Opetusohjelma: Ip-osoitteen mainetietojen automaattinen tarkistaminen ja tallentaminen tapauksissa

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Yksi nopea ja helppo tapa arvioida tapahtuman vakavuutta on nähdä, onko sen IP-osoitteiden tiedetään olevan pahantahtoisen toiminnan lähteitä. Kun sinulla on tapa tehdä tämä automaattisesti, voit säästää paljon aikaa ja vaivaa.

Tässä opetusohjelmassa opit käyttämään Microsoft Sentinel automaatiosääntöjä ja -toistokirjoja ip-osoitteiden automaattiseen tarkistamiseen tapahtumissasi uhkatietolähdettä vastaan ja tallentamaan jokaisen tuloksen sen asianmukaiseen tapaukseen.

Kun olet suorittanut tämän opetusohjelman, voit tehdä sen seuraavasti:

  • Luo pelikirja mallista
  • Määritä ja valtuuta pelikirjan yhteydet muihin resursseihin
  • Luo automaatiosääntö, joka käynnistää playbookin
  • Tutustu automatisoidun prosessisi tuloksiin

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

Jotta voit suorittaa tämän opetusohjelman, varmista, että sinulla on:

  • Azure tilaus. Luo ilmainen tili , jos sinulla ei vielä ole tiliä.

  • Log Analytics -työtila, jossa on otettu käyttöön Microsoft Sentinel ratkaisu ja johon tietoja käytetään.

  • Azure käyttäjä, jolla on seuraavat roolit määritettynä seuraaville resursseille:

  • Asennettu VirusTotal-ratkaisu sisältökeskuksesta

  • (Ilmainen) VirusTotal-tili riittää tässä opetusohjelmassa. Tuotannon toteutus edellyttää VirusTotal Premium -tiliä.

  • Azure Monitor Agent on asennettu vähintään yhteen ympäristösi koneeseen, jotta tapaukset luodaan ja lähetetään Microsoft Sentinel.

Luo pelikirja mallista

Microsoft Sentinel sisältää valmiita, käyttövalmiita toistokirjamalleja, joita voit mukauttaa ja joita voit käyttää automatisoimaan suuren määrän SecOps-perustavoitteita ja -skenaarioita. Etsitään sellainen, joka rikastuttaa tapahtumien IP-osoitetietoja.

  1. Valitse Microsoft Sentinel Kokoonpanon automatisointi>.

  2. Valitse Automaatio-sivullaPlaybook-mallit (esikatselu) -välilehti.

  3. Etsi ja valitse jokin IP Enrichment – Virus Yhteensä -raporttimalleista joko entiteetti-, tapaus- tai hälytyskäynnistimiä varten. Suodata luettelo tarvittaessa Enrichment-tunnisteen mukaan, jotta löydät mallisi.

  4. Valitse Tiedot-ruudusta Luo pelikirja . Esimerkki:

    Näyttökuva IP Enrichment – Virus yhteensä -raportista - Entiteetin käynnistin -mallista valittuna.

  5. Ohjattu oppikirjan luominen avautuu. Perustiedot-välilehdessä:

    1. Valitse tilaus, resurssiryhmä ja alue niiden avattavasta luettelosta.

    2. Muokkaa Playbook-nimeä lisäämällä ehdotetun nimen "Get-VirusTotalIPReport" loppuun. Näin voit kertoa, mistä alkuperäisestä mallista tämä toistokirja on peräisin, ja samalla varmistaa, että sillä on yksilöivä nimi siltä varalta, että haluat luoda toisen pelikirjan tästä samasta mallista. Annetaan sille nimeksi Get-VirusTotalIPReport-Tutorial-1.

    3. Jätä Ota diagnostiikkalokit käyttöön Log Analyticsissa -asetuksen valinta valitsematta.

    4. Valitse Seuraava: Yhteydet >.

  6. Yhteydet-välilehdessä näet kaikki yhteydet, jotka tämän toistokirjan on tehtävä muihin palveluihin, sekä todennusmenetelmän, jota käytetään, jos yhteys on jo muodostettu olemassa olevassa Logic App -työnkulussa samassa resurssiryhmässä.

    1. Jätä Microsoft Sentinel yhteys ennalle (sen tulisi sanoa "Muodosta yhteys hallituilla käyttäjätiedoilla").

    2. Jos jokin yhteyksistä sanoo "Uusi yhteys määritetään", sinua kehotetaan tekemään se opetusohjelman seuraavassa vaiheessa. Jos sinulla on jo yhteyksiä näihin resursseihin, valitse yhteyden vasemmalla puolella oleva laajennusnuoli ja valitse aiemmin luotu yhteys laajennetusta luettelosta. Jätämme tämän harjoituksen sellaisenaan.

      Näyttökuva ohjatun toistokirjan luomisen Yhteydet-välilehdestä.

    3. Valitse Seuraava: Tarkista ja luo >.

  7. Tarkista ja luo -välilehdessä kaikki antamasi tiedot sellaisina kuin ne näkyvät tässä, ja valitse Luo pelikirja.

    Näyttökuva ohjatun toimintotoiminnon Tarkista ja luo -välilehdestä.

    Kun pelikirja on otettu käyttöön, näet nopean sarjan ilmoituksia sen edistymisestä. Sen jälkeen Logic-sovelluksen suunnittelija avautuu niin, että pelikirjasi näytetään. Meidän on edelleen valtuutettava logiikkasovelluksen yhteydet resursseihin, joiden kanssa se on vuorovaikutuksessa, jotta pelikirja voidaan suorittaa. Sitten tarkistamme kaikki pelikirjan toiminnot varmistaaksemme, että ne sopivat ympäristöömme, ja teemme muutoksia tarvittaessa.

    Näyttökuva logiikkasovellusten suunnitteluohjelman ikkunassa avatusta pelikirjasta.

Valtuuta logiikkasovellusyhteydet

Muista, että kun loimme pelikirjan mallista, meille kerrottiin, että Azure Log Analytics Data Collector ja Virus Total -yhteydet määritettäisiin myöhemmin.

Näyttökuva ohjatun toimintotoiminnon tarkistustiedoista.

Teemme sen täällä.

Valtuuta virusten kokonaismäärän yhteys

  1. Valitse Kullekin toiminnolle sen laajentamiseksi ja sen sisällön tarkistamiseksi. Se sisältää toiminnot, jotka suoritetaan kullekin IP-osoitteelle. Esimerkki:

    Näyttökuva kunkin silmukkalausekkeen toiminnosta logiikkasovellusten suunnitteluohjelmassa.

  2. Ensimmäisen näkemäsi toimintokohteen nimi on Yhteydet , ja siinä on oranssi varoituskolmio.

    Jos ensimmäisen toiminnon nimi on sen sijaan Hanki IP-raportti (esikatselu), se tarkoittaa, että sinulla on jo yhteys virusten kokonaismäärään ja voit siirtyä seuraavaan vaiheeseen.

    1. Valitse Yhteydet-toiminto avataksesi sen.

    2. Valitse kuvake näytettävän yhteyden Virheellinen-sarakkeesta .

      Näyttökuva virusyhteyden määrityksen kokonaismäärästä, joka ei kelpaa.

      Sinulta pyydetään yhteystiedot.

      Näyttökuvassa näytetään, miten voit syöttää ohjelmointirajapinnan avaimen ja muita virusten kokonaismäärän yhteystietoja.

    3. Kirjoita Yhteyden nimeksiVirus yhteensä.

    4. Jos kyseessä on x-api_key, kopioi ja liitä ohjelmointirajapinta-avain Virus yhteensä -tililtäsi.

    5. Valitse Päivitä.

    6. Nyt näet Hanki IP-raportti (esikatselu) -toiminnon oikein. (Jos sinulla oli jo Virus Yhteensä -tili, olet jo tässä vaiheessa.)

      Näyttökuvassa näkyy toiminto IP-osoitteen lähettämiseksi virusten kokonaismäärään, jotta siitä voidaan saada raportti.

Valtuuta Log Analytics -yhteys

Seuraava toiminto on Ehto , joka määrittää kunkin silmukan muut toiminnot IP-osoiteraportin tuloksen perusteella. Se analysoi raportin IP-osoitteelle annetun mainepistemäärän . Jos arvo on suurempi kuin 0 , osoite on vaaraton. jos pistemäärä on pienempi kuin 0 , se on haitallista.

Näyttökuva ehtotoiminnosta logiikkasovelluksen suunnitteluohjelmassa.

Riippumatta siitä, onko ehto tosi vai epätosi, haluamme lähettää raportin tiedot Log Analytics -taulukon taulukkoon, jotta siitä voidaan tehdä kyselyjä ja analysoida, ja lisätä tapahtumaan kommentin.

Kuten näet, meillä on enemmän virheellisiä yhteyksiä, jotka meidän on valtuutettava.

Näyttökuva, joka näyttää määritetyn ehdon tosi- ja epätosi-skenaariot.

  1. Valitse True-kehyksestä Yhteydet-toiminto.

  2. Valitse kuvake näytettävän yhteyden Virheellinen-sarakkeesta .

    Näyttökuva virheellisen Log Analytics -yhteysmäärityksen määrityksestä.

    Sinulta pyydetään yhteystiedot.

    Näyttökuvassa näytetään, miten voit syöttää työtilan tunnuksen ja avaimen sekä muita yhteystietoja Log Analyticsia varten.

  3. Kirjoita Yhteyden nimeksi"Log Analytics".

  4. Kopioi ja liitä työtilan tunnus Log Analytics -työtilan asetusten Yleiskatsaus-sivulta .

  5. Valitse Päivitä.

  6. Nyt näet Lähetä tiedot -toiminnon oikein. (Jos sinulla oli jo Log Analytics -yhteys Logic Appsista, olet jo tässä vaiheessa.)

    Näyttökuvassa näkyy toiminto Virusten kokonaismäärä -raporttitietueen lähettämiseksi taulukkoon Log Analytics -toiminnossa.

  7. Valitse nyt Yhteydet-toimintoEpätosi-kehyksessä . Tämä toiminto käyttää samaa yhteyttä kuin True-kehyksessä.

  8. Varmista, että Log Analytics - niminen yhteys on merkitty, ja valitse Peruuta. Näin varmistat, että toiminto näkyy nyt oikein pelikirjassa.

    Näyttökuva toisesta virheellisestä Log Analytics -yhteysmäärityksestä.

    Näet nyt koko pelikirjan, joka on määritetty oikein.

  9. Todella tärkeää! Muista valita TallennaLogic-sovelluksen suunnittelutyökalun ikkunan yläreunasta. Kun näet ilmoitusviestejä siitä, että pelikirjasi on tallennettu onnistuneesti, näet pelikirjasi automaatiosivunActive Playbooks* -välilehdessä.

Automaatiosäännön luominen

Jotta voit todella suorittaa tämän pelikirjan, sinun on luotava automaatiosääntö, joka suoritetaan, kun tapauksia luodaan, ja käynnistää pelikirja.

  1. Valitse Automaatio-sivulta+ Luo yläpalkista. Valitse avattavasta valikosta Automaatiosääntö.

    Näyttökuva automaatiosäännön luomisesta Automaatio-sivulta.

  2. Anna Luo uusi automaatiosääntö -paneelissa säännön nimeksi Opetusohjelma: Täydennä IP-tietoja.

    Näyttökuva automaatiosäännön luomisesta, nimeämisestä ja ehdon lisäämisestä.

  3. Valitse Ehdot-kohdassa+ Lisää ja Ehto (Ja).

    Näyttökuva ehdon lisäämisestä automaatiosääntöön.

  4. Valitse vasemmalla olevasta ominaisuuden avattavasta valikosta IP-osoite . Valitse avattavasta operaattorivalikosta Sisältää ja jätä arvokenttä tyhjäksi. Tämä tarkoittaa käytännössä sitä, että sääntöä sovelletaan tapauksiin, joissa on IP-osoitekenttä, joka sisältää mitä tahansa.

    Emme halua estää analytiikkasääntöjen sisällymistä tähän automaatioon, mutta emme myöskään halua automaation käynnistyvän tarpeettomasti, joten rajoitamme kattavuuden tapauksiin, jotka sisältävät IP-osoiteentiteettejä.

    Näyttökuva automaatiosääntöön lisättävän ehdon määrittämisestä.

  5. Valitse Toiminnot-kohdassaSuorita pelikirja avattavasta valikosta.

  6. Valitse uusi avattava valikko, joka tulee näkyviin.

    Näyttökuva, jossa näytetään, miten voit valita pelikirjan pelikirjojen luettelosta – osa 1.

    Näet luettelon kaikista tilauksesi pelikirjoista. Harmaita ovat ne, joihin sinulla ei ole käyttöoikeutta. Aloita kirjoittamalla yllä luomamme pelikirjan nimi tai mikä tahansa nimen osa Hae pelikirjoja -tekstiruutuun. Pelikirjojen luettelo suodatetaan dynaamisesti jokaisen kirjoittamasi kirjaimen mukaan.

    Näyttökuva, jossa näytetään, miten voit valita pelikirjan pelikirjojen luettelosta – osa 2.

    Kun näet pelikirjan luettelossa, valitse se.

    Näyttökuva, jossa näytetään, miten voit valita pelikirjan pelikirjojen luettelosta – osa 3.

    Jos pelikirja näkyy harmaana, valitse Hallitse pelikirjan käyttöoikeuksia -linkki (alla olevassa hienotulostuskappaleessa, jossa valitsit pelikirjan – katso yllä oleva näyttökuva). Valitse avautuvasta paneelista resurssiryhmä, joka sisältää pelikirjan, käytettävissä olevien resurssiryhmien luettelosta ja valitse sitten Käytä.

  7. Valitse uudelleen + Lisää toiminto . Valitse avautuvasta uudesta toimintovalikosta Lisää tunnisteita.

  8. Valitse + Lisää tunniste. Kirjoita tunnistetekstiksi "Tutorial-Enriched IP-osoitteet" ja valitse OK.

    Näyttökuva, jossa näytetään, miten tunniste lisätään automaatiosääntöön.

  9. Jätä jäljellä olevat asetukset ennalle ja valitse Käytä.

Onnistuneen automaation tarkistaminen

  1. Kirjoita Tapahtumat-sivullahakupalkkiin tunnisteteksti Tutorial-Enriched IP-osoitteet ja paina Enter-näppäintä suodattaaksesi luettelon tapauksista, joissa kyseinen tunniste on käytössä. Nämä ovat tapauksia, joissa automaatiosääntömme ilmeni.

  2. Avaa yksi tai useampi näistä tapauksista ja katso, onko siellä kommentteja IP-osoitteista. Näiden kommenttien läsnäolo osoittaa, että pelikirja suoritettiin tapahtumassa.

Puhdista resurssit

Jos et aio jatkaa tämän automaatioskenaarion käyttöä, poista luomasi toistokirja- ja automaatiosääntö seuraavasti:

  1. Valitse Automaatio-sivullaAktiiviset toistokirjat -välilehti.

  2. Kirjoita luomasi pelikirjan nimi (tai osa nimeä) Haku-palkkiin.
    (Jos se ei näy, varmista, että suodattimien asetuksena on Valitse kaikki.)

  3. Merkitse luettelossa pelikirjan vieressä oleva valintaruutu ja valitse Poista yläpalkista.
    (Jos et halua poistaa sitä, voit valita sen sijaan Poista käytöstä .)

  4. Valitse Automaatiosäännöt-välilehti .

  5. Kirjoita hakuriville luomasi automaatiosäännön nimi (tai nimi).
    (Jos se ei näy, varmista, että suodattimien asetuksena on Valitse kaikki.)

  6. Merkitse luettelossa automaatiosäännön vieressä oleva valintaruutu ja valitse Poista yläpalkista.
    (Jos et halua poistaa sitä, voit valita sen sijaan Poista käytöstä .)

Aiheeseen liittyvä sisältö

Nyt kun olet oppinut automatisoimaan tapausten täydennysskenaarion, lue lisätietoja automaatiosta ja muista skenaarioista, joissa voit käyttää sitä.

  • Last updated on