通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:自动检查和记录事件中的 IP 地址信誉信息

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

评估事件严重性的一种快速而简单的方法是,查看其中是否有任何 IP 地址是已知的恶意活动源。 有一种自动执行此操作的方法可以节省大量时间和精力。

本教程将介绍如何使用 Microsoft Sentinel 自动化规则和 playbook 根据威胁情报源自动检查事件中的 IP 地址,并在其相关事件中记录每个结果。

学完本教程之后,你将能够:

  • 根据模板创建 playbook
  • 配置并授权 playbook 与其他资源的连接
  • 创建自动化规则以调用 playbook
  • 查看自动化过程的结果

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

若要完成本教程,请确保做好以下准备:

  • Azure 订阅。 创建免费帐户(如果还没有该帐户)。

  • Log Analytics 工作区,其中部署了 Microsoft Sentinel 解决方案并引入了数据。

  • 在以下资源上分配有以下角色的 Azure 用户:

  • 对于本教程,(免费)VirusTotal 帐户就足够了。 生产实现需要 VirusTotal Premium 帐户。

根据模板创建 playbook

Microsoft Sentinel 包括现成的 playbook 模板,你可以自定义这些模板并使用它们自动执行大量基本 SecOps 目标和方案。 让我们找一个模板来扩充事件中的 IP 地址信息。

  1. 对于 Azure 门户中的 Microsoft Sentinel,请选择“配置”>“自动化”页面。 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“配置”>“自动化”。

  2. 在“自动化”页面,选择“Playbook 模板(预览版)”选项卡。

  3. 按标记筛选模板列表:

    1. 选择列表顶部的“标记”筛选器开关(在“搜索”字段的右侧)。

    2. 清除“全选”复选框,然后标记“扩充”复选框。 选择“确定”

    例如:

    要按标记筛选的 playbook 模板列表的屏幕截图。

  4. 选择“IP 扩充 - Virus Total 报告”模板,然后从详细信息窗格中选择“创建 playbook”。

    选择 playbook 模板的屏幕截图,要基于该模板创建 playbook。

  5. 这将打开“创建 playbook”向导。 在“基本信息”选项卡中:

    1. 在对应的下拉列表中选择自己的“订阅”、“资源组”和“区域”。

    2. 编辑 Playbook 名称,方法是添加到建议的名称“Get-VirusTotalIPRepor”的末尾。 (这样一来,你将能够判断此 playbook 来自哪个原始模板,并仍然能够确保其名称是唯一的,以防你想要根据此同一模板创建另一个 playbook。)我们将它称为“Get-VirusTotalIPReport-Tutorial-1”。

    3. 让我们将最后两个复选框保留为原样(取消标记),因为在本例中不需要这些服务:

      • 在 Log Analytics 中启用诊断日志
      • 关联集成服务环境

      Playbook 创建向导中“基本信息”选项卡的屏幕截图。

    4. 选择“下一步: 连接 >”。

  6. 在“连接”选项卡中,你将看到此 playbook 需要与其他服务建立的所有连接,以及将使用的身份验证方法(如果已在同一资源组的现有逻辑应用工作流中建立连接)。

    1. 将 Microsoft Sentinel 连接保留为原样(它应显示“使用托管标识进行连接”)。

    2. 如果任何连接显示“将配置新连接”,则本教程的下一阶段会提示你执行此操作。 或者,如果已与这些资源建立连接,请选择连接左侧的展开箭头,然后从展开列表中选择现有连接。 对于本练习,我们会将其保留为原样。

      Playbook 创建向导的“连接”选项卡的屏幕截图。

    3. 选择“下一步: 查看并创建 >”。

  7. 在“查看并创建”选项卡中,查看在此处显示的所有输入的信息,然后选择“创建并继续转到设计器”。

    Playbook 创建向导中“查看并创建”选项卡的屏幕截图。

    部署 playbook 后,你将看到一系列有关其进度的快速通知。 然后,逻辑应用设计器将打开并在其中显示你的 playbook。 我们仍然需要授权逻辑应用与其交互的资源的连接,才能使 playbook 运行。 然后,我们将查看 playbook 中的每个操作,确保它们适合我们的环境,并在必要时进行更改。

    在逻辑应用设计器窗口中打开的 playbook 的屏幕截图。

授权逻辑应用连接

回想一下,根据模板创建 playbook 时,我们被告知稍后将配置 Azure Log Analytics 数据收集器和 Virus Total 连接。

Playbook 创建向导中“查看信息”的屏幕截图。

下面是执行此操作的位置。

授权 Virus Total 连接

  1. 选择“For each”操作将其展开,并查看其内容(将针对每个 IP 地址执行的操作)。

    逻辑应用设计器中 for-each 循环语句操作的屏幕截图。

  2. 显示的第一个操作项已标记为“连接”,并带有一个橙色警告三角形。

    (如果第一个操作标记为“获取 IP 报告(预览版)”,则表示你现在已与 Virus Total 建立连接,可以转到下一步。)

    1. 选择“连接”操作将其打开。

    2. 选择所显示连接的“无效”列中的图标。

      Virus Total 连接配置无效的屏幕截图。

      系统将提示你输入连接信息。

      屏幕截图显示如何输入“Virus Total”的 API 密钥和其他连接详细信息。

    3. 输入“Virus Total”作为连接名称。

    4. 对于 x-api_key,请从 Virus Total 帐户复制并粘贴 API 密钥。

    5. 选择“更新”。

    6. 现在你将看到“获取 IP 报告(预览版)”操作正确。 (如果已有 Virus Total 帐户,则已处于此阶段。)

      屏幕截图显示将 IP 地址提交到 Virus Total 以接收有关该地址的报告的操作。

授权 Log Analytics 连接

下一个操作是一个条件,它根据 IP 地址报告的结果确定 for-each 循环的其余操作。 它分析提供给报告中 IP 地址的信誉分数。 分数高于 0 表示地址无害;分数低于 0 则表示它是恶意地址。

逻辑应用设计器中条件操作的屏幕截图。

无论条件是 true 还是 false,我们都希望将报告中的数据发送到 Log Analytics 中的表,以便可以对其进行查询和分析,并为事件添加注释。

但正如你将看到的,需要授权的无效连接将更多。

显示已定义条件的 true 和 false 方案的屏幕截图。

  1. 选择 True 帧中的“连接”操作。

  2. 选择所显示连接的“无效”列中的图标。

    无效 Log Analytics 连接配置的屏幕截图。

    系统将提示你输入连接信息。

    屏幕截图显示如何输入 Log Analytics 的工作区 ID、密钥和其他连接详细信息。

  3. 输入“Log Analytics”作为连接名称。

  4. 对于“工作区密钥”和“工作区 ID”,请从 Log Analytics 工作区设置中复制并粘贴密钥和 ID。 可以在“Log Analytics 代理说明”扩展器内的“代理管理”页中找到这些信息。

  5. 选择“更新”。

  6. 现在,你将看到“发送数据”操作正确。 (如果已有来自逻辑应用的 Log Analytics 连接,则已进入此阶段。)

    屏幕截图显示了将 Virus Total 报告记录发送到 Log Analytics 中的表的操作。

  7. 接下来选择 False 帧中的“连接”操作。 此操作使用与 True 帧中的连接相同的连接。

  8. 验证是否已标记名为 Log Analytics 的连接,然后选择“取消”。 这可确保操作现在在 playbook 中正确显示。

    第二个无效 Log Analytics 连接配置的屏幕截图。

    现在,你将看到整个 playbook 都配置正确。

  9. 非常重要! 不要忘记选择“逻辑应用设计器”窗口顶部的“保存”。 看到已成功保存 playbook 的通知消息后,你将看到 playbook 列在自动化页面的“活动 playbook*”选项卡中。

创建自动化规则

现在,若要实际运行此 playbook,需要创建一条自动化规则,该规则将在创建事件时运行并调用 playbook。

  1. 在“自动化”页的顶部横幅中选择“+ 创建”。 在下拉菜单中,选择“自动化规则”。

    从“自动化”页创建自动化规则的屏幕截图。

  2. 在“创建新的自动化规则”面板中,将规则命名为“教程: 扩充 IP 信息”。

    创建自动化规则、为其命名并添加条件的屏幕截图。

  3. 在“条件”下,选择“+ 添加”和“条件(And)”。

    将复合条件添加到自动化规则的屏幕截图。

  4. 从左侧的属性下拉列表中选择“IP 地址”。 从运算符下拉列表中选择“Contains”,并将值字段留空。 这实际上意味着该规则将应用于 IP 地址字段包含任何内容的事件。

    我们不希望阻止任何分析规则被此自动化覆盖,但也不希望不必要地触发自动化,因此我们将覆盖范围限制为包含 IP 地址实体的事件。

    定义添加自动化规则的条件的屏幕截图。

  5. 在“操作”下,从下拉列表中选择“运行 playbook”。

  6. 选择显示的新下拉列表。

    显示如何从 playbook 列表中选择 playbook(第 1 部分)的屏幕截图。

    你将看到订阅中所有 playbook 的列表。 灰显部分就是你无权访问的 playbook。 在“搜索 playbook”文本框中,开始键入上面创建的 playbook 的名称或名称的任何部分。 Playbook 列表将与你键入的每个字母一起进行动态筛选。

    显示如何从 playbook 列表中选择 playbook(第 2 部分)的屏幕截图。

    在列表中看到你的 playbook 时,请选择它。

    显示如何从 playbook 列表中选择 playbook(第 3 部分)的屏幕截图。

    如果 playbook 灰显,请选择“管理 playbook 权限”链接(在下面你选择 playbook 的小字段落中 - 见上面的屏幕截图)。 在打开的面板中,从可用资源组列表中选择包含 playbook 的资源组,然后选择“应用”。

  7. 再次选择“+ 添加操作”。 现在,从出现的新操作下拉列表中,选择“添加标记”。

  8. 选择“+ 添加标记”。 输入“教程-扩充的 IP 地址”作为标记文本,然后选择“确定”。

    显示如何向自动化规则添加标记的屏幕截图。

  9. 按原样保留其余设置,然后选择“应用”。

验证自动化是否成功

  1. 在“事件”页中,在搜索栏中输入标记文本“教程-扩充的 IP 地址”,然后按 Enter 以筛选应用了该标记的事件列表。 这些就是运行自动化规则的事件。

  2. 打开其中任意一个或多个事件,查看是否存在有关 IP 地址的注释。 如果存在这些注释,则表明 playbook 已针对事件运行。

清理资源

如果不打算继续使用此自动化场景,请删除使用以下步骤创建的 playbook 和自动化规则:

  1. 在“自动化”页中,选择“活动 playbook”选项卡。

  2. 在搜索栏中输入你创建的 playbook 的名称(或名称的一部分)。
    (如果未显示,请确保将所有筛选器都设置为“全选”。)

  3. 在列表中标记 playbook 旁边的复选框,然后从顶部横幅中选择“删除”。
    (如果不想删除它,可改为选择“禁用”。)

  4. 选择“自动化规则”选项卡。

  5. 在搜索栏中输入你创建的自动化规则的名称(或名称的一部分)。
    (如果未显示,请确保将所有筛选器都设置为“全选”。)

  6. 在列表中标记自动化规则旁边的复选框,然后从顶部横幅中选择“删除”。
    (如果不想删除它,可改为选择“禁用”。)

后续步骤

了解如何自动执行基本事件扩充场景后,接下来可详细了解自动化和其他可使用它的场景。