共用方式為

教學課程:使用非原生動作擷取事件實體

  • 適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

實體對應會擴充警示和事件,其中包含任何調查程式和後續補救動作所需的資訊。

Microsoft Sentinel 劇本包含這些原生動作來擷取實體資訊:

  • 帳戶
  • DNS(域名系統)
  • 檔案雜湊
  • 主機
  • IP
  • URL

除了這些動作之外,分析規則實體對應還包含不是原生動作的實體類型,例如惡意代碼、進程、登錄機碼、信箱等。 在本教學課程中,您將瞭解如何使用不同的內建動作來處理非原生動作,以擷取相關的值。

在本教學課程中,您會了解如何:

  • 使用事件觸發程式建立劇本,並在事件上手動執行。
  • 初始化陣列變數。
  • 從其他實體類型篩選必要的實體類型。
  • 剖析 JSON 檔案中的結果。
  • 將值建立為動態內容以供日後使用。

重要

Microsoft Sentinel 已在 Microsoft Defender 入口網站全面推出,包括對於沒有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

若要完成本教學課程,請確定您具有下列項目︰

  • Azure 訂用帳戶。 如果您還沒有 免費帳戶 ,請建立一個免費帳戶。

  • 在下列資源上指派下列角色的 Azure 使用者:

    • 在部署 Microsoft Sentinel 的 Log Analytics 工作區上擔任 Microsoft Sentinel 貢獻者。
    • 邏輯應用貢獻者擁有者 或等同角色,所在的資源群組將包含本教學課程中建立的流程。

  • (免費) VirusTotal 帳戶 將足以用於本教學課程。 生產實作需要一個 VirusTotal Premium 帳戶。

使用事件觸發程序建立劇本

  1. 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>組態>自動化]。 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [ 組態>自動化 ] 頁面。

  2. 在 [自動化] 頁面上,選取 [建立]>[具有事件觸發程序的劇本]

  3. 在 [建立劇本] 精靈的 [基本] 下,選取訂用帳戶和資源群組,並將劇本命名。

  4. 選取 [下一步:連線]>

    連線 中,應該可見 Microsoft Sentinel - 使用受控身份進行連線。 例如:

    使用事件觸發程式建立新劇本的螢幕快照。

  5. 選取 [下一步:檢閱並建立 >]。

  6. 在 [檢閱並建立] 下,選取 [建立並繼續前往設計工具]

    邏輯應用程式設計工具會開啟具有劇本名稱的邏輯應用程式。

    在邏輯應用程式設計工具中檢視劇本的螢幕快照。

初始化陣列變數

  1. 在邏輯應用程式設計工具中,請在您要新增變數的步驟下,選取 [新增步驟]

  2. [選擇作業] 底下的搜尋方塊中,輸入 變數 作為篩選條件。 從動作清單中,選取 [初始化變數]

  3. 提供變數的相關資訊:

    1. 針對變數名稱,請使用 Entities

    2. 針對類型,選取 [陣列]

    3. 針對值,將滑鼠停留在 [ ] 字段上,然後選取左側藍色圖示群組中的 fx

      在邏輯應用程式設計工具中初始化變數的螢幕快照。

    4. 在開啟的對話框中,選取 [動態內容 ] 索引標籤,然後在搜尋方塊中輸入 實體

    5. 從清單中選取 [實體 ],然後選取 [ 新增]。

      在邏輯應用程式設計工具中選取 [實體] 值的螢幕快照。

選取現有的事件

  1. 在 Microsoft Sentinel 中,瀏覽至 [事件],然後選取您要執行劇本的事件。

  2. 在右側的事件頁面中,選取 [動作 > 執行劇本 (預覽)]

  3. [劇本] 底下,在您 建立的劇本旁邊,選取[執行]

    觸發劇本時,會在右上方看到 劇本成功觸發 訊息。

  4. 選取 [執行],然後在劇本旁選取 [檢視執行]

    [邏輯應用程式執行] 頁面是可見的。

  5. 在 [初始化變數] 下,範例承載會顯示在 [值] 下。 請注意範例承載以供稍後使用。

    在 [值] 欄位下檢視範例承載的螢幕快照。

從其他實體類型篩選必要的實體類型

  1. 瀏覽回 [自動化] 頁面,然後選取您的劇本。

  2. 在您要新增變數的步驟下方,選取 [新增步驟]

  3. [選擇動作] 底下的搜尋方塊中,輸入 篩選陣列 作為篩選條件。 從動作清單中,選取 [資料作業]

    篩選陣列並選擇資料操作的螢幕快照。

  4. 提供篩選陣列的相關資訊:

    1. 在 [從動態內容] 底下,選取您先前初始化的 [實體] 變數

    2. 選取第一個 [選擇值] 欄位 (左側),然後選取 [運算式]

    3. 貼上值 項目()?['kind'],然後選取確定

      填入篩選陣語表達式的螢幕快照。

    4. 保留 等於 值 (請勿修改它)。

    5. 在第二 個 [選擇值] 字段中(右側),輸入 Process。 這必須與系統中的值完全相符。

      注意

      此查詢會區分大小寫。 請確定 kind 值符合範例承載中的值。 請參閱您建立 劇本時的範例負載。

      填入篩選陣列資訊的螢幕快照。

將結果剖析為 JSON 檔案

  1. 在邏輯應用程式中,在您要新增變數的步驟下,選取 [新增步驟]

  2. 選取 [資料作業]>[剖析 JSON]

    選取 [資料作業] 下 [剖析 JSON] 選項的螢幕快照。

  3. 提供作業的相關資訊:

    1. 選取 [內容],然後在 [動態內容]>[篩選陣列] 底下,選取 [本文]

      在 [內容] 底下選取 [動態內容] 的螢幕快照。

    2. 在 [結構描述] 底下,貼上 JSON 架構,以便從陣列擷取值。 複製您在 建立劇本時產生的範例承載。

      複製範例負載的螢幕快照。

    3. 傳回劇本,然後選取 [使用範例承載產生結構描述]

      選擇「使用範例承載來建立結構」的螢幕截圖。

    4. 貼上承載。 在結構描述開頭新增左方括弧 ([),並在結構描述 ] 結尾關閉它們。

      貼上範例承載的螢幕快照。

      第二部分範例負載的螢幕快照。

    5. 選取 [完成]。

使用新值作為動態內容以供日後使用

您現在可以使用您建立為動態內容的值,以進行進一步的動作。 例如,如果您想要傳送含有處理資料的電子郵件,您可以在 [動態內容] 下找到 [剖析 JSON] 動作,如果您未變更動作名稱。

傳送含有處理數據的電子郵件螢幕快照。

確定您的劇本已儲存

請確定已儲存劇本,您現在可以將劇本用於 SOC 作業。

下一步

請前進到下一篇文章,瞭解如何使用劇本在 Microsoft Sentinel 中建立及執行事件工作。

在 Microsoft Sentinel 中使用劇本建立和執行事件任務