önem derecesini değerlendirmenin hızlı ve kolay bir yolu, içindeki IP adreslerinin kötü amaçlı etkinlik kaynakları olarak bilinip bilinmediğini görmektir. Bunu otomatik olarak yapmak için bir yol olması size çok zaman ve çaba kazandırabilir.

Bu öğreticide, microsoft Sentinel otomasyon kurallarını ve playbook'larını kullanarak olaylarınızdaki IP adreslerini bir tehdit bilgileri kaynağına göre otomatik olarak denetlemeyi ve her sonucu ilgili olayda kaydetmeyi öğreneceksiniz.

Bu öğreticiyi tamamladığınızda şunları yapabileceksiniz:

  • Şablondan playbook oluşturma
  • Playbook'un diğer kaynaklara olan bağlantılarını yapılandırma ve yetkilendirme
  • Playbook'u çağırmak için otomasyon kuralı oluşturma
  • Otomatik işleminizin sonuçlarına bakın

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Bu öğreticiyi tamamlamak için şunlar sahip olduğunuzdan emin olun:

Şablondan playbook oluşturma

Microsoft Sentinel, çok sayıda temel SecOps hedefini ve senaryoyu otomatikleştirmek için özelleştirebileceğiniz ve kullanabileceğiniz hazır, kullanıma hazır playbook şablonları içerir. Olaylarımızdaki IP adresi bilgilerini zenginleştirecek bir adres bulalım.

  1. Microsoft Sentinel'de Yapılandırma>Otomasyonu'u seçin.

  2. Otomasyon sayfasında Playbook şablonları (Önizleme) sekmesini seçin.

  3. Varlık, olay veya uyarı tetikleyicileri için IP Zenginleştirme - Virüs Toplamı rapor şablonlarından birini bulun ve seçin. Gerekirse, şablonlarınızı bulmak için listeyi Zenginleştirme etiketine göre filtreleyin.

  4. Ayrıntılar bölmesinde Playbook oluştur'u seçin. Örneğin:

    IP Zenginleştirme - Virüs Toplam Raporu - Varlık Tetikleyicisi şablonunun seçili olduğu ekran görüntüsü.

  5. Playbook oluşturma sihirbazı açılır. Temel Bilgiler sekmesinde:

    1. İlgili açılan listelerinden Aboneliğinizi, Kaynak grubunuzu ve Bölgenizi seçin.

    2. Önerilen "Get-VirusTotalIPReport" adının sonuna ekleyerek Playbook adını düzenleyin. Bu şekilde, bu playbook'un hangi özgün şablondan geldiğini anlayabilecek ve aynı şablondan başka bir playbook oluşturmak istemeniz durumunda benzersiz bir ada sahip olduğundan emin olabilirsiniz. Buna "Get-VirusTotalIPReport-Tutorial-1" adını verelim.

    3. Log Analytics'te tanılama günlüklerini etkinleştir seçeneğini işaretsiz bırakın.

    4. İleri: Bağlantılar'ı >seçin.

  6. Bağlantılar sekmesinde, bu playbook'un diğer hizmetlere yapması gereken tüm bağlantıları ve bağlantı aynı kaynak grubundaki mevcut bir Mantıksal Uygulama iş akışında zaten yapılmışsa kullanılacak kimlik doğrulama yöntemini görürsünüz.

    1. Microsoft Sentinel bağlantısını olduğu gibi bırakın ("Yönetilen kimlikle bağlan" olmalıdır).

    2. Herhangi bir bağlantıda "Yeni bağlantı yapılandırılacak" ifadesi varsa, öğreticinin sonraki aşamasında bunu yapmanız istenir. Bu kaynaklara zaten bağlantılarınız varsa, bağlantının sol kısmındaki genişletici okunu seçin ve genişletilmiş listeden var olan bir bağlantıyı seçin. Bu alıştırmada olduğu gibi bırakacağız.

      Playbook oluşturma sihirbazının Bağlantılar sekmesinin ekran görüntüsü.

    3. İleri: Gözden geçir'i seçin ve oluşturun >.

  7. Gözden geçir ve oluştur sekmesinde, girdiğiniz tüm bilgileri burada gösterildiği gibi gözden geçirin ve Playbook oluştur'u seçin.

    Playbook oluşturma sihirbazındaki Gözden geçir ve oluştur sekmesinin ekran görüntüsü.

    Playbook dağıtılırken ilerleme durumuyla ilgili bir dizi hızlı bildirim görürsünüz. Ardından Mantıksal uygulama tasarımcısı playbook'unuz görüntülenirken açılır. Playbook'un çalışabilmesi için mantıksal uygulamanın etkileşimde olduğu kaynaklarla bağlantılarını yetkilendirmemiz gerekir. Ardından, playbook'taki eylemlerin her birini gözden geçirerek ortamımız için uygun olduğundan emin olacağız ve gerekirse değişiklikler yapacağız.

    Mantıksal uygulama tasarımcısı penceresinde açılan playbook'un ekran görüntüsü.

Mantıksal uygulama bağlantılarını yetkilendirme

Şablondan playbook'u oluşturduğumuz zaman Azure Log Analytics Veri Toplayıcısı ve Virüs Toplamı bağlantılarının daha sonra yapılandırılacağı söylendi.

Playbook oluşturma sihirbazındaki gözden geçirme bilgilerinin ekran görüntüsü.

Bunu burada yapacağız.

Virüs Toplam bağlantısını yetkilendirme

  1. Her eylem için'i seçerek genişletin ve her IP adresi için gerçekleştirilecek eylemleri içeren içeriğini gözden geçirin. Örneğin:

    Mantıksal uygulama tasarımcısında her döngü deyimi eyleminin ekran görüntüsü.

  2. Gördüğünüz ilk eylem öğesi Bağlantılar olarak etiketlenmiştir ve turuncu bir uyarı üçgeni vardır.

    Bunun yerine, bu ilk eylem Bir IP raporu al (Önizleme) olarak etiketlenmişse, virüs toplamına zaten bir bağlantınız olduğu ve bir sonraki adıma geçebileceğiniz anlamına gelir.

    1. Açmak için Bağlantılar eylemini seçin.

    2. Görüntülenen bağlantı için Geçersiz sütunundaki simgeyi seçin.

      Geçersiz Virüs Toplamı bağlantı yapılandırmasının ekran görüntüsü.

      Bağlantı bilgileri girmeniz istenir.

      Virüs Toplamı için API anahtarının ve diğer bağlantı ayrıntılarının nasıl girilir ekran görüntüsü.

    3. Bağlantı adı olarak "Virüs Toplamı" girin.

    4. x-api_key için, Virüs Toplamı hesabınızdan API anahtarını kopyalayıp yapıştırın.

    5. Güncelleştir'i seçin.

    6. Şimdi IP raporu al (Önizleme) eylemini düzgün bir şekilde görürsünüz. (Zaten bir Virüs Toplamı hesabınız varsa, zaten bu aşamada olacaksınız.)

      Hakkında rapor almak için Virüs Toplamı'na bir IP adresi gönderme eylemini gösteren ekran görüntüsü.

Log Analytics bağlantısını yetkilendirme

Sonraki eylem, IP adresi raporunun sonucuna göre her döngü için eylemlerinin geri kalanını belirleyen bir Koşuldur . Rapordaki IP adresine verilen Saygınlık puanını analiz eder. 0'dan yüksek bir puan adresin zararsız olduğunu, 0'dan düşük bir puan ise kötü amaçlı olduğunu gösterir.

Mantıksal uygulama tasarımcısında koşul eyleminin ekran görüntüsü.

Koşul doğru veya yanlış olsun, sorgulanabilmesi ve analiz edilebilmesi için rapordaki verileri Log Analytics'teki bir tabloya göndermek ve olaya bir açıklama eklemek istiyoruz.

Ancak göreceğiniz gibi yetkilendirmemiz gereken daha geçersiz bağlantılarımız var.

Tanımlı koşul için doğru ve yanlış senaryolarını gösteren ekran görüntüsü.

  1. Doğru çerçevede Bağlantılar eylemini seçin.

  2. Görüntülenen bağlantı için Geçersiz sütunundaki simgeyi seçin.

    Geçersiz Log Analytics bağlantı yapılandırmasının ekran görüntüsü.

    Bağlantı bilgileri girmeniz istenir.

    Log Analytics için Çalışma Alanı Kimliğinin, anahtarın ve diğer bağlantı ayrıntılarının nasıl girilir ekran görüntüsü.

  3. Bağlantı adı olarak "Log Analytics" yazın.

  4. Çalışma Alanı Kimliği için, Log Analytics çalışma alanı ayarlarının Genel Bakış sayfasından kimliği kopyalayıp yapıştırın.

  5. Güncelleştir'i seçin.

  6. Şimdi Veri gönder eylemini düzgün bir şekilde görürsünüz. (Logic Apps'ten bir Log Analytics bağlantınız zaten varsa, zaten bu aşamada olacaksınız.)

    Log Analytics'teki bir tabloya Virüs Toplamı rapor kaydı gönderme eylemini gösteren ekran görüntüsü.

  7. Şimdi False çerçevesinde Bağlantılar eylemini seçin. Bu eylem, True çerçevesindekiyle aynı bağlantıyı kullanır.

  8. Log Analytics adlı bağlantının işaretlendiğini doğrulayın ve İptal'i seçin. Bu, eylemin artık playbook'ta düzgün bir şekilde görüntülenmesini sağlar.

    İkinci geçersiz Log Analytics bağlantı yapılandırmasının ekran görüntüsü.

    Şimdi tüm playbook'unuzun düzgün yapılandırıldığını göreceksiniz.

  9. Çok önemli! Mantıksal uygulama tasarımcısı penceresinin üst kısmındaki Kaydet'i seçmeyi unutmayın. Playbook'unuzun başarıyla kaydedildiğini belirten bildirim iletilerini gördükçe, playbook'unuzun Otomasyon sayfasındaki Etkin playbook'lar* sekmesinde listelendiğini görürsünüz.

Otomasyon kuralı oluşturma

Şimdi bu playbook'u gerçekten çalıştırmak için olaylar oluşturulduğunda çalışacak bir otomasyon kuralı oluşturmanız ve playbook'u çağırmanız gerekir.

  1. Otomasyon sayfasında üst başlıktan + Oluştur'u seçin. Açılan menüden Otomasyon kuralı'nı seçin.

    Otomasyon sayfasından otomasyon kuralı oluşturma işleminin ekran görüntüsü.

  2. Yeni otomasyon kuralı oluştur panelinde kuralı "Öğretici: IP bilgilerini zenginleştir" olarak adlandırın.

    Otomasyon kuralı oluşturma, kuralı adlandırma ve koşul ekleme işleminin ekran görüntüsü.

  3. Koşullar'ın altında + Ekle ve Koşul (Ve) öğesini seçin.

    Otomasyon kuralına koşul ekleme ekran görüntüsü.

  4. Soldaki özellik açılan listesinden IP Adresi'ni seçin. İşleç açılan listesinden İçerir'i seçin ve değer alanını boş bırakın. Bu, kuralın herhangi bir şey içeren bir IP adresi alanı olan olaylara uygulanacağı anlamına gelir.

    Hiçbir analiz kuralının bu otomasyon kapsamında olmasını durdurmak istemiyoruz, ancak otomasyonun da gereksiz yere tetiklenmesini istemiyoruz, bu nedenle kapsamı IP adresi varlıkları içeren olaylarla sınırlayacağız.

    Otomasyon kuralına eklenecek koşulu tanımlamanın ekran görüntüsü.

  5. Eylemler'in altında açılan listeden Playbook'u çalıştır'ı seçin.

  6. Görüntülenen yeni açılan listeyi seçin.

    Playbook'lar listesinden playbook'unuzu seçmeyi gösteren ekran görüntüsü - bölüm 1.

    Aboneliğinizdeki tüm playbook'ların listesini görürsünüz. Gri renkli olanlar, erişiminiz olmayanlardır. Playbook'ları ara metin kutusunda, yukarıda oluşturduğumuz playbook'un adını (veya adın herhangi bir bölümünü) yazmaya başlayın. Playbook'ların listesi, yazdığınız her harfle dinamik olarak filtrelenir.

    Playbook'lar listesinden playbook'unuzu seçmeyi gösteren ekran görüntüsü - bölüm 2.

    Playbook'unuzu listede gördüğünüzde seçin.

    Playbook'lar listesinden playbook'unuzu seçmeyi gösteren ekran görüntüsü - bölüm 3.

    Playbook gri görünüyorsa Playbook izinlerini yönet bağlantısını seçin (playbook'u seçtiğiniz aşağıdaki ince baskı paragrafta - yukarıdaki ekran görüntüsüne bakın). Açılan panelde, kullanılabilir kaynak grupları listesinden playbook'u içeren kaynak grubunu seçin ve ardından Uygula'yı seçin.

  7. + Eylem ekle'yi yeniden seçin. Şimdi, görüntülenen yeni eylem açılan listesinden Etiket ekle'yi seçin .

  8. + Etiket ekle'yi seçin. Etiket metni olarak "Tutorial-Enriched IP addresss" yazın ve Tamam'ı seçin.

    Otomasyon kuralına etiket eklemeyi gösteren ekran görüntüsü.

  9. Kalan ayarları olduğu gibi bırakın ve Uygula'yı seçin.

Otomasyonun başarılı olduğunu doğrulama

  1. Olaylar sayfasında, Arama çubuğuna Tutorial-Enriched IP adresleri etiket metnini girin ve Bu etiketin uygulandığı olaylar için listeyi filtrelemek için Enter tuşuna basın. Bunlar, otomasyon kuralımızın üzerinde çalıştırtığı olaylardır.

  2. Bu olaylardan herhangi birini veya daha fazlasını açın ve orada IP adresleri hakkında açıklamalar olup olmadığına bakın. Bu açıklamaların varlığı, playbook'un olay üzerinde çalıştığını gösterir.

Kaynakları temizleme

Bu otomasyon senaryoyu kullanmaya devam etmeyecekseniz, aşağıdaki adımlarla oluşturduğunuz playbook ve otomasyon kuralını silin:

  1. Otomasyon sayfasında Etkin playbook'lar sekmesini seçin.

  2. Oluşturduğunuz playbook'un adını (veya adının bir kısmını) Arama çubuğuna girin.
    (Görünmüyorsa, filtrelerin Tümünü seç.)

  3. Listede playbook'unuzun yanındaki onay kutusunu işaretleyin ve üst başlıktan Sil'i seçin.
    (Silmek istemiyorsanızBunun yerine devre dışı bırak .)

  4. Otomasyon kuralları sekmesini seçin.

  5. Oluşturduğunuz otomasyon kuralının adını (veya adının bir kısmını) Arama çubuğuna girin.
    (Görünmüyorsa, filtrelerin Tümünü seç.)

  6. Listede otomasyon kuralınızın yanındaki onay kutusunu işaretleyin ve üst başlıktan Sil'i seçin.
    (Silmek istemiyorsanızBunun yerine devre dışı bırak .)

İlgili içerik

Temel olay zenginleştirme senaryolarını otomatikleştirmeyi öğrendiğinize göre, otomasyon ve bunu kullanabileceğiniz diğer senaryolar hakkında daha fazla bilgi edinin.