教學課程:在事件中自動檢查和記錄IP位址信譽資訊
評估事件嚴重性的方法之一,就是查看其中是否有任何IP位址已知為惡意活動來源。 有辦法自動執行這項操作,可以節省您很多時間和精力。
在本教學課程中,您將瞭解如何使用 Microsoft Sentinel 自動化規則和劇本,針對威脅情報來源自動檢查事件中的 IP 位址,並在其相關事件中記錄每個結果。
完成本教學課程時,您將能夠:
- 從範本建立劇本
- 設定及授權劇本與其他資源的連線
- 建立自動化規則以叫用劇本
- 查看自動化程序的結果
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
若要完成本教學課程,請確定您具有下列項目︰
Azure 訂用帳戶。 如果您還沒有免費帳戶,請建立一個免費帳戶。
已部署 Microsoft Sentinel 解決方案的 Log Analytics 工作區,以及內嵌至其中的數據。
在下列資源上指派下列角色的 Azure 使用者:
- 部署 Microsoft Sentinel 之 Log Analytics 工作區上的 Microsoft Sentinel 參與者 。
- 邏輯應用程式參與者和擁有者或對等專案,無論資源群組將包含本教學課程中建立的劇本。
(免費) VirusTotal 帳戶 將足以用於本教學課程。 生產實作需要 VirusTotal 進階版 帳戶。
從範本建立劇本
Microsoft Sentinel 包含現成現成的現成劇本範本,您可以自定義及使用,將大量的基本 SecOps 目標和案例自動化。 讓我們找到一個來擴充事件中的IP位址資訊。
針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]。
從 [自動化] 頁面中,選取 [劇本範本][預覽] 索引標籤。
依標籤篩選範本清單:
選取清單頂端的 [卷標篩選] 切換開關(在 [搜尋] 字段右邊)。
清除 [ 全部選取] 複選框,然後標示 [ 擴充] 複選框。 選取 [確定]。
例如:
選取 [ IP 擴充 - 病毒總計] 報告 範本,然後從詳細數據窗格中選取 [ 建立劇本 ]。
[ 建立劇本 精靈] 隨即開啟。 在 [基本] 索引標籤中:
從各自的下拉式清單中選取您的 [訂用帳戶]、 [資源群組] 和 [區域 ]。
將新增至建議名稱 「Get-VirusTotalIPReport」 結尾,以編輯劇本名稱。 (如此一來,您將能夠分辨此劇本的來源原始範本,同時仍然確保它有唯一的名稱,以防您想要從這個相同範本建立另一個劇本。讓我們將其稱為“Get-VirusTotalIPReport-Tutorial-1”。
讓我們將最後兩個複選框保留為未標示,因為我們在此案例中不需要這些服務:
- 在 Log Analytics 中啟用診斷記錄
- 建立與整合服務環境的關聯
選取 [下一步]:連線。>
在 [連線 ions] 索引標籤中,您會看到此劇本需要對其他服務建立的所有連線,以及已在相同資源群組的現有邏輯應用程式工作流程中建立連線時所使用的驗證方法。
讓 Microsoft Sentinel 連線維持不變(應該說「使用受控識別 連線」。
如果有任何連線顯示「將會設定新連線」,系統會提示您在下一個階段進行本教學課程。 或者,如果您已經有這些資源的連線,請選取連線左側的展開器箭號,然後從展開清單中選擇現有的連線。 在此練習中,我們會保持不變。
選取 [下一步:檢閱並建立 >]。
在 [ 檢閱和建立] 索引標籤中,檢閱您在此處顯示的所有資訊,然後選取 [建立並繼續設計工具]。
部署劇本時,您會看到其進度的快速系列通知。 然後邏輯應用程式設計工具會開啟,並顯示您的劇本。 我們仍然需要授權邏輯應用程式與其互動的資源連線,讓劇本可以執行。 然後,我們將檢閱劇本中的每個動作,以確定它們適合我們的環境,必要時進行變更。
授權邏輯應用程式連線
回想一下,當我們從範本建立劇本時,我們被告知稍後會設定 Azure Log Analytics 數據收集器和病毒總計連線。
以下是我們這樣做的地方。
授權病毒總計連線
選取 [ 針對每個 動作] 展開它,並檢閱其內容(將針對每個IP位址執行的動作)。
您看到的第一個動作項目會標示為 連線,並具有橙色警告三角形。
(如果相反地,第一個動作會加上標籤 取得IP報告 (預覽),這表示您已經有病毒總計的現有連線,您可以移至 下一個步驟。
授權Log Analytics 連線
下一個動作是 條件 ,會根據IP位址報告的結果,決定 for-each 循環的其餘動作。 它會分析 提供給報表中IP位址的信譽 分數。 高於 0 的分數表示位址無害;低於 0 的分數表示其為惡意。
無論條件為 true 或 false,我們想要將報表中的數據傳送至 Log Analytics 中的數據表,以便查詢和分析數據,並將批註新增至事件。
但如您所見,我們有更多無效的連線,我們需要授權。
選取 True 框架中的 連線 動作。
針對顯示的連線,選取 [無效] 資料行中的圖示。
系統會提示您輸入連線資訊。
輸入 「Log Analytics」 作為 連線 名稱。
針對 [工作區金鑰 ] 和 [工作區標識符],複製並貼上 Log Analytics 工作區設定中的密鑰和識別碼。 您可以在 Log Analytics 代理程式指示展開器內的 [代理程式管理] 頁面中找到它們。
選取更新。
現在您會看到 正確傳送數據 動作。 (如果您已經有來自 Logic Apps 的 Log Analytics 連線,則您已經處於這個階段。
現在,選取 False 框架中的 連線 動作。 此動作會使用與 True 圖文框中的連線相同。
確認已標示名為 Log Analytics 的連線,然後選取 [ 取消]。 這可確保動作現在會在劇本中正確顯示。
現在您會看到整個劇本,已正確設定。
非常重要! 別忘了選取邏輯應用程式設計工具視窗頂端的 [儲存]。 當您看到劇本成功儲存的通知訊息之後,您會看到劇本列在 [自動化] 頁面的 [使用中劇本*] 索引標籤中。
建立自動化規則
現在,若要實際執行此劇本,您必須建立自動化規則,以在建立事件並叫用劇本時執行。
從 [ 自動化 ] 頁面,從頂端橫幅選取 [+ 建立 ]。 從下拉功能表中,選取 [ 自動化規則]。
在 [ 建立新的自動化規則 ] 面板中,將規則命名為「教學課程:擴充IP資訊」。
在 [條件] 底下,選取 [+ 新增] 和 [條件] [And]。
從左邊的屬性下拉式清單中選取 [IP 位址 ]。 從運算子下拉式清單中選取 [包含 ],並將值欄位保留空白。 這實際上表示規則會套用至具有包含任何專案之IP位址欄位的事件。
我們不想阻止此自動化涵蓋的任何分析規則,但我們不希望不必要地觸發自動化,因此我們會將涵蓋範圍限制為包含IP位址實體的事件。
在 [動作] 下,從下拉式清單中選取 [執行劇本]。
選取出現的新下拉式清單。
您會看到訂用帳戶中所有劇本的清單。 灰色是您無法存取的灰色。 在 [ 搜尋劇本] 文本框中,開始輸入上面所建立劇本的名稱或名稱的任何部分。 劇本清單會以您輸入的每個字母動態篩選。
當您在清單中看到您的劇本時,請選取它。
如果劇本呈現灰色,請選取 [ 管理劇本許可權 ] 連結(在您選取劇本的下方精細列印段落中 - 請參閱上述螢幕快照)。 在開啟的面板中,從可用的資源群組清單中選取包含劇本的資源群組,然後選取 [ 套用]。
再次選取 [+ 新增動作 ]。 現在,從出現的新動作下拉式清單中,選取 [ 新增卷標]。
選取 [+ 新增標籤]。 輸入「教學課程擴充的IP位址」作為標籤文字,然後選取 [ 確定]。
保留其餘設定,然後選取 [ 套用]。
確認自動化成功
在 [事件] 頁面中,在搜尋列中輸入標記文字 Tutorial-Enriched IP 位址,然後按 Enter 鍵以篩選已套用該標記的事件清單。 這些是我們自動化規則執行的事件。
開啟上述任何一或多個事件,並查看是否有關於該處IP位址的批注。 這些批注的存在表示劇本已在事件上執行。
清除資源
如果您不打算繼續使用此自動化案例,請刪除您使用下列步驟建立的劇本和自動化規則:
在 [ 自動化 ] 頁面中,選取 [使用中的 劇本] 索引卷標 。
輸入您在搜尋列中建立的劇本名稱(或名稱的一部分)。
(如果未顯示,請確定已將任何篩選設定為全部選取。)在清單中標記劇本旁的複選框,然後從頂端橫幅中選取 [ 刪除 ]。
(如果您不想刪除它,您可以選取 請改為停用 。)選取 [ 自動化規則] 索引標籤 。
輸入您在搜尋列中建立之自動化規則的名稱(或部分名稱)。
(如果未顯示,請確定已將任何篩選設定為全部選取。)在清單中標記自動化規則旁的複選框,然後從頂端橫幅中選取 [ 刪除 ]。
(如果您不想刪除它,您可以選取 請改為停用 。)
下一步
既然您已瞭解如何將基本事件擴充案例自動化,請深入瞭解自動化,以及您可以使用它的其他案例。
- 如需更多範例, 請參閱搭配自動化規則使用劇本。
- 深入探討將 動作新增至劇本。
- 探索一些 不需要劇本的基本自動化案例 。
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: