共用方式為

教學課程:使用非原生動作擷取事件實體

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

實體對應會擴充警示和事件,其中包含任何調查程式和後續補救動作所需的資訊。

Microsoft Sentinel 劇本包含這些原生動作來擷取實體資訊:

  • 帳戶
  • DNS
  • 檔案雜湊
  • 主機
  • IP
  • URL

除了這些動作之外,分析規則實體對應還包含不是原生動作的實體類型,例如惡意代碼、進程、登錄機碼、信箱等。 在本教學課程中,您將瞭解如何使用不同的內建動作來處理非原生動作,以擷取相關的值。

在本教學課程中,您會了解如何:

  • 使用事件觸發程式建立劇本,並在事件上手動執行。
  • 初始化陣列變數。
  • 從其他實體類型篩選必要的實體類型。
  • 剖析 JSON 檔案中的結果。
  • 將值建立為動態內容以供日後使用。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

若要完成本教學課程,請確定您具有下列項目︰

  • Azure 訂用帳戶。 建立免費帳戶 (如果您還沒有帳戶的話)。

  • 在下列資源上指派下列角色的 Azure 使用者:

  • (免費) VirusTotal 帳戶將足以用於本教學課程。 生產實作需要一個 VirusTotal Premium 帳戶。

使用事件觸發程序建立劇本

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]

  2. 在 [自動化] 頁面上,選取 [建立]>[具有事件觸發程序的劇本]

  3. 在 [建立劇本] 精靈的 [基本] 下,選取訂用帳戶和資源群組,並將劇本命名。

  4. 選取 [下一步:連線]>

    在 [連線] 下,Microsoft Sentinel - 使用受控識別進行連線的連線應該是可見的。 例如:

    使用事件觸發程序建立新劇本的螢幕擷取畫面。

  5. 選取 [下一步]:檢閱和建立>

  6. 在 [檢閱並建立] 下,選取 [建立並繼續前往設計工具]

    邏輯應用程式設計工具會開啟具有劇本名稱的邏輯應用程式。

    在邏輯應用程式設計工具中檢視劇本的螢幕擷取畫面。

初始化陣列變數

  1. 在邏輯應用程式設計工具中,請在您要新增變數的步驟下,選取 [新增步驟]

  2. 在 [選擇作業] 下方的搜尋方塊中,輸入變數作為篩選條件。 從動作清單中,選取 [初始化變數]

  3. 提供變數的相關資訊:

    • 針對變數名稱,請使用實體

    • 針對類型,選取 [陣列]

    • 針對值,開始輸入實體,然後選取 [動態內容] 底下的 [實體]

      初始化陣列變數的螢幕擷取畫面。

選取現有的事件

  1. 在 Microsoft Sentinel 中,瀏覽至 [事件],然後選取您要執行劇本的事件。

  2. 在右側的事件頁面中,選取 [動作 > 執行劇本 (預覽)]

  3. 在 [劇本] 底下,在您建立劇本旁,選取 [執行]

    觸發劇本時,已成功觸發劇本訊息會顯示在右上方。

  4. 選取 [執行],然後在劇本旁選取 [檢視執行]

    [邏輯應用程式執行] 頁面是可見的。

  5. 在 [初始化變數] 下,範例承載會顯示在 [值] 下。 請注意範例承載以供稍後使用。

    在 [值] 欄位下檢視範例承載的螢幕擷取畫面。

從其他實體類型篩選必要的實體類型

  1. 瀏覽回 [自動化] 頁面,然後選取您的劇本。

  2. 在您要新增變數的步驟下方,選取 [新增步驟]

  3. 在 [選擇動作] 下方,搜尋方塊中,輸入篩選陣列作為篩選條件。 從動作清單中,選取 [資料作業]

    篩選陣列並選取資料作業的螢幕擷取畫面。

  4. 提供篩選陣列的相關資訊:

    1. 在 [從]>[動態內容] 下方,選取您先前初始化變數 [實體]

    2. 選取第一個 [選擇值] 欄位 (左側),然後選取 [運算式]

    3. 貼上值 item()?['kind'],然後選取 [確定]

      填入篩選陣列運算式的螢幕擷取畫面。

    4. 保留等於值 (請勿修改它)。

    5. 在第二個 [選擇值] 欄位 (右側),輸入流程。 這必須與系統中的值完全相符。

      注意

      此查詢會區分大小寫。 請確定 kind 值符合範例承載中的值。 請參閱建立劇本時的範例承載。

      填入篩選陣列資訊的螢幕擷取畫面。

將結果剖析為 JSON 檔案

  1. 在邏輯應用程式中,在您要新增變數的步驟下,選取 [新增步驟]

  2. 選取 [資料作業]>[剖析 JSON]

    選取 [資料作業] 下 [剖析 JSON] 選項的螢幕擷取畫面。

  3. 提供作業的相關資訊:

    1. 選取 [內容],然後在 [動態內容]>[篩選陣列] 底下,選取 [本文]

      在 [內容] 底下選取 [動態內容] 的螢幕擷取畫面。

    2. 在 [結構描述] 底下,貼上 JSON 架構,以便從陣列擷取值。 複製您在建立劇本時所產生的範例承載。

      複製範例承載的螢幕擷取畫面。

    3. 傳回劇本,然後選取 [使用範例承載產生結構描述]

      選取 [使用範例承載來產生結構描述] 的螢幕擷取畫面。

    4. 貼上承載。 在結構描述開頭新增左方括弧 ([),並在結構描述 ] 結尾關閉它們。

      貼上範例承載的螢幕擷取畫面。

      貼上範例承載第二個部分的螢幕擷取畫面。

    5. 選取完成

使用新值作為動態內容以供日後使用

您現在可以使用您建立為動態內容的值,以進行進一步的動作。 例如,如果您想要傳送含有處理資料的電子郵件,您可以在 [動態內容] 下找到 [剖析 JSON] 動作,如果您未變更動作名稱。

傳送含有處理資料的電子郵件螢幕擷取畫面。

確定您的劇本已儲存

請確定已儲存劇本,您現在可以將劇本用於 SOC 作業。

下一步

請前進到下一篇文章,瞭解如何使用劇本在 Microsoft Sentinel 中建立及執行事件工作。

使用劇本在 Microsoft Sentinel 中建立和執行事件工作