Tutoriel : Case activée et enregistrer automatiquement les informations de réputation des adresses IP dans les incidents

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Un moyen simple et rapide d’évaluer la gravité d’un incident consiste à voir si des adresses IP qu’il contient sont connues pour être des sources d’activités malveillantes. Avoir un moyen de le faire automatiquement peut vous faire gagner beaucoup de temps et d’efforts.

Dans ce tutoriel, vous allez apprendre à utiliser des règles d’automatisation Microsoft Sentinel et des playbooks pour case activée automatiquement des adresses IP dans vos incidents sur une source de renseignement sur les menaces et enregistrer chaque résultat dans son incident pertinent.

Lorsque vous aurez terminé ce tutoriel, vous serez en mesure d’effectuer les étapes suivantes :

  • Créer un playbook à partir d’un modèle
  • Configurer et autoriser les connexions du playbook à d’autres ressources
  • Créer une règle d’automatisation pour appeler le playbook
  • Voir les résultats de votre processus automatisé

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Configuration requise

Pour suivre ce didacticiel, vérifiez que vous disposez des points suivants :

  • Un abonnement Azure. Créez un compte gratuit si vous n’en avez pas déjà un.

  • Un espace de travail Log Analytics avec la solution Microsoft Sentinel déployée sur celui-ci et les données qui y sont ingérées.

  • Un utilisateur Azure avec les rôles suivants attribués sur les ressources suivantes :

  • Solution VirusTotal installée à partir du hub de contenu

  • Un compte VirusTotal (gratuit) suffit pour ce tutoriel. Une implémentation de production nécessite un compte VirusTotal Premium.

  • Un agent Azure Monitor installé sur au moins un ordinateur de votre environnement, afin que les incidents soient générés et envoyés à Microsoft Sentinel.

Créer un playbook à partir d’un modèle

Microsoft Sentinel comprend des modèles de playbook prêts à l’emploi prêts à l’emploi que vous pouvez personnaliser et utiliser pour automatiser un grand nombre d’objectifs et de scénarios SecOps de base. Nous allons en trouver un pour enrichir les informations d’adresse IP dans nos incidents.

  1. Dans Microsoft Sentinel, sélectionnez Automatisation de la configuration>.

  2. Dans la page Automation, sélectionnez l’onglet Modèles de playbook (préversion).

  3. Recherchez et sélectionnez l’un des modèles de rapport Enrichissement IP - Nombre total de virus , pour les déclencheurs d’entité, d’incident ou d’alerte. Si nécessaire, filtrez la liste par la balise Enrichissement pour rechercher vos modèles.

  4. Sélectionnez Créer un playbook dans le volet d’informations. Par exemple :

    Capture d’écran du modèle Enrichissement IP - Virus Total Report - Entity Trigger sélectionné.

  5. L’Assistant Création d’un playbook s’ouvre. Sous l’onglet Informations de base :

    1. Sélectionnez votre abonnement, votre groupe de ressources et votre région dans leurs listes déroulantes respectives.

    2. Modifiez le nom du playbook en ajoutant à la fin du nom suggéré « Get-VirusTotalIPReport ». De cette façon, vous serez en mesure de déterminer le modèle d’origine de ce playbook, tout en veillant à ce qu’il ait un nom unique au cas où vous souhaitez créer un autre playbook à partir de ce même modèle. Appelons-le « Get-VirusTotalIPReport-Tutorial-1 ».

    3. Laissez l’option Activer diagnostics journaux dans Log Analytics désactivée.

    4. Sélectionnez Suivant : Connexions >.

  6. Sous l’onglet Connexions , vous verrez toutes les connexions que ce playbook doit établir avec d’autres services, ainsi que la méthode d’authentification qui sera utilisée si la connexion a déjà été établie dans un workflow d’application logique existant dans le même groupe de ressources.

    1. Laissez la connexion Microsoft Sentinel telle qu’elle est (elle doit indiquer « Se connecter avec une identité managée »).

    2. Si des connexions indiquent « Une nouvelle connexion sera configurée », vous êtes invité à le faire à l’étape suivante du tutoriel. Ou, si vous avez déjà des connexions à ces ressources, sélectionnez la flèche de développement à gauche de la connexion et choisissez une connexion existante dans la liste développée. Pour cet exercice, nous allons le laisser tel qu’il est.

      Capture d’écran de l’onglet Connexions de l’Assistant Création de playbook.

    3. Sélectionnez Suivant : Vérifier et créer >.

  7. Sous l’onglet Vérifier et créer , passez en revue toutes les informations que vous avez entrées telles qu’elles sont affichées ici, puis sélectionnez Créer un playbook.

    Capture d’écran de l’onglet Vérifier et créer de l’Assistant Création de playbooks.

    Au fur et à mesure que le playbook est déployé, vous verrez une série rapide de notifications de sa progression. Ensuite, le concepteur d’application logique s’ouvre avec votre playbook affiché. Nous devons toujours autoriser les connexions de l’application logique aux ressources avec lesquelles elle interagit afin que le playbook puisse s’exécuter. Ensuite, nous examinerons chacune des actions du playbook pour nous assurer qu’elles sont adaptées à notre environnement, en apportant des modifications si nécessaire.

    Capture d’écran du playbook ouvert dans la fenêtre du concepteur d’application logique.

Autoriser les connexions d’application logique

Rappelez-vous que lorsque nous avons créé le playbook à partir du modèle, on nous a dit que les connexions Azure Collecte de données Log Analytics et Virus Total seraient configurées ultérieurement.

Capture d’écran de la révision des informations de l’Assistant création de playbook.

C’est là qu’on fait ça.

Autoriser la connexion au nombre total de virus

  1. Sélectionnez l’option Pour chaque action pour la développer et passer en revue son contenu, qui inclut les actions qui seront effectuées pour chaque adresse IP. Par exemple :

    Capture d’écran de l’action d’instruction de boucle for-each dans le concepteur d’application logique.

  2. Le premier élément d’action que vous voyez est intitulé Connexions et a un triangle d’avertissement orange.

    Si au lieu de cela, cette première action est intitulée Obtenir un rapport IP (préversion), cela signifie que vous disposez déjà d’une connexion à Virus Total et que vous pouvez passer à l’étape suivante.

    1. Sélectionnez l’action Connexions pour l’ouvrir.

    2. Sélectionnez l’icône dans la colonne Non valide pour la connexion affichée.

      Capture d’écran de la configuration de connexion Virus Total non valide.

      Vous serez invité à entrer les informations de connexion.

      Capture d’écran montrant comment entrer la clé API et d’autres détails de connexion pour Virus Total.

    3. Entrez « Virus Total » comme nom de connexion.

    4. Pour x-api_key, copiez et collez la clé API de votre compte Virus Total.

    5. Sélectionnez Mettre à jour.

    6. Vous voyez maintenant l’action Obtenir un rapport IP (préversion) correctement. (Si vous aviez déjà un compte Virus Total, vous en serez déjà à ce stade.)

      Capture d’écran montrant l’action permettant d’envoyer une adresse IP à Virus Total pour recevoir un rapport à son sujet.

Autoriser la connexion Log Analytics

L’action suivante est une condition qui détermine le reste des actions de la boucle for-each en fonction du résultat du rapport d’adresse IP. Il analyse le score de réputation donné à l’adresse IP dans le rapport. Un score supérieur à 0 indique que l’adresse est inoffensive ; un score inférieur à 0 indique qu’il est malveillant.

Capture d’écran de l’action de condition dans le concepteur d’application logique.

Que la condition soit true ou false, nous voulons envoyer les données du rapport à une table dans Log Analytics afin qu’elles puissent être interrogées et analysées, et ajouter un commentaire à l’incident.

Mais comme vous le verrez, nous avons plus de connexions non valides que nous devons autoriser.

Capture d’écran montrant les scénarios vrai et faux pour une condition définie.

  1. Sélectionnez l’action Connexions dans le cadre True .

  2. Sélectionnez l’icône dans la colonne Non valide pour la connexion affichée.

    Capture d’écran de la configuration de connexion Log Analytics non valide.

    Vous serez invité à entrer les informations de connexion.

    Capture d’écran montrant comment entrer l’ID et la clé de l’espace de travail, ainsi que d’autres détails de connexion pour Log Analytics.

  3. Entrez « Log Analytics » comme nom de connexion.

  4. Pour ID d’espace de travail, copiez et collez l’ID à partir de la page Vue d’ensemble des paramètres de l’espace de travail Log Analytics.

  5. Sélectionnez Mettre à jour.

  6. Vous voyez maintenant l’action Envoyer des données correctement. (Si vous aviez déjà une connexion Log Analytics à partir de Logic Apps, vous en serez déjà à ce stade.)

    Capture d’écran montrant l’action permettant d’envoyer un enregistrement de rapport Virus Total à une table dans Log Analytics.

  7. Sélectionnez maintenant l’action Connexions dans le cadre False . Cette action utilise la même connexion que celle du frame True.

  8. Vérifiez que la connexion appelée Log Analytics est marquée, puis sélectionnez Annuler. Cela garantit que l’action s’affiche désormais correctement dans le playbook.

    Capture d’écran de la deuxième configuration de connexion Log Analytics non valide.

    Vous voyez maintenant l’intégralité de votre playbook, correctement configuré.

  9. Très important ! N’oubliez pas de sélectionner Enregistrer en haut de la fenêtre du concepteur d’application logique . Une fois que vous voyez des messages de notification indiquant que votre playbook a été enregistré avec succès, vous verrez votre playbook répertorié dans l’onglet Playbooks actifs* dans la page Automation .

Créer une règle d’automatisation

Maintenant, pour exécuter ce playbook, vous devez créer une règle d’automatisation qui s’exécutera lors de la création d’incidents et appeler le playbook.

  1. Dans la page Automation , sélectionnez + Créer dans la bannière supérieure. Dans le menu déroulant, sélectionnez Règle d’automatisation.

    Capture d’écran de la création d’une règle d’automatisation à partir de la page Automation.

  2. Dans le panneau Créer une règle d’automatisation , nommez la règle « Tutoriel : Enrichir des informations IP ».

    Capture d’écran de la création d’une règle d’automatisation, de son nommage et de l’ajout d’une condition.

  3. Sous Conditions, sélectionnez + Ajouter et condition (Et).

    Capture d’écran de l’ajout d’une condition à une règle d’automatisation.

  4. Sélectionnez Adresse IP dans la liste déroulante des propriétés à gauche. Sélectionnez Contient dans la liste déroulante de l’opérateur et laissez le champ de valeur vide. Cela signifie effectivement que la règle s’applique aux incidents qui ont un champ d’adresse IP qui contient quelque chose.

    Nous ne voulons pas empêcher les règles d’analyse d’être couvertes par cette automatisation, mais nous ne voulons pas non plus que l’automatisation soit déclenchée inutilement. Nous allons donc limiter la couverture aux incidents qui contiennent des entités d’adresse IP.

    Capture d’écran de la définition d’une condition à ajouter à une règle d’automatisation.

  5. Sous Actions, sélectionnez Exécuter le playbook dans la liste déroulante.

  6. Sélectionnez la nouvelle liste déroulante qui s’affiche.

    Capture d’écran montrant comment sélectionner votre playbook dans la liste des playbooks - Partie 1.

    Vous verrez une liste de tous les playbooks de votre abonnement. Les grisés sont ceux à qui vous n’avez pas accès. Dans la zone de texte Rechercher des playbooks , commencez à taper le nom ( ou une partie du nom ) du playbook que nous avons créé ci-dessus. La liste des playbooks sera filtrée dynamiquement avec chaque lettre que vous tapez.

    Capture d’écran montrant comment sélectionner votre playbook dans la liste des playbooks - Partie 2.

    Lorsque vous voyez votre playbook dans la liste, sélectionnez-le.

    Capture d’écran montrant comment sélectionner votre playbook dans la liste des playbooks - Partie 3.

    Si le playbook est grisé, sélectionnez le lien Gérer les autorisations du playbook (dans le paragraphe à imprimer finement ci-dessous où vous avez sélectionné un playbook . voir la capture d’écran ci-dessus). Dans le panneau qui s’ouvre, sélectionnez le groupe de ressources contenant le playbook dans la liste des groupes de ressources disponibles, puis sélectionnez Appliquer.

  7. Sélectionnez à nouveau + Ajouter une action . À présent, dans la nouvelle liste déroulante d’action qui s’affiche, sélectionnez Ajouter des balises.

  8. Sélectionnez + Ajouter une balise. Entrez « Tutorial-Enriched IP addresses » comme texte de balise, puis sélectionnez OK.

    Capture d’écran montrant comment ajouter une balise à une règle d’automatisation.

  9. Laissez les autres paramètres tels qu’ils sont, puis sélectionnez Appliquer.

Vérifier la réussite de l’automatisation

  1. Dans la page Incidents , entrez le texte de balise Tutorial-Enriched IP Addresses dans la barre de recherche et appuyez sur la touche Entrée pour filtrer la liste des incidents avec cette balise appliquée. Il s’agit des incidents sur ant notre règle d’automatisation.

  2. Ouvrez un ou plusieurs de ces incidents et vérifiez s’il y a des commentaires sur les adresses IP. La présence de ces commentaires indique que le playbook s’est exécuté sur l’incident.

Nettoyer les ressources

Si vous ne comptez pas continuer à utiliser ce scénario d’automatisation, supprimez le playbook et la règle d’automatisation que vous avez créés en procédant comme suit :

  1. Dans la page Automation , sélectionnez l’onglet Playbooks actifs .

  2. Entrez le nom (ou une partie du nom) du playbook que vous avez créé dans la barre de recherche .
    (S’il n’apparaît pas, vérifiez que tous les filtres sont définis sur Sélectionner tout.)

  3. Marquez la zone case activée en regard de votre playbook dans la liste, puis sélectionnez Supprimer dans la bannière supérieure.
    (Si vous ne souhaitez pas le supprimer, vous pouvez sélectionner Désactiver à la place.)

  4. Sélectionnez l’onglet Règles d’automatisation .

  5. Entrez le nom (ou une partie du nom) de la règle d’automatisation que vous avez créée dans la barre de recherche .
    (S’il n’apparaît pas, vérifiez que tous les filtres sont définis sur Sélectionner tout.)

  6. Marquez la zone case activée en regard de votre règle d’automatisation dans la liste, puis sélectionnez Supprimer dans la bannière supérieure.
    (Si vous ne souhaitez pas le supprimer, vous pouvez sélectionner Désactiver à la place.)

Contenu connexe

Maintenant que vous avez appris à automatiser un scénario d’enrichissement d’incident de base, apprenez-en davantage sur l’automatisation et d’autres scénarios dans lesquels vous pouvez l’utiliser.

  • Last updated on