Tutorial: Automatisches Überprüfen und Aufzeichnen von Ip-Adress-Zuverlässigkeitsinformationen in Incidents

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Eine schnelle und einfache Möglichkeit, den Schweregrad eines Incidents zu bewerten, besteht darin, festzustellen, ob darin enthaltene IP-Adressen als Quellen böswilliger Aktivitäten bekannt sind. Eine Möglichkeit, dies automatisch zu tun, kann Ihnen viel Zeit und Mühe sparen.

In diesem Tutorial erfahren Sie, wie Sie Microsoft Sentinel Automatisierungsregeln und Playbooks verwenden, um IP-Adressen in Ihren Vorfällen automatisch anhand einer Threat Intelligence-Quelle zu überprüfen und jedes Ergebnis in seinem relevanten Incident aufzuzeichnen.

Wenn Sie dieses Tutorial abgeschlossen haben, können Sie Folgendes ausführen:

  • Erstellen eines Playbooks aus einer Vorlage
  • Konfigurieren und Autorisieren der Verbindungen des Playbooks mit anderen Ressourcen
  • Erstellen einer Automatisierungsregel zum Aufrufen des Playbooks
  • Anzeigen der Ergebnisse Ihres automatisierten Prozesses

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Stellen Sie für dieses Tutorial sicher, dass Sie über Folgendes verfügen:

  • Ein Azure-Abonnement. Erstellen Sie ein kostenloses Konto , falls Sie noch kein Konto besitzen.

  • Ein Log Analytics-Arbeitsbereich mit der darauf bereitgestellten Microsoft Sentinel Lösung und erfassten Daten.

  • Ein Azure Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:

  • Installierte VirusTotal Solution vom Content Hub

  • Ein (kostenloses) VirusTotal-Konto reicht für dieses Tutorial aus. Eine Produktionsimplementierung erfordert ein VirusTotal Premium-Konto.

  • Ein Azure Monitor-Agent ist auf mindestens einem Computer in Ihrer Umgebung installiert, sodass Incidents generiert und an Microsoft Sentinel gesendet werden.

Erstellen eines Playbooks aus einer Vorlage

Microsoft Sentinel enthält vorgefertigte, sofort einsatzbereite Playbookvorlagen, die Sie anpassen und verwenden können, um eine große Anzahl grundlegender SecOps-Ziele und -Szenarien zu automatisieren. Wir suchen eine, um die IP-Adressinformationen in unseren Incidents anzureichern.

  1. Wählen Sie Microsoft Sentinel Konfigurationsautomatisierung> aus.

  2. Wählen Sie auf der Seite Automatisierung die Registerkarte Playbookvorlagen (Vorschau) aus.

  3. Suchen Sie eine der Berichtsvorlagen IP-Anreicherung – Virussumme für Entitäten, Vorfälle oder Warnungsauslöser, und wählen Sie sie aus. Filtern Sie die Liste bei Bedarf nach dem Anreicherungstag , um Ihre Vorlagen zu finden.

  4. Wählen Sie im Detailbereich Playbook erstellen aus. Zum Beispiel:

    Screenshot der ausgewählten Vorlage

  5. Der Assistent zum Erstellen eines Playbooks wird geöffnet. Auf der Registerkarte Grundlagen :

    1. Wählen Sie Ihr Abonnement, Ihre Ressourcengruppe und Ihre Region aus den jeweiligen Dropdownlisten aus.

    2. Bearbeiten Sie den Playbooknamen , indem Sie am Ende des vorgeschlagenen Namens "Get-VirusTotalIPReport" hinzufügen. Auf diese Weise können Sie erkennen, aus welcher ursprünglichen Vorlage dieses Playbooks stammt, und gleichzeitig sicherstellen, dass es einen eindeutigen Namen hat, falls Sie ein anderes Playbook aus derselben Vorlage erstellen möchten. Nennen wir es "Get-VirusTotalIPReport-Tutorial-1".

    3. Lassen Sie die Option Diagnose Protokollen in Log Analytics aktivieren deaktiviert.

    4. Wählen Sie Weiter: Verbindungen >aus.

  6. Auf der Registerkarte Verbindungen werden alle Verbindungen angezeigt, die dieses Playbook mit anderen Diensten herstellen muss, sowie die Authentifizierungsmethode, die verwendet wird, wenn die Verbindung bereits in einem vorhandenen Logik-App-Workflow in derselben Ressourcengruppe hergestellt wurde.

    1. Lassen Sie die Microsoft Sentinel Verbindung unverändert (es sollte "Verbindung mit verwalteter Identität herstellen") angezeigt werden.

    2. Wenn Verbindungen "Neue Verbindung wird konfiguriert" lauten, werden Sie in der nächsten Phase des Tutorials dazu aufgefordert. Wenn Sie bereits über Verbindungen mit diesen Ressourcen verfügen, wählen Sie den Erweiterungspfeil links neben der Verbindung aus, und wählen Sie eine vorhandene Verbindung aus der erweiterten Liste aus. Für diese Übung lassen wir es unverändert.

      Screenshot der Registerkarte

    3. Wählen Sie Weiter: Überprüfen und erstellen >Sie .

  7. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen alle Informationen, die Sie hier eingegeben haben, und wählen Sie Playbook erstellen aus.

    Screenshot der Registerkarte

    Wenn das Playbook bereitgestellt wird, wird eine kurze Reihe von Benachrichtigungen über den Fortschritt angezeigt. Anschließend wird der Logik-App-Designer geöffnet, und Ihr Playbook wird angezeigt. Wir müssen weiterhin die Verbindungen der Logik-App mit den Ressourcen autorisieren, mit denen sie interagiert, damit das Playbook ausgeführt werden kann. Anschließend überprüfen wir jede der Aktionen im Playbook, um sicherzustellen, dass sie für unsere Umgebung geeignet sind, und nehmen bei Bedarf Änderungen vor.

    Screenshot: Im Designerfenster der Logik-App geöffnetes Playbook

Autorisieren von Logik-App-Verbindungen

Denken Sie daran, dass beim Erstellen des Playbooks aus der Vorlage die Azure Log Analytics-Datensammler- und Virus Total-Verbindungen später konfiguriert werden.

Screenshot der Überprüfungsinformationen im Assistenten zum Erstellen von Playbooks.

Hier ist, wo wir das tun.

Autorisieren Der Virus Total-Verbindung

  1. Wählen Sie Für jede Aktion aus, um sie zu erweitern und ihren Inhalt zu überprüfen, einschließlich der Aktionen, die für jede IP-Adresse ausgeführt werden. Zum Beispiel:

    Screenshot der Aktion

  2. Das erste Aktionselement, das Sie sehen, hat die Bezeichnung Verbindungen und hat ein orangefarbenes Warndreieck.

    Wenn stattdessen diese erste Aktion get an IP report (Preview) heißt, bedeutet dies, dass Sie bereits über eine Verbindung mit Virus Total verfügen und mit dem nächsten Schritt fortfahren können.

    1. Wählen Sie die Aktion Verbindungen aus, um sie zu öffnen.

    2. Wählen Sie das Symbol in der Spalte Ungültig für die angezeigte Verbindung aus.

      Screenshot: Ungültige Konfiguration der Virus-Gesamtverbindung.

      Sie werden zur Eingabe von Verbindungsinformationen aufgefordert.

      Screenshot: Eingeben des API-Schlüssels und anderer Verbindungsdetails für

    3. Geben Sie "Virus Total" als Verbindungsnamen ein.

    4. Kopieren Sie für x-api_key den API-Schlüssel aus Ihrem Virus Total-Konto, und fügen Sie ihn ein.

    5. Wählen Sie Aktualisieren aus.

    6. Nun wird die Aktion IP-Bericht abrufen (Vorschau) ordnungsgemäß angezeigt. (Wenn Sie bereits ein Virus Total-Konto hatten, befinden Sie sich bereits in dieser Phase.)

      Screenshot der Aktion zum Übermitteln einer IP-Adresse an Virus Total, um einen Bericht darüber zu erhalten.

Autorisieren der Log Analytics-Verbindung

Die nächste Aktion ist eine Bedingung , die die restlichen Aktionen der for-each-Schleife basierend auf dem Ergebnis des IP-Adressberichts bestimmt. Es analysiert die Zuverlässigkeitsbewertung , die der IP-Adresse im Bericht zugewiesen wurde. Ein Wert über 0 gibt an, dass die Adresse harmlos ist; eine Bewertung niedriger als 0 (0 ) weist darauf hin, dass sie böswillig ist.

Screenshot der Bedingungsaktion im Logik-App-Designer.

Unabhängig davon, ob die Bedingung wahr oder falsch ist, möchten wir die Daten im Bericht an eine Tabelle in Log Analytics senden, damit sie abgefragt und analysiert werden können, und dem Incident einen Kommentar hinzufügen.

Aber wie Sie sehen werden, haben wir mehr ungültige Verbindungen, die wir autorisieren müssen.

Screenshot: True- und False-Szenarien für eine definierte Bedingung

  1. Wählen Sie im Frame True die Aktion Verbindungen aus.

  2. Wählen Sie das Symbol in der Spalte Ungültig für die angezeigte Verbindung aus.

    Screenshot: Ungültige Log Analytics-Verbindungskonfiguration.

    Sie werden zur Eingabe von Verbindungsinformationen aufgefordert.

    Screenshot: Eingeben der Arbeitsbereichs-ID und des Schlüssels sowie anderer Verbindungsdetails für Log Analytics

  3. Geben Sie "Log Analytics" als Verbindungsnamen ein.

  4. Kopieren Sie unter Arbeitsbereichs-ID die ID, und fügen Sie sie auf der Seite Übersicht der Log Analytics-Arbeitsbereichseinstellungen ein.

  5. Wählen Sie Aktualisieren aus.

  6. Nun wird die Aktion Daten ordnungsgemäß senden angezeigt. (Wenn Sie bereits über eine Log Analytics-Verbindung von Logic Apps verfügten, sind Sie bereits in dieser Phase.)

    Screenshot: Aktion zum Senden eines Berichtsdatensatzes

  7. Wählen Sie nun die Aktion Verbindungen im Frame False aus. Diese Aktion verwendet dieselbe Verbindung wie die im True-Frame.

  8. Vergewissern Sie sich, dass die Verbindung mit dem Namen Log Analytics markiert ist, und wählen Sie Abbrechen aus. Dadurch wird sichergestellt, dass die Aktion jetzt ordnungsgemäß im Playbook angezeigt wird.

    Screenshot der zweiten ungültigen Log Analytics-Verbindungskonfiguration.

    Nun wird Ihr gesamtes Playbook angezeigt, das ordnungsgemäß konfiguriert ist.

  9. Sehr wichtig! Vergessen Sie nicht, speichern oben im Fenster des Logik-App-Designers auszuwählen. Nachdem Benachrichtigungen angezeigt werden, dass Ihr Playbook erfolgreich gespeichert wurde, wird Ihr Playbook auf der Registerkarte Aktive Playbooks* auf der Seite Automatisierung aufgeführt.

Erstellen einer Automatisierungsregel

Um dieses Playbook tatsächlich auszuführen, müssen Sie nun eine Automatisierungsregel erstellen, die ausgeführt wird, wenn Incidents erstellt werden, und das Playbook aufrufen.

  1. Wählen Sie auf der Seite Automation im oberen Banner + Erstellen aus. Wählen Sie im Dropdownmenü Automatisierungsregel aus.

    Screenshot: Erstellen einer Automatisierungsregel auf der Seite

  2. Geben Sie der Regel im Bereich Neue Automatisierungsregel erstellen den Namen "Tutorial: Anreichern von IP-Informationen".

    Screenshot: Erstellen einer Automatisierungsregel, Benennen der Regel und Hinzufügen einer Bedingung

  3. Wählen Sie unter Bedingungendie Option + Hinzufügen und Bedingung (Und) aus.

    Screenshot: Hinzufügen einer Bedingung zu einer Automatisierungsregel

  4. Wählen Sie in der Eigenschaften-Dropdownliste auf der linken Seite die Option IP-Adresse aus. Wählen Sie in der Dropdownliste des Operators Die Option Enthält aus, und lassen Sie das Wertfeld leer. Dies bedeutet, dass die Regel für Vorfälle gilt, die ein IP-Adressfeld enthalten, das alles enthält.

    Wir möchten nicht verhindern, dass Analyseregeln von dieser Automatisierung abgedeckt werden, aber wir möchten auch nicht, dass die Automatisierung unnötig ausgelöst wird. Daher beschränken wir die Abdeckung auf Incidents, die IP-Adressentitäten enthalten.

    Screenshot: Definieren einer Bedingung, die einer Automatisierungsregel hinzugefügt werden soll

  5. Wählen Sie unter Aktionen die Option Playbook ausführen aus der Dropdownliste aus.

  6. Wählen Sie die neue Dropdownliste aus, die angezeigt wird.

    Screenshot, der zeigt, wie Sie Ihr Playbook aus der Liste der Playbooks auswählen – Teil 1.

    Es wird eine Liste aller Playbooks in Ihrem Abonnement angezeigt. Die ausgegrauten sind diejenigen, auf die Sie keinen Zugriff haben. Beginnen Sie im Textfeld Playbooks durchsuchen mit der Eingabe des Namens oder eines Teils des Namens des oben erstellten Playbooks. Die Liste der Playbooks wird dynamisch mit jedem Buchstaben gefiltert, den Sie eingeben.

    Screenshot, der zeigt, wie Sie Ihr Playbook aus der Liste der Playbooks auswählen – Teil 2.

    Wenn Ihr Playbook in der Liste angezeigt wird, wählen Sie es aus.

    Screenshot, der zeigt, wie Sie Ihr Playbook aus der Liste der Playbooks auswählen – Teil 3.

    Wenn das Playbook abgeblendet ist, wählen Sie den Link Playbookberechtigungen verwalten aus (im Kleingedruckten Absatz unten, wo Sie ein Playbook ausgewählt haben ( siehe Screenshot oben). Wählen Sie im daraufhin geöffneten Bereich die Ressourcengruppe mit dem Playbook aus der Liste der verfügbaren Ressourcengruppen aus, und wählen Sie dann Übernehmen aus.

  7. Wählen Sie erneut + Aktion hinzufügen aus. Wählen Sie nun in der angezeigten Dropdownliste für die neue Aktion Tags hinzufügen aus.

  8. Wählen Sie + Tag hinzufügen aus. Geben Sie "Tutorial-Angereicherte IP-Adressen" als Tagtext ein, und wählen Sie OK aus.

    Screenshot: Hinzufügen eines Tags zu einer Automatisierungsregel

  9. Behalten Sie die restlichen Einstellungen bei, und wählen Sie Übernehmen aus.

Überprüfen einer erfolgreichen Automatisierung

  1. Geben Sie auf der Seite Incidents den Tagtext Tutorial-Enriched IP addresses in die Suchleiste ein, und drücken Sie die EINGABETASTE, um die Liste nach Incidents mit diesem Tag zu filtern. Dies sind die Vorfälle, bei denen unsere Automatisierungsregel ausgeführt wurde.

  2. Öffnen Sie einen oder mehrere dieser Vorfälle, und überprüfen Sie, ob kommentare zu den IP-Adressen vorhanden sind. Das Vorhandensein dieser Kommentare deutet darauf hin, dass das Playbook für den Incident ausgeführt wurde.

Ressourcen bereinigen

Wenn Sie dieses Automatisierungsszenario nicht weiter verwenden möchten, löschen Sie das von Ihnen erstellte Playbook und die Automatisierungsregel mit den folgenden Schritten:

  1. Wählen Sie auf der Seite Automatisierung die Registerkarte Aktive Playbooks aus.

  2. Geben Sie den Namen (oder einen Teil des Namens) des Playbooks ein, das Sie in der Suchleiste erstellt haben.
    (Wenn sie nicht angezeigt wird, stellen Sie sicher, dass alle Filter auf Alle auswählen festgelegt sind.)

  3. Aktivieren Sie das Kontrollkästchen neben Ihrem Playbook in der Liste, und wählen Sie im oberen Banner Löschen aus.
    (Wenn Sie es nicht löschen möchten, können Sie stattdessen Deaktivieren auswählen.)

  4. Wählen Sie die Registerkarte Automatisierungsregeln aus.

  5. Geben Sie den Namen (oder einen Teil des Namens) der Automatisierungsregel ein, die Sie in der Suchleiste erstellt haben.
    (Wenn sie nicht angezeigt wird, stellen Sie sicher, dass alle Filter auf Alle auswählen festgelegt sind.)

  6. Aktivieren Sie das Kontrollkästchen neben Ihrer Automatisierungsregel in der Liste, und wählen Sie im oberen Banner Löschen aus.
    (Wenn Sie es nicht löschen möchten, können Sie stattdessen Deaktivieren auswählen.)

Verwandte Inhalte

Nachdem Sie nun erfahren haben, wie Sie ein einfaches Incidentanreicherungsszenario automatisieren, erfahren Sie mehr über die Automatisierung und andere Szenarien, in denen Sie sie verwenden können.

  • Last updated on