Aracılığıyla paylaş

Öğretici: Olaylardaki IP adresi itibar bilgilerini otomatik olarak denetleme ve kaydetme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bir olayın önem derecesini değerlendirmenin hızlı ve kolay bir yolu, içindeki IP adreslerinin kötü amaçlı etkinlik kaynakları olarak bilinip bilinmediğini görmektir. Bunu otomatik olarak yapmak için bir yol olması size çok zaman ve çaba kazandırabilir.

Bu öğreticide, microsoft Sentinel otomasyon kurallarını ve playbook'larını kullanarak olaylarınızdaki IP adreslerini bir tehdit bilgileri kaynağına göre otomatik olarak denetlemeyi ve her sonucu ilgili olayda kaydetmeyi öğreneceksiniz.

Bu öğreticiyi tamamladığınızda şunları yapabileceksiniz:

  • Şablondan playbook oluşturma
  • Playbook'un diğer kaynaklara olan bağlantılarını yapılandırma ve yetkilendirme
  • Playbook'u çağırmak için otomasyon kuralı oluşturma
  • Otomatik işleminizin sonuçlarına bakın

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Bu öğreticiyi tamamlamak için şunlar sahip olduğunuzdan emin olun:

Şablondan playbook oluşturma

Microsoft Sentinel, çok sayıda temel SecOps hedefini ve senaryoyu otomatikleştirmek için özelleştirebileceğiniz ve kullanabileceğiniz hazır, kullanıma hazır playbook şablonları içerir. Olaylarımızdaki IP adresi bilgilerini zenginleştirecek bir adres bulalım.

  1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

  2. Otomasyon sayfasında Playbook şablonları (Önizleme) sekmesini seçin.

  3. Şablon listesini etikete göre filtreleyin:

    1. Listenin üst kısmındaki Etiketler filtresi iki durumlu düğmesini seçin (Arama alanının sağında).

    2. Tümünü seç onay kutusunu temizleyin ve zenginleştirme onay kutusunu işaretleyin. Tamam'ı seçin.

    Örneğin:

    Etiketlere göre filtrelenecek playbook şablonları listesinin ekran görüntüsü.

  4. IP Zenginleştirme - Virüs Toplamı rapor şablonunu seçin ve ayrıntılar bölmesinden Playbook oluştur'u seçin.

    Playbook'un oluşturulacağı playbook şablonunu seçme işleminin ekran görüntüsü.

  5. Playbook oluşturma sihirbazı açılır. Temel Bilgiler sekmesinde:

    1. İlgili açılan listelerinden Aboneliğinizi, Kaynak grubunuzu ve Bölgenizi seçin.

    2. Önerilen "Get-VirusTotalIPReport" adının sonuna ekleyerek Playbook adını düzenleyin. (Bu şekilde, bu playbook'un hangi özgün şablondan geldiğini anlayabilecek ve aynı şablondan başka bir playbook oluşturmak istemeniz durumunda benzersiz bir ada sahip olduğundan emin olabilirsiniz.) Buna "Get-VirusTotalIPReport-Tutorial-1" adını verelim.

    3. Bu durumda bu hizmetlere ihtiyacımız olmadığından, son iki onay kutusunu olduğu gibi işaretsiz bırakalım:

      • Log Analytics'te tanılama günlüklerini etkinleştirme
      • Tümleştirme hizmeti ortamıyla ilişkilendirme

      Playbook oluşturma sihirbazındaki Temel Bilgiler sekmesinin ekran görüntüsü.

    4. İleri: Bağlan ions >öğesini seçin.

  6. Bağlan ions sekmesinde, bu playbook'un diğer hizmetlere yapması gereken tüm bağlantıları ve bağlantı aynı kaynak grubundaki mevcut bir Logic App iş akışında zaten yapılmışsa kullanılacak kimlik doğrulama yöntemini görürsünüz.

    1. Microsoft Sentinel bağlantısını olduğu gibi bırakın ("yönetilen kimlikle Bağlan" olmalıdır).

    2. Herhangi bir bağlantıda "Yeni bağlantı yapılandırılacak" ifadesi varsa, öğreticinin sonraki aşamasında bunu yapmanız istenir. Bu kaynaklara zaten bağlantılarınız varsa, bağlantının sol kısmındaki genişletici okunu seçin ve genişletilmiş listeden var olan bir bağlantıyı seçin. Bu alıştırmada olduğu gibi bırakacağız.

      Playbook oluşturma sihirbazının Bağlan ions sekmesinin ekran görüntüsü.

    3. İleri: Gözden geçir'i seçin ve oluşturun >.

  7. Gözden geçir ve oluştur sekmesinde, girdiğiniz tüm bilgileri burada gösterildiği gibi gözden geçirin ve Oluştur'u seçin ve tasarımcıya devam edin.

    Playbook oluşturma sihirbazındaki Gözden geçir ve oluştur sekmesinin ekran görüntüsü.

    Playbook dağıtılırken ilerleme durumuyla ilgili bir dizi hızlı bildirim görürsünüz. Ardından Mantıksal uygulama tasarımcısı playbook'unuz görüntülenirken açılır. Playbook'un çalışabilmesi için mantıksal uygulamanın etkileşimde olduğu kaynaklarla bağlantılarını yetkilendirmemiz gerekir. Ardından, playbook'taki eylemlerin her birini gözden geçirerek ortamımız için uygun olduğundan emin olacağız ve gerekirse değişiklikler yapacağız.

    Mantıksal uygulama tasarımcısı penceresinde açılan playbook'un ekran görüntüsü.

Mantıksal uygulama bağlantılarını yetkilendirme

Şablondan playbook'u oluşturduğumuz zaman Azure Log Analytics Veri Toplayıcısı ve Virüs Toplamı bağlantılarının daha sonra yapılandırılacağı söylendi.

Playbook oluşturma sihirbazındaki gözden geçirme bilgilerinin ekran görüntüsü.

Bunu burada yapacağız.

Virüs Toplam bağlantısını yetkilendirme

  1. Genişletmek ve içeriğini (her IP adresi için gerçekleştirilecek eylemler) gözden geçirmek için Her eylem için öğesini seçin.

    Mantıksal uygulama tasarımcısında her döngü deyimi eyleminin ekran görüntüsü.

  2. Gördüğünüz ilk eylem öğesi Bağlan ions olarak etiketlenmiştir ve turuncu bir uyarı üçgeni vardır.

    (Bunun yerine, bu ilk eylem etiketlenmiştir Bir IP raporu (Önizleme) alın; başka bir deyişle Virüs Toplamı ile zaten bir bağlantınız var ve bir sonraki adıma geçebilirsiniz.)

    1. açmak için Bağlan ions eylemini seçin.

    2. Görüntülenen bağlantı için Geçersiz sütunundaki simgeyi seçin.

      Geçersiz Virüs Toplamı bağlantı yapılandırmasının ekran görüntüsü.

      Bağlantı bilgileri girmeniz istenir.

      Virüs Toplamı için API anahtarının ve diğer bağlantı ayrıntılarının nasıl girilir ekran görüntüsü.

    3. Bağlan ion adı olarak "Virüs Toplamı" girin.

    4. x-api_key için, Virüs Toplamı hesabınızdan API anahtarını kopyalayıp yapıştırın.

    5. Güncelleştir'i seçin.

    6. Şimdi IP raporu al (Önizleme) eylemini düzgün bir şekilde görürsünüz. (Zaten bir Virüs Toplamı hesabınız varsa, zaten bu aşamada olacaksınız.)

      Hakkında rapor almak için Virüs Toplamı'na bir IP adresi gönderme eylemini gösteren ekran görüntüsü.

Log Analytics bağlantısını yetkilendirme

Sonraki eylem, IP adresi raporunun sonucuna göre her döngü için eylemlerinin geri kalanını belirleyen bir Koşuldur . Rapordaki IP adresine verilen Saygınlık puanını analiz eder. 0'dan yüksek bir puan adresin zararsız olduğunu, 0'dan düşük bir puan ise kötü amaçlı olduğunu gösterir.

Mantıksal uygulama tasarımcısında koşul eyleminin ekran görüntüsü.

Koşul doğru veya yanlış olsun, sorgulanabilmesi ve analiz edilebilmesi için rapordaki verileri Log Analytics'teki bir tabloya göndermek ve olaya bir açıklama eklemek istiyoruz.

Ancak göreceğiniz gibi yetkilendirmemiz gereken daha geçersiz bağlantılarımız var.

Tanımlı koşul için doğru ve yanlış senaryolarını gösteren ekran görüntüsü.

  1. True çerçevesinde Bağlan ions eylemini seçin.

  2. Görüntülenen bağlantı için Geçersiz sütunundaki simgeyi seçin.

    Geçersiz Log Analytics bağlantı yapılandırmasının ekran görüntüsü.

    Bağlantı bilgileri girmeniz istenir.

    Log Analytics için Çalışma Alanı Kimliğinin, anahtarın ve diğer bağlantı ayrıntılarının nasıl girilir ekran görüntüsü.

  3. Bağlan ion adı olarak "Log Analytics" yazın.

  4. Çalışma Alanı Anahtarı ve Çalışma Alanı Kimliği için Log Analytics çalışma alanı ayarlarınızdan anahtarı ve kimliği kopyalayıp yapıştırın. Bunlar, Aracılar yönetim sayfasında, Log Analytics aracı yönergeleri genişleticisinin içinde bulunabilir.

  5. Güncelleştir'i seçin.

  6. Şimdi Veri gönder eylemini düzgün bir şekilde görürsünüz. (Logic Apps'ten bir Log Analytics bağlantınız zaten varsa, zaten bu aşamada olacaksınız.)

    Log Analytics'teki bir tabloya Virüs Toplamı rapor kaydı gönderme eylemini gösteren ekran görüntüsü.

  7. Şimdi False çerçevesinde Bağlan ions eylemini seçin. Bu eylem, True çerçevesindekiyle aynı bağlantıyı kullanır.

  8. Log Analytics adlı bağlantının işaretlendiğini doğrulayın ve İptal'i seçin. Bu, eylemin artık playbook'ta düzgün bir şekilde görüntülenmesini sağlar.

    İkinci geçersiz Log Analytics bağlantı yapılandırmasının ekran görüntüsü.

    Şimdi tüm playbook'unuzun düzgün yapılandırıldığını göreceksiniz.

  9. Çok önemli! Mantıksal uygulama tasarımcısı penceresinin üst kısmındaki Kaydet'i seçmeyi unutmayın. Playbook'unuzun başarıyla kaydedildiğini belirten bildirim iletilerini gördükçe, playbook'unuzun Otomasyon sayfasındaki Etkin playbook'lar* sekmesinde listelendiğini görürsünüz.

Otomasyon kuralı oluşturma

Şimdi bu playbook'u gerçekten çalıştırmak için olaylar oluşturulduğunda çalışacak bir otomasyon kuralı oluşturmanız ve playbook'u çağırmanız gerekir.

  1. Otomasyon sayfasında üst başlıktan + Oluştur'u seçin. Açılan menüden Otomasyon kuralı'nı seçin.

    Otomasyon sayfasından otomasyon kuralı oluşturma işleminin ekran görüntüsü.

  2. Yeni otomasyon kuralı oluştur panelinde kuralı "Öğretici: IP bilgilerini zenginleştir" olarak adlandırın.

    Otomasyon kuralı oluşturma, kuralı adlandırma ve koşul ekleme işleminin ekran görüntüsü.

  3. Koşullar'ın altında + Ekle ve Koşul (Ve) öğesini seçin.

    Otomasyon kuralına koşul ekleme ekran görüntüsü.

  4. Soldaki özellik açılan listesinden IP Adresi'ni seçin. İşleç açılan listesinden İçerir'i seçin ve değer alanını boş bırakın. Bu, kuralın herhangi bir şey içeren bir IP adresi alanı olan olaylara uygulanacağı anlamına gelir.

    Hiçbir analiz kuralının bu otomasyon kapsamında olmasını durdurmak istemiyoruz, ancak otomasyonun da gereksiz yere tetiklenmesini istemiyoruz, bu nedenle kapsamı IP adresi varlıkları içeren olaylarla sınırlayacağız.

    Otomasyon kuralına eklenecek koşulu tanımlamanın ekran görüntüsü.

  5. Eylemler'in altında açılan listeden Playbook'u çalıştır'ı seçin.

  6. Görüntülenen yeni açılan listeyi seçin.

    Playbook'lar listesinden playbook'unuzu seçmeyi gösteren ekran görüntüsü - bölüm 1.

    Aboneliğinizdeki tüm playbook'ların listesini görürsünüz. Gri renkli olanlar, erişiminiz olmayanlardır. Playbook'ları ara metin kutusunda, yukarıda oluşturduğumuz playbook'un adını (veya adın herhangi bir bölümünü) yazmaya başlayın. Playbook'ların listesi, yazdığınız her harfle dinamik olarak filtrelenir.

    Playbook'lar listesinden playbook'unuzu seçmeyi gösteren ekran görüntüsü - bölüm 2.

    Playbook'unuzu listede gördüğünüzde seçin.

    Playbook'lar listesinden playbook'unuzu seçmeyi gösteren ekran görüntüsü - bölüm 3.

    Playbook gri görünüyorsa Playbook izinlerini yönet bağlantısını seçin (playbook'u seçtiğiniz aşağıdaki ince baskı paragrafta - yukarıdaki ekran görüntüsüne bakın). Açılan panelde, kullanılabilir kaynak grupları listesinden playbook'u içeren kaynak grubunu seçin ve ardından Uygula'yı seçin.

  7. + Eylem ekle'yi yeniden seçin. Şimdi, görüntülenen yeni eylem açılan listesinden Etiket ekle'yi seçin .

  8. + Etiket ekle'yi seçin. Etiket metni olarak "Tutorial-Enriched IP addresss" yazın ve Tamam'ı seçin.

    Otomasyon kuralına etiket eklemeyi gösteren ekran görüntüsü.

  9. Kalan ayarları olduğu gibi bırakın ve Uygula'yı seçin.

Otomasyonun başarılı olduğunu doğrulama

  1. Olaylar sayfasında, Arama çubuğuna Tutorial-Enriched IP adresleri etiket metnini girin ve Bu etiketin uygulandığı olaylar için listeyi filtrelemek için Enter tuşuna basın. Bunlar, otomasyon kuralımızın üzerinde çalıştırtığı olaylardır.

  2. Bu olaylardan herhangi birini veya daha fazlasını açın ve orada IP adresleri hakkında açıklamalar olup olmadığına bakın. Bu açıklamaların varlığı, playbook'un olay üzerinde çalıştığını gösterir.

Kaynakları temizleme

Bu otomasyon senaryoyu kullanmaya devam etmeyecekseniz, aşağıdaki adımlarla oluşturduğunuz playbook ve otomasyon kuralını silin:

  1. Otomasyon sayfasında Etkin playbook'lar sekmesini seçin.

  2. Oluşturduğunuz playbook'un adını (veya adının bir kısmını) Arama çubuğuna girin.
    (Görünmüyorsa, filtrelerin Tümünü seç.)

  3. Listede playbook'unuzun yanındaki onay kutusunu işaretleyin ve üst başlıktan Sil'i seçin.
    (Silmek istemiyorsanızBunun yerine devre dışı bırak .)

  4. Otomasyon kuralları sekmesini seçin.

  5. Oluşturduğunuz otomasyon kuralının adını (veya adının bir kısmını) Arama çubuğuna girin.
    (Görünmüyorsa, filtrelerin Tümünü seç.)

  6. Listede otomasyon kuralınızın yanındaki onay kutusunu işaretleyin ve üst başlıktan Sil'i seçin.
    (Silmek istemiyorsanızBunun yerine devre dışı bırak .)

Sonraki adımlar

Temel olay zenginleştirme senaryolarını otomatikleştirmeyi öğrendiğinize göre, otomasyon ve bunu kullanabileceğiniz diğer senaryolar hakkında daha fazla bilgi edinin.