Aracılığıyla paylaş

Öğretici: Yerel olmayan eylemlerle olay varlıklarını ayıklama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Varlık eşlemesi, uyarıları ve olayları, izleyen tüm araştırma işlemleri ve düzeltici eylemler için gerekli bilgilerle zenginleştirir.

Microsoft Sentinel playbook'ları varlık bilgilerini ayıklamak için şu yerel eylemleri içerir:

  • Hesaplar
  • DNS
  • Dosya karmaları
  • Ana bilgisayarlar
  • Ips
  • URL'ler

Bu eylemlere ek olarak, analiz kuralı varlık eşlemesi kötü amaçlı yazılım, işlem, kayıt defteri anahtarı, posta kutusu ve daha fazlası gibi yerel eylemler olmayan varlık türlerini içerir. Bu öğreticide, ilgili değerleri ayıklamak için farklı yerleşik eylemleri kullanarak yerel olmayan eylemlerle çalışmayı öğreneceksiniz.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Olay tetikleyicisi içeren bir playbook oluşturun ve olay üzerinde el ile çalıştırın.
  • Dizi değişkenlerini başlatın.
  • Gerekli varlık türünü diğer varlık türlerinden filtreleyin.
  • Sonuçları bir JSON dosyasında ayrıştırın.
  • Değerleri gelecekte kullanmak üzere dinamik içerik olarak oluşturun.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Bu öğreticiyi tamamlamak için şunlar sahip olduğunuzdan emin olun:

Olay tetikleyicisi ile playbook oluşturma

  1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

  2. Otomasyon sayfasında Olay tetikleyicisi ile Playbook oluştur'u>seçin.

  3. Playbook oluşturma sihirbazının Temel bilgiler bölümünde aboneliği ve kaynak grubunu seçin ve playbook'a bir ad verin.

  4. İleri: Bağlan ions >öğesini seçin.

    Bağlan ions altında, yönetilen kimlik bağlantısına sahip Microsoft Sentinel - Bağlan görünür olmalıdır. Örneğin:

    Olay tetikleyicisiyle yeni bir playbook oluşturma işleminin ekran görüntüsü.

  5. İleri: gözden geçir ve oluştur'u >seçin.

  6. Gözden geçir ve oluştur'un altında Oluştur'u seçin ve tasarımcıya devam edin.

    Mantıksal uygulama tasarımcısı, playbook'unuzun adını içeren bir mantıksal uygulama açar.

    Mantıksal uygulama tasarımcısında playbook'u görüntüleme işleminin ekran görüntüsü.

Dizi değişkenlerini başlatma

  1. Mantıksal uygulama tasarımcısında, değişken eklemek istediğiniz adımın altında Yeni adım'ı seçin.

  2. İşlem seçin altında, arama kutusuna filtreniz olarak değişkenler yazın. Eylemler listesinden Değişkeni başlat'ı seçin.

  3. Değişkeniniz hakkında şu bilgileri sağlayın:

    • Değişken adı için Varlıklar'ı kullanın.

    • Tür için Dizi'yi seçin.

    • Değer için varlıkları yazmaya başlayın ve Dinamik içerik'in altında Varlıklar'ı seçin.

      Dizi değişkenini başlatma ekran görüntüsü.

Mevcut bir olayı seçme

  1. Microsoft Sentinel'de Olaylar'a gidin ve playbook'u çalıştırmak istediğiniz olayı seçin.

  2. Sağdaki olay sayfasında Eylemler > Playbook'u Çalıştır (Önizleme) öğesini seçin.

  3. Playbook'lar'ın altında, oluşturduğunuz playbook'un yanındaki Çalıştır'ı seçin.

    Playbook tetiklendiğinde, playbook başarıyla tetikleniyor iletisi sağ üst kısımda görünür.

  4. Çalıştırmalar'ı seçin ve playbook'unuzun yanındaki Çalıştırmayı Görüntüle'yi seçin.

    Mantıksal uygulama çalıştırma sayfası görünür.

  5. Değişkeni başlat altında, örnek yük Değer altında görünür. Daha sonra kullanmak üzere örnek yükü not edin.

    Değer alanının altındaki örnek yükü görüntüleme işleminin ekran görüntüsü.

Gerekli varlık türünü diğer varlık türlerinden filtreleme

  1. Otomasyon sayfasına dönün ve playbook'unuzu seçin.

  2. Değişken eklemek istediğiniz adımın altında Yeni adım'ı seçin.

  3. Eylem seçin altında, arama kutusuna filtre dizisini filtreniz olarak girin. Eylemler listesinden Veri işlemleri'ni seçin.

    Diziyi filtreleme ve veri işlemlerini seçme işleminin ekran görüntüsü.

  4. Filtre diziniz hakkında şu bilgileri sağlayın:

    1. Dinamik içerikten> bölümünde, daha önce başlatmış olduğunuz Varlıklar değişkenini seçin.

    2. İlk Değer seçin alanını seçin (sol tarafta) ve İfade'yi seçin.

    3. Item()?[' değerini yapıştırın kind'] yazın ve Tamam'ı seçin.

      Filtre dizisi ifadesini doldurma işleminin ekran görüntüsü.

    4. değerini değere eşit olarak bırakın (değiştirmeyin).

    5. İkinci Değer seçin alanına (sağ tarafta) İşlem yazın. Bunun sistemdeki değerle tam olarak eşleşmesi gerekir.

      Not

      Bu sorgu büyük/küçük harfe duyarlıdır. Değerin kind örnek yükteki değerle eşleştiğinden emin olun. Playbook oluşturduğunuzda örnek yüke bakın.

      Filtre dizisi bilgilerini doldurma işleminin ekran görüntüsü.

Sonuçları bir JSON dosyasına ayrıştırma

  1. Mantıksal uygulamanızda, değişken eklemek istediğiniz adımın altında Yeni adım'ı seçin.

  2. Veri işlemleri>JSON Ayrıştır'ı seçin.

    Veri İşlemleri'nin altında JSON Ayrıştır seçeneğini belirleme işleminin ekran görüntüsü.

  3. İşleminiz hakkında şu bilgileri sağlayın:

    1. İçerik'i seçin ve Dinamik içerik Filtresi dizisi'nin> altında Gövde'yi seçin.

      İçerik'in altında Dinamik içerik'i seçme işleminin ekran görüntüsü.

    2. Şema'nın altında, diziden değerleri ayıklayabileceğiniz bir JSON şeması yapıştırın. Playbook'u oluştururken oluşturduğunuz örnek yükü kopyalayın.

      Örnek yükü kopyalama işleminin ekran görüntüsü.

    3. Playbook'a dönün ve Şema oluşturmak için örnek yükü kullan'ı seçin.

      Şema oluşturmak için örnek yükü kullan'ı seçme işleminin ekran görüntüsü.

    4. Yükü yapıştırın. Şemanın başına bir açma köşeli ayracı ([) ekleyin ve bunları şemanın ]sonunda kapatın.

      Örnek yükü yapıştırma işleminin ekran görüntüsü.

      Yapıştırılan örnek yükün ikinci bölümünün ekran görüntüsü.

    5. Bitti'yi seçin.

Yeni değerleri gelecekte kullanmak üzere dinamik içerik olarak kullanın

Artık daha fazla eylem için dinamik içerik olarak oluşturduğunuz değerleri kullanabilirsiniz. Örneğin, işlem verilerini içeren bir e-posta göndermek istiyorsanız, eylem adını değiştirmediyseniz JSON Ayrıştır eylemini Dinamik içerik altında bulabilirsiniz.

İşlem verilerini içeren bir e-posta gönderme işleminin ekran görüntüsü.

Playbook'unuzun kaydedildiğinden emin olun

Playbook'un kaydedildiğinden emin olun ve artık playbook'unuzu SOC işlemleri için kullanabilirsiniz.

Sonraki adımlar

Playbook'ları kullanarak Microsoft Sentinel'de olay görevleri oluşturmayı ve gerçekleştirmeyi öğrenmek için sonraki makaleye ilerleyin.

Playbook'ları kullanarak Microsoft Sentinel'de olay görevleri oluşturma ve gerçekleştirme