共用方式為

教學課程:使用非原生動作擷取事件實體

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

實體對應會擴充警示和事件,其中包含任何調查程式和後續補救動作所需的資訊。

Microsoft Sentinel 劇本包含這些原生動作來擷取實體資訊:

  • 帳戶
  • DNS
  • 檔案哈希
  • 主機
  • IP
  • URL

除了這些動作之外,分析規則實體對應還包含不是原生動作的實體類型,例如惡意代碼、進程、登錄機碼、信箱等等。 在本教學課程中,您將瞭解如何使用不同的內建動作來處理非原生動作,以擷取相關的值。

在本教學課程中,您會了解如何:

  • 使用事件觸發程式建立劇本,並在事件上手動執行。
  • 初始化數位變數。
  • 從其他實體類型篩選必要的實體類型。
  • 剖析 JSON 檔案中的結果。
  • 將值建立為動態內容以供日後使用。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

若要完成本教學課程,請確定您具有下列項目︰

使用事件觸發程式建立劇本

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [設定]>[自動化] 頁面。 針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]

  2. 在 [自動化] 頁面上,選取 [使用事件觸發程式建立>劇本]。

  3. 在 [建立劇本精靈] 的 [基本] 底下,選取訂用帳戶和資源群組,並將劇本命名為 。

  4. 選取 [下一步]:連線。>

    連線 ions 下,應該會顯示具有受控識別連線的 Microsoft Sentinel - 連線。 例如:

    使用事件觸發程式建立新劇本的螢幕快照。

  5. 選取 [下一步]:檢閱和建立>

  6. 在 [檢閱和建立] 底下,選取 [建立並繼續設計工具]。

    邏輯應用程式設計工具會開啟具有劇本名稱的邏輯應用程式。

    在邏輯應用程式設計工具中檢視劇本的螢幕快照。

初始化數位變數

  1. 在邏輯應用程式設計工具中,在您要新增變數的步驟下,選取 [ 新增步驟]。

  2. [選擇作業] 底下的搜尋方塊中,輸入 變數 作為篩選條件。 從動作清單中,選取 [ 初始化變數]。

  3. 提供變數的相關信息:

    • 針對變數名稱,請使用 Entities

    • 針對類型,選取 [ 陣列]。

    • 針對值,開始輸入實體,然後選取 [動態內容] 底下的 [實體]。

      初始化Array變數的螢幕快照。

選取現有的事件

  1. 在 Microsoft Sentinel 中,流覽至 [事件 ],然後選取您要執行劇本的事件。

  2. 在右側的事件頁面上,選取 [ 動作 > 執行劇本] (預覽)。

  3. [劇本] 底下,在您建立劇本旁,選取 [執行]。

    觸發劇本時, 會在右上方看到劇本成功 觸發訊息。

  4. 選取 [ 執行],然後選取劇本旁的 [ 檢視執行]。

    邏輯 應用程式執行 頁面是可見的。

  5. [初始化變數] 下,範例承載會顯示在 [值] 底下。 請注意範例承載以供稍後使用。

    在 [值] 欄位下檢視範例承載的螢幕快照。

從其他實體類型篩選必要的實體類型

  1. 流覽回到 [自動化 ] 頁面,然後選取您的劇本。

  2. 在您要新增變數的步驟下,選取 [ 新增步驟]。

  3. [選擇動作] 底下的搜尋方塊中,輸入 篩選陣列 作為篩選條件。 從動作清單中,選取 [資料作業]。

    篩選陣語並選取資料作業的螢幕快照。

  4. 提供篩選陣列的相關信息:

    1. 在 [從>動態內容] 底下,選取您先前初始化的 [實體] 變數。

    2. 選取第一 個 [選擇值 ] 字段(左側),然後選取 [ 表達式]。

    3. 貼上值 專案()?['kind'],然後選取 [ 確定]。

      填入篩選陣語表達式的螢幕快照。

    4. 保留 等於值 (請勿修改它)。

    5. 在第二 個 [選擇值 ] 字段中(右側),輸入 Process。 這必須與系統中的值完全相符。

      注意

      此查詢會區分大小寫。 確定 kind 值符合範例承載中的值。 請參閱建立 劇本時的範例承載。

      填入篩選陣列資訊的螢幕快照。

將結果剖析為 JSON 檔案

  1. 在邏輯應用程式中,在您要新增變數的步驟下,選取 [ 新增步驟]。

  2. 選取 [數據作業>剖析 JSON]。

    選取 [資料作業] 下 [剖析 JSON] 選項的螢幕快照。

  3. 提供作業的相關信息:

    1. 選取 [內容],然後在 [動態內容>篩選] 陣列底下,選取 [內文]。

      在 [內容] 底下選取 [動態內容] 的螢幕快照。

    2. 在 [架構] 底下,貼上 JSON 架構,以便從陣列擷取值。 複製您在建立劇本產生的範例承載。

      複製範例承載的螢幕快照。

    3. 返回劇本,然後選取 [ 使用範例承載來產生架構]。

      選取 [使用範例承載來產生架構] 的螢幕快照。

    4. 貼上承載。 在架構開頭加入左方括號 ([),並在架構 ]結尾關閉它們。

      貼上範例承載的螢幕快照。

      貼上範例承載第二個部分的螢幕快照。

    5. 選取完成

使用新值作為動態內容以供日後使用

您現在可以使用您建立為動態內容的值,以進行進一步的動作。 例如,如果您想要傳送含有處理數據的電子郵件,如果您未變更動作名稱,您可以在 [動態內容] 底下找到 [剖析 JSON] 動作。

傳送含有處理數據的電子郵件螢幕快照。

確定您的劇本已儲存

請確定已儲存劇本,您現在可以將劇本用於SOC作業。

下一步

請前進到下一篇文章,瞭解如何使用劇本在 Microsoft Sentinel 中建立和執行事件工作。

使用劇本在 Microsoft Sentinel 中建立和執行事件工作