教學課程：在事件中自動檢查和記錄IP位址信譽資訊

文章
04/05/2024
適用於:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

評估事件嚴重性的方法之一，就是查看其中是否有任何IP位址已知為惡意活動來源。有辦法自動執行這項操作，可以節省您很多時間和精力。

在本教學課程中，您將瞭解如何使用 Microsoft Sentinel 自動化規則和劇本，針對威脅情報來源自動檢查事件中的 IP 位址，並在其相關事件中記錄每個結果。

完成本教學課程時，您將能夠：

從範本建立劇本
設定及授權劇本與其他資源的連線
建立自動化規則以叫用劇本
查看自動化程序的結果

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

若要完成本教學課程，請確定您具有下列項目︰

Azure 訂用帳戶。如果您還沒有免費帳戶，請建立一個免費帳戶。
已部署 Microsoft Sentinel 解決方案的 Log Analytics 工作區，以及內嵌至其中的數據。
在下列資源上指派下列角色的 Azure 使用者：
- 部署 Microsoft Sentinel 之 Log Analytics 工作區上的 Microsoft Sentinel 參與者 。
- 邏輯應用程式參與者和擁有者或對等專案，無論資源群組將包含本教學課程中建立的劇本。
（免費） VirusTotal 帳戶將足以用於本教學課程。生產實作需要 VirusTotal 進階版帳戶。

從範本建立劇本

Microsoft Sentinel 包含現成現成的現成劇本範本，您可以自定義及使用，將大量的基本 SecOps 目標和案例自動化。讓我們找到一個來擴充事件中的IP位址資訊。

針對 Azure 入口網站中的 Microsoft Sentinel，選取 [設定]>[自動化] 頁面。針對 Defender 入口網站中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[設定]>[自動化]。
從 [自動化] 頁面中，選取 [劇本範本][預覽] 索引標籤。
依標籤篩選範本清單：
1. 選取清單頂端的 [卷標篩選] 切換開關（在 [搜尋] 字段右邊）。
2. 清除 [ 全部選取] 複選框，然後標示 [ 擴充] 複選框。選取 [確定]。
例如：
選取 [ IP 擴充 - 病毒總計] 報告 範本，然後從詳細數據窗格中選取 [ 建立劇本 ]。
[ 建立劇本 精靈] 隨即開啟。在 [基本] 索引標籤中：
1. 從各自的下拉式清單中選取您的 [訂用帳戶]、 [資源群組] 和 [區域 ]。
2. 將新增至建議名稱「Get-VirusTotalIPReport」結尾，以編輯劇本名稱。（如此一來，您將能夠分辨此劇本的來源原始範本，同時仍然確保它有唯一的名稱，以防您想要從這個相同範本建立另一個劇本。讓我們將其稱為“Get-VirusTotalIPReport-Tutorial-1”。
3. 讓我們將最後兩個複選框保留為未標示，因為我們在此案例中不需要這些服務：
  - 在 Log Analytics 中啟用診斷記錄
  - 建立與整合服務環境的關聯
4. 選取 [下一步]：連線。>
在 [連線 ions] 索引標籤中，您會看到此劇本需要對其他服務建立的所有連線，以及已在相同資源群組的現有邏輯應用程式工作流程中建立連線時所使用的驗證方法。
1. 讓 Microsoft Sentinel 連線維持不變（應該說「使用受控識別 連線」。
2. 如果有任何連線顯示「將會設定新連線」，系統會提示您在下一個階段進行本教學課程。或者，如果您已經有這些資源的連線，請選取連線左側的展開器箭號，然後從展開清單中選擇現有的連線。在此練習中，我們會保持不變。
3. 選取 [下一步：檢閱並建立 >]。
在 [ 檢閱和建立] 索引標籤中，檢閱您在此處顯示的所有資訊，然後選取 [建立並繼續設計工具]。

部署劇本時，您會看到其進度的快速系列通知。 然後邏輯應用程式設計工具會開啟，並顯示您的劇本。我們仍然需要授權邏輯應用程式與其互動的資源連線，讓劇本可以執行。然後，我們將檢閱劇本中的每個動作，以確定它們適合我們的環境，必要時進行變更。

授權邏輯應用程式連線

回想一下，當我們從範本建立劇本時，我們被告知稍後會設定 Azure Log Analytics 數據收集器和病毒總計連線。

從劇本建立精靈檢閱信息的螢幕快照。

以下是我們這樣做的地方。

授權病毒總計連線

選取 [ 針對每個 動作] 展開它，並檢閱其內容（將針對每個IP位址執行的動作）。
您看到的第一個動作項目會標示為連線，並具有橙色警告三角形。

（如果相反地，第一個動作會加上標籤 取得IP報告（預覽），這表示您已經有病毒總計的現有連線，您可以移至下一個步驟。
1. 選取 [連線 ions] 動作加以開啟。
2. 針對顯示的連線，選取 [無效] 資料行中的圖示。
  
  系統會提示您輸入連線資訊。
3. 輸入「病毒總計」作為 連線名稱。
4. 若為 x-api_key，請從病毒總計帳戶複製並貼上 API 金鑰。
5. 選取更新。
6. 現在您會看到 正確取得IP報告（預覽） 動作。（如果您已經有病毒總計帳戶，您就已經在這個階段了。

授權Log Analytics 連線

下一個動作是條件，會根據IP位址報告的結果，決定 for-each 循環的其餘動作。它會分析 提供給報表中IP位址的信譽 分數。高於 0 的分數表示位址無害;低於 0 的分數表示其為惡意。

邏輯應用程式設計工具中條件動作的螢幕快照。

無論條件為 true 或 false，我們想要將報表中的數據傳送至 Log Analytics 中的數據表，以便查詢和分析數據，並將批註新增至事件。

但如您所見，我們有更多無效的連線，我們需要授權。

選取 True 框架中的連線動作。
針對顯示的連線，選取 [無效] 資料行中的圖示。

系統會提示您輸入連線資訊。
輸入「Log Analytics」作為 連線名稱。
針對 [工作區金鑰 ] 和 [工作區標識符]，複製並貼上 Log Analytics 工作區設定中的密鑰和識別碼。您可以在 Log Analytics 代理程式指示展開器內的 [代理程式管理] 頁面中找到它們。
選取更新。
現在您會看到 正確傳送數據 動作。（如果您已經有來自 Logic Apps 的 Log Analytics 連線，則您已經處於這個階段。
現在，選取 False 框架中的連線動作。此動作會使用與 True 圖文框中的連線相同。
確認已標示名為 Log Analytics 的連線，然後選取 [ 取消]。這可確保動作現在會在劇本中正確顯示。

現在您會看到整個劇本，已正確設定。
非常重要！ 別忘了選取邏輯應用程式設計工具視窗頂端的 [儲存]。當您看到劇本成功儲存的通知訊息之後，您會看到劇本列在 [自動化] 頁面的 [使用中劇本*] 索引標籤中。

建立自動化規則

現在，若要實際執行此劇本，您必須建立自動化規則，以在建立事件並叫用劇本時執行。

從 [ 自動化 ] 頁面，從頂端橫幅選取 [+ 建立 ]。從下拉功能表中，選取 [ 自動化規則]。
在 [ 建立新的自動化規則 ] 面板中，將規則命名為「教學課程：擴充IP資訊」。
在 [條件] 底下，選取 [+ 新增] 和 [條件] [And]。
從左邊的屬性下拉式清單中選取 [IP 位址 ]。從運算子下拉式清單中選取 [包含 ]，並將值欄位保留空白。這實際上表示規則會套用至具有包含任何專案之IP位址欄位的事件。

我們不想阻止此自動化涵蓋的任何分析規則，但我們不希望不必要地觸發自動化，因此我們會將涵蓋範圍限制為包含IP位址實體的事件。
在 [動作] 下，從下拉式清單中選取 [執行劇本]。
選取出現的新下拉式清單。

您會看到訂用帳戶中所有劇本的清單。灰色是您無法存取的灰色。在 [ 搜尋劇本] 文本框中，開始輸入上面所建立劇本的名稱或名稱的任何部分。劇本清單會以您輸入的每個字母動態篩選。

當您在清單中看到您的劇本時，請選取它。

如果劇本呈現灰色，請選取 [ 管理劇本許可權 ] 連結（在您選取劇本的下方精細列印段落中 - 請參閱上述螢幕快照）。在開啟的面板中，從可用的資源群組清單中選取包含劇本的資源群組，然後選取 [ 套用]。
再次選取 [+ 新增動作 ]。現在，從出現的新動作下拉式清單中，選取 [ 新增卷標]。
選取 [+ 新增標籤]。輸入「教學課程擴充的IP位址」作為標籤文字，然後選取 [ 確定]。
保留其餘設定，然後選取 [ 套用]。