Opplæring: Kontroller og registrer informasjon om omdømme for IP-adresser automatisk i hendelser

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En rask og enkel måte å vurdere alvorlighetsgraden av en hendelse på, er å se om ip-adresser i den er kjent for å være kilder til ondsinnet aktivitet. Hvis du har en måte å gjøre dette på automatisk, kan du spare mye tid og krefter.

I denne opplæringen lærer du hvordan du bruker Microsoft Sentinel automatiseringsregler og strategibøker til automatisk å sjekke IP-adresser i hendelsene dine mot en trusselintelligenskilde og registrere hvert resultat i den relevante hendelsen.

Når du har fullført denne opplæringen, kan du:

  • Opprette en strategiplan fra en mal
  • Konfigurer og godkjenn playbook-tilkoblingene til andre ressurser
  • Opprett en automatiseringsregel for å aktivere strategiplanen
  • Se resultatene av den automatiserte prosessen

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

Kontroller at du har gjort følgende for å fullføre denne opplæringen:

  • Et Azure abonnement. Opprett en gratis konto hvis du ikke allerede har en.

  • Et Log Analytics-arbeidsområde med Microsoft Sentinel løsning distribuert på den og data som blir inntatt i den.

  • En Azure bruker med følgende roller tilordnet på følgende ressurser:

  • Installert VirusTotal-løsning fra innholdshuben

  • En (gratis) VirusTotal-konto er nok for denne opplæringen. En produksjonsimplementering krever en VirusTotal Premium-konto.

  • En Azure Monitor Agent installert på minst én maskin i miljøet ditt, slik at hendelser genereres og sendes til Microsoft Sentinel.

Opprette en strategiplan fra en mal

Microsoft Sentinel inneholder ferdiglagde strategiplanmaler som du kan tilpasse og bruke til å automatisere et stort antall grunnleggende SecOps-mål og scenarier. La oss finne en for å berike IP-adresseinformasjonen i hendelsene våre.

  1. Velg Konfigurasjonsautomatisering> iMicrosoft Sentinel.

  2. Velg Fanen Strategiplanmaler (forhåndsvisning) på automatiseringssiden.

  3. Finn og velg én av IP-berikelsene – totalt antall virusrapportmaler for enhets-, hendelses- eller varselutløsere. Filtrer om nødvendig listen etter berikelseskoden for å finne malene dine.

  4. Velg Opprett strategiplan fra detaljruten. Eksempel:

    Skjermbilde av malen IP-berikelse – total virusrapport – enhetsutløser valgt.

  5. Veiviseren for oppretting av strategiplan åpnes. I Grunnleggende-fanen :

    1. Velg abonnement, ressursgruppe og område fra de respektive rullegardinlistene.

    2. Rediger playbook-navnet ved å legge til på slutten av det foreslåtte navnet «Get-VirusTotalIPReport». På denne måten kan du se hvilken original mal denne strategiplanen kom fra, samtidig som du sikrer at den har et unikt navn i tilfelle du vil opprette en ny strategiplan fra den samme malen. La oss kalle det "Get-VirusTotalIPReport-Tutorial-1".

    3. La alternativet Aktiver diagnoselogger i Logganalyse være deaktivert.

    4. Velg Neste : Tilkoblinger >.

  6. I Tilkoblinger-fanen ser du alle tilkoblingene som denne strategiplanen må gjøre til andre tjenester, og godkjenningsmetoden som skal brukes hvis tilkoblingen allerede er gjort i en eksisterende Logic App-arbeidsflyt i samme ressursgruppe.

    1. La Microsoft Sentinel tilkoblingen være slik den er (det skal stå «Koble til med administrert identitet»).

    2. Hvis noen tilkoblinger sier «Ny tilkobling vil bli konfigurert», blir du bedt om å gjøre det i neste fase av opplæringen. Hvis du allerede har tilkoblinger til disse ressursene, velger du utvidelsespilen til venstre for tilkoblingen og velger en eksisterende tilkobling fra den utvidede listen. For denne øvelsen vil vi la det være som det er.

      Skjermbilde av Tilkoblinger-fanen i veiviseren for oppretting av strategiplan.

    3. Velg Neste : Se gjennom og opprett >.

  7. Se gjennom all informasjonen du har angitt når den vises her, i se gjennom- og opprett-fanen , og velg Opprett strategiplan.

    Skjermbilde av Se gjennom og opprett-fanen fra veiviseren for oppretting av strategiplan.

    Når strategiplanen distribueres, ser du en rask serie med varsler om fremdriften. Deretter åpnes logic-apputformingen med strategiplanen vist. Vi må fortsatt godkjenne logikkappens tilkoblinger til ressursene den samhandler med, slik at strategiplanen kan kjøres. Deretter går vi gjennom hver av handlingene i strategiplanen for å sikre at de er egnet for miljøet vårt, og gjør endringer om nødvendig.

    Skjermbilde av playbook åpen i logic app designer-vinduet.

Godkjenn logiske apptilkoblinger

Husk at når vi opprettet strategiplanen fra malen, ble vi fortalt at tilkoblingene Azure Log Analytics Data Collector og Virus Total ville bli konfigurert senere.

Skjermbilde av gjennomgangsinformasjon fra veiviseren for oppretting av strategiplan.

Her er hvor vi gjør det.

Godkjenn totalt antall virustilkoblinger

  1. Velg for hver handling for å utvide den og se gjennom innholdet, som inkluderer handlingene som skal utføres for hver IP-adresse. Eksempel:

    Skjermbilde av handlingen for hver løkkesetning i logisk apputforming.

  2. Det første handlingselementet du ser, er merket Tilkoblinger og har en oransje advarselstrekant.

    Hvis den første handlingen i stedet er merket Hent en IP-rapport (forhåndsvisning), betyr det at du allerede har en eksisterende tilkobling til Virus totalt, og du kan gå til neste trinn.

    1. Velg Tilkoblinger-handlingen for å åpne den.

    2. Velg ikonet i Ugyldig-kolonnen for den viste tilkoblingen.

      Skjermbilde av ugyldig konfigurasjon av totalt antall virustilkoblinger.

      Du blir bedt om å oppgi tilkoblingsinformasjon.

      Skjermbilde som viser hvordan du skriver inn API-nøkkel og andre tilkoblingsdetaljer for Virus Total.

    3. Skriv inn «Virustotal» som tilkoblingsnavn.

    4. Kopier og lim inn API-nøkkelen fra Virus Total-kontoen for x-api_key.

    5. Velg Oppdater.

    6. Nå ser du handlingen Få en IP-rapport (forhåndsvisning) riktig. (Hvis du allerede har en Virus Total-konto, vil du allerede være på dette stadiet.)

      Skjermbilde som viser handlingen for å sende inn en IP-adresse til virustotalen for å motta en rapport om den.

Godkjenn Log Analytics-tilkobling

Den neste handlingen er en betingelse som bestemmer resten av handlingene for hver løkke basert på utfallet av IP-adresserapporten. Den analyserer omdømmepoengsummen som er gitt til IP-adressen i rapporten. En poengsum som er høyere enn 0 angir at adressen er ufarlig. en poengsum som er lavere enn 0 , angir at den er skadelig.

Skjermbilde av betingelseshandling i logisk apputforming.

Enten betingelsen er sann eller usann, ønsker vi å sende dataene i rapporten til en tabell i Log Analytics, slik at den kan spørres og analyseres, og legge til en kommentar til hendelsen.

Men som du ser, har vi flere ugyldige tilkoblinger vi må godkjenne.

Skjermbilde som viser sanne og usanne scenarier for definert betingelse.

  1. Velg handlingen Tilkoblinger i Sann-rammen .

  2. Velg ikonet i Ugyldig-kolonnen for den viste tilkoblingen.

    Skjermbilde av ugyldig konfigurasjon av Log Analytics-tilkobling.

    Du blir bedt om å oppgi tilkoblingsinformasjon.

    Skjermbilde som viser hvordan du angir arbeidsområde-ID og nøkkel og andre tilkoblingsdetaljer for Log Analytics.

  3. Skriv inn Logganalyse som tilkoblingsnavn.

  4. For arbeidsområde-ID kopierer og limer du inn ID-en fra Oversikt-siden i innstillingene for Log Analytics-arbeidsområdet.

  5. Velg Oppdater.

  6. Nå ser du send data-handlingen riktig. (Hvis du allerede har en Log Analytics-tilkobling fra Logic Apps, vil du allerede være på dette stadiet.)

    Skjermbilde som viser handlingen for å sende en rapportpost for virustotal til en tabell i Log Analytics.

  7. Nå velger du handlingen Tilkoblinger i usann-rammen . Denne handlingen bruker samme tilkobling som den i Sann-rammen.

  8. Kontroller at tilkoblingen kalt Log Analytics er merket, og velg Avbryt. Dette sikrer at handlingen nå vises riktig i strategiplanen.

    Skjermbilde av den andre ugyldige konfigurasjonen for Log Analytics-tilkobling.

    Nå ser du hele strategiplanen riktig konfigurert.

  9. Veldig viktig! Ikke glem å velge Lagre øverst i logic app designer-vinduet . Når du ser varslingsmeldinger om at strategiplanen ble lagret, ser du strategiplanen oppført i kategorien Aktive strategibøker* på automatiseringssiden.

Opprette en automatiseringsregel

Hvis du faktisk vil kjøre denne strategiplanen, må du opprette en automatiseringsregel som kjører når hendelser opprettes, og aktivere strategiplanen.

  1. Velg + Opprett fra det øverste banneret på automatiseringssiden. Velg automatiseringsregel fra rullegardinmenyen.

    Skjermbilde av oppretting av en automatiseringsregel fra automatiseringssiden.

  2. Gi regelen «Opplæring: Berike IP-informasjon» i panelet Opprett ny automatiseringsregel.

    Skjermbilde av hvordan du oppretter en automatiseringsregel, navngir den og legger til en betingelse.

  3. Velg + Legg til og betingelse (og) under Betingelser.

    Skjermbilde av hvordan du legger til en betingelse i en automatiseringsregel.

  4. Velg IP-adresse fra rullegardinlisten for egenskapen til venstre. Velg Inneholder fra rullegardinlisten for operatoren, og la verdifeltet stå tomt. Dette betyr effektivt at regelen gjelder for hendelser som har et IP-adressefelt som inneholder hva som helst.

    Vi ønsker ikke å hindre at analyseregler dekkes av denne automatiseringen, men vi vil heller ikke at automatiseringen skal utløses unødvendig, så vi skal begrense dekningen til hendelser som inneholder IP-adresseenheter.

    Skjermbilde av definering av en betingelse som skal legges til i en automatiseringsregel.

  5. Velg Kjør strategiplan fra rullegardinlisten under Handlinger.

  6. Velg den nye rullegardinlisten som vises.

    Skjermbilde som viser hvordan du velger strategiplanen fra listen over strategibøker – del 1.

    Du ser en liste over alle strategiplanene i abonnementet. De nedtonede er de du ikke har tilgang til. Begynn å skrive inn navnet - eller en del av navnet - av strategiplanen vi opprettet ovenfor, i tekstboksen Søk i strategibøker . Listen over strategibøker filtreres dynamisk med hver bokstav du skriver inn.

    Skjermbilde som viser hvordan du velger strategiplanen fra listen over strategibøker – del 2.

    Når du ser strategiplanen i listen, velger du den.

    Skjermbilde som viser hvordan du velger strategiplanen fra listen over strategibøker – del 3.

    Hvis strategiplanen er nedtonet, velger du koblingen Behandle tillatelser for strategiplan (i avsnittet med liten skrift nedenfor der du valgte en strategiplan – se skjermbildet ovenfor). Velg ressursgruppen som inneholder strategiplanen fra listen over tilgjengelige ressursgrupper, i panelet som åpnes, og velg deretter Bruk.

  7. Velg + Legg til handling på nytt. Velg Legg til merker fra rullegardinlisten for den nye handlingen som vises.

  8. Velg + Legg til kode. Skriv inn «Opplæringsberikede IP-adresser» som kodetekst, og velg OK.

    Skjermbilde som viser hvordan du legger til en kode i en automatiseringsregel.

  9. La de gjenværende innstillingene være som de er, og velg Bruk.

Bekreft vellykket automatisering

  1. Skriv inn kodeteksten Tutorial-Enriched IP-adresser i søkefeltetHendelser-siden, og trykk enter-tasten for å filtrere listen for hendelser med denne koden. Dette er hendelsene som automatiseringsregelen vår kjørte på.

  2. Åpne en eller flere av disse hendelsene, og se om det er kommentarer om IP-adressene der. Tilstedeværelsen av disse kommentarene indikerer at strategiplanen kjørte på hendelsen.

Rydd opp ressurser

Hvis du ikke kommer til å fortsette å bruke dette automatiseringsscenarioet, sletter du strategiplanen og automatiseringsregelen du opprettet med følgende trinn:

  1. Velg aktiv strategiplan-fanen på automatiseringssiden.

  2. Skriv inn navnet (eller en del av navnet) på strategiplanen du opprettet i søkefeltet .
    (Hvis det ikke vises, må du kontrollere at eventuelle filtre er satt til Merk alle.)

  3. Merk av i avmerkingsboksen ved siden av strategiplanen i listen, og velg Slett fra det øverste banneret.
    (Hvis du ikke vil slette den, kan du velge Deaktiver i stedet.)

  4. Velg fanen Automatiseringsregler .

  5. Skriv inn navnet (eller en del av navnet) på automatiseringsregelen du opprettet i søkefeltet .
    (Hvis det ikke vises, må du kontrollere at eventuelle filtre er satt til Merk alle.)

  6. Merk av for automatiseringsregelen i listen, og velg Slett fra det øverste banneret.
    (Hvis du ikke vil slette den, kan du velge Deaktiver i stedet.)

Beslektet innhold

Nå som du har lært hvordan du automatiserer et grunnleggende scenario for hendelsesberikelse, kan du lære mer om automatisering og andre scenarioer du kan bruke det i.

  • Last updated on