Zelfstudie: Incidententiteiten met niet-systeemeigen acties extraheren

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Entiteitstoewijzing verrijkt waarschuwingen en incidenten met informatie die essentieel is voor alle onderzoeksprocessen en herstelacties die erop volgen.

Microsoft Sentinel playbooks bevatten deze systeemeigen acties om entiteitsgegevens te extraheren:

  • Accounts
  • DNS
  • Bestands-hashes
  • Hosts
  • Ips
  • Urls

Naast deze acties bevat entiteitstoewijzing voor analytische regels entiteitstypen die geen systeemeigen acties zijn, zoals malware, proces, registersleutel, postvak en meer. In deze zelfstudie leert u hoe u met niet-systeemeigen acties werkt met behulp van verschillende ingebouwde acties om de relevante waarden te extraheren.

In deze zelfstudie leert u het volgende:

  • Maak een playbook met een incidenttrigger en voer deze handmatig uit op het incident.
  • Initialiseer een matrixvariabele.
  • Filter het vereiste entiteitstype van andere entiteitstypen.
  • Parseert de resultaten in een JSON-bestand.
  • Maak de waarden als dynamische inhoud voor toekomstig gebruik.

Belangrijk

Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.

Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.

Vereisten

Zorg ervoor dat u over het volgende beschikt om deze zelfstudie te voltooien:

  • Een Azure-abonnement. Maak een gratis account als u er nog geen hebt.

  • Een Azure gebruiker met de volgende rollen toegewezen aan de volgende resources:

  • Een (gratis) VirusTotal-account is voldoende voor deze zelfstudie. Voor een productie-implementatie is een VirusTotal Premium-account vereist.

Een playbook maken met een incidenttrigger

  1. Selecteer Microsoft Sentinel Configuratieautomatisering voor Microsoft Sentinel> in de Defender-portal>. Selecteerde paginaConfiguratieautomatisering> voor Microsoft Sentinel in de Azure Portal.

  2. Selecteer op de pagina Automationde optie Playbook>maken met incidenttrigger.

  3. Selecteer in de wizard Playbook maken onder Basis het abonnement en de resourcegroep en geef het playbook een naam.

  4. Selecteer Volgende: Verbindingen >.

    Onder Verbindingen moet de Microsoft Sentinel - Verbinding maken met beheerde identiteit zichtbaar zijn. Bijvoorbeeld:

    Schermopname van het maken van een nieuw playbook met een incidenttrigger.

  5. Selecteer Volgende: Controleren en maken >.

  6. Selecteer onder Controleren en makende optie Maken en doorgaan met ontwerpen.

    De ontwerper van logische apps opent een logische app met de naam van uw playbook.

    Schermopname van het weergeven van het playbook in de ontwerpfunctie voor logische apps.

Een matrixvariabele initialiseren

  1. Selecteer in de ontwerpfunctie voor logische apps onder de stap waaraan u een variabele wilt toevoegen de optie Nieuwe stap.

  2. Typ onder Kies een bewerking in het zoekvak variabelen als uw filter. Selecteer in de lijst met acties de optie Variabele initialiseren.

  3. Geef deze informatie op over uw variabele:

    1. Gebruik Entiteiten voor de naam van de variabele.

    2. Selecteer Matrix voor het type.

    3. Beweeg de muisaanwijzer voor de waarde over het veld Waarde en selecteer fx in de groep met blauwe pictogrammen aan de linkerkant.

      Schermopname van het initialiseren van een variabele in de ontwerpfunctie voor logische apps.

    4. Selecteer in het dialoogvenster dat wordt geopend het tabblad Dynamische inhoud en typ entiteiten in het zoekvak.

    5. Selecteer Entiteiten in de lijst en selecteer Toevoegen.

      Schermopname van het selecteren van de waarde Entiteiten in de ontwerpfunctie voor logische apps.

Een bestaand incident selecteren

  1. Ga in Microsoft Sentinel naar Incidenten en selecteer een incident waarop u het playbook wilt uitvoeren.

  2. Selecteer op de incidentpagina aan de rechterkant acties > Playbook uitvoeren (preview).

  3. Selecteer onder Playbooks naast het playbook dat u hebt gemaaktde optie Uitvoeren.

    Wanneer het playbook wordt geactiveerd, wordt er rechtsboven een playbook geactiveerd .

  4. Selecteer Uitvoeringen en selecteer run weergeven naast uw playbook.

    De uitvoeringspagina van de logische app is zichtbaar.

  5. Onder Variabele initialiseren is de nettolading van het voorbeeld zichtbaar onder Waarde. Noteer de voorbeeldlading voor later gebruik.

    Schermopname van het weergeven van de voorbeeldpayload onder het veld Waarde.

Het vereiste entiteitstype filteren op andere entiteitstypen

  1. Ga terug naar de automation-pagina en selecteer uw playbook.

  2. Selecteer onder de stap waaraan u een variabele wilt toevoegen de optie Nieuwe stap.

  3. Voer onder Kies een actie in het zoekvak filtermatrix in als uw filter. Selecteer Gegevensbewerkingen in de lijst met acties.

    Schermopname van het filteren van een matrix en het selecteren van gegevensbewerkingen.

  4. Geef deze informatie op over uw filtermatrix:

    1. Selecteer onder Van>dynamische inhoud de variabele Entiteiten die u eerder hebt geïnitialiseerd.

    2. Selecteer het eerste veld Kies een waarde (aan de linkerkant) en selecteer Expressie.

    3. Het waardeitem()?[' soort'] en selecteer OK.

      Schermopname van het invullen van de expressie van de filtermatrix.

    4. Laat de is gelijk aan waarde staan (wijzig deze niet).

    5. In het tweede veld Kies een waarde (aan de rechterkant) typt u Proces. Dit moet exact overeenkomen met de waarde in het systeem.

      Opmerking

      Deze query is hoofdlettergevoelig. Zorg ervoor dat de kind waarde overeenkomt met de waarde in de nettolading van het voorbeeld. Bekijk de nettolading van het voorbeeld van wanneer u een playbook maakt.

      Schermopname van het invullen van de filtermatrixgegevens.

De resultaten parseren naar een JSON-bestand

  1. Selecteer in uw logische app onder de stap waaraan u een variabele wilt toevoegen de optie Nieuwe stap.

  2. Selecteer Gegevensbewerkingen>JSON parseren.

    Schermopname van het selecteren van de optie JSON parseren onder Gegevensbewerkingen.

  3. Geef deze informatie over uw bewerking op:

    1. Selecteer Inhoud en selecteer onderMatrix dynamisch inhoudsfilter>de optie Hoofdtekst.

      Schermopname van het selecteren van Dynamische inhoud onder Inhoud.

    2. Plak onder Schema een JSON-schema, zodat u waarden uit een matrix kunt extraheren. Kopieer de voorbeeldpayload die u hebt gegenereerd bij het maken van het playbook.

      Schermopname van het kopiëren van de voorbeeldlading.

    3. Ga terug naar het playbook en selecteer Voorbeeldpayload gebruiken om schema te genereren.

      Schermopname van het selecteren van voorbeeldpayload gebruiken om een schema te genereren.

    4. Plak de nettolading. Voeg een vierkant haakje openen ([) toe aan het begin van het schema en sluit deze aan het einde van het schema ].

      Schermopname van het plakken van de nettolading van het voorbeeld.

      Schermopname van het tweede deel van de geplakte voorbeeldpayload.

    5. Selecteer Gereed.

De nieuwe waarden gebruiken als dynamische inhoud voor toekomstig gebruik

U kunt nu de waarden die u hebt gemaakt als dynamische inhoud gebruiken voor verdere acties. Als u bijvoorbeeld een e-mailbericht met procesgegevens wilt verzenden, vindt u de actie JSON parseren onder Dynamische inhoud, als u de naam van de actie niet hebt gewijzigd.

Schermopname van het verzenden van een e-mail met procesgegevens.

Zorg ervoor dat uw playbook is opgeslagen

Zorg ervoor dat het playbook is opgeslagen en dat u uw playbook nu kunt gebruiken voor SOC-bewerkingen.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over het maken en uitvoeren van incidenttaken in Microsoft Sentinel met behulp van playbooks.

Incidenttaken maken en uitvoeren in Microsoft Sentinel met behulp van playbooks

  • Last updated on