Tutorial: Marcar e registar automaticamente informações de reputação de endereços IP em incidentes

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Uma forma rápida e fácil de avaliar a gravidade de um incidente é ver se existem endereços IP nele conhecidos como origens de atividade maliciosa. Ter uma forma de o fazer automaticamente pode poupar-lhe muito tempo e esforço.

Neste tutorial, irá aprender a utilizar Microsoft Sentinel regras de automatização e manuais de procedimentos para marcar automaticamente endereços IP nos seus incidentes contra uma origem de informações sobre ameaças e registar cada resultado no incidente relevante.

Quando concluir este tutorial, poderá:

  • Criar um manual de procedimentos a partir de um modelo
  • Configurar e autorizar as ligações do manual de procedimentos a outros recursos
  • Criar uma regra de automatização para invocar o manual de procedimentos
  • Ver os resultados do seu processo automatizado

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

Para concluir este tutorial, certifique-se de que tem:

  • Uma assinatura do Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Uma área de trabalho do Log Analytics com a solução Microsoft Sentinel implementada na mesma e os dados que estão a ser ingeridos na mesma.

  • Um utilizador Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Solução VirusTotal Instalada a partir do Hub de Conteúdos

  • Uma conta VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta VirusTotal Premium.

  • Um agente do Azure Monitor instalado em, pelo menos, um computador no seu ambiente, para que os incidentes sejam gerados e enviados para Microsoft Sentinel.

Criar um manual de procedimentos a partir de um modelo

Microsoft Sentinel inclui modelos de manuais de procedimentos prontos a utilizar que pode personalizar e utilizar para automatizar um grande número de cenários e objetivos básicos do SecOps. Vamos encontrar uma para enriquecer as informações do endereço IP nos nossos incidentes.

  1. Em Microsoft Sentinel, selecioneAutomatização de Configuração>.

  2. Na página Automatização , selecione o separador Modelos de manual de procedimentos (Pré-visualização ).

  3. Localize e selecione um dos modelos de relatório Melhoramento de IP – Total de Vírus , para acionadores de entidades, incidentes ou alertas. Se necessário, filtre a lista pela etiqueta Enrichment para localizar os seus modelos.

  4. Selecione Criar manual de procedimentos no painel de detalhes. Por exemplo:

    Captura de ecrã a mostrar o modelo Melhoramento de IP – Relatório Total de Vírus – Acionador de Entidade selecionado.

  5. O assistente Criar manual de procedimentos será aberto. No separador Noções Básicas :

    1. Selecione a Subscrição, o Grupo de recursos e a Região nas respetivas listas pendentes.

    2. Edite o nome do Manual de Procedimentos ao adicionar ao final do nome sugerido "Get-VirusTotalIPReport". Desta forma, poderá saber de que modelo original veio este manual de procedimentos, garantindo ainda que tem um nome exclusivo caso pretenda criar outro manual de procedimentos a partir deste mesmo modelo. Vamos chamar-lhe "Get-VirusTotalIPReport-Tutorial-1".

    3. Deixe a opção Ativar diagnóstico registos no Log Analytics desmarcada.

    4. Selecione Seguinte: Ligações >.

  6. No separador Ligações , verá todas as ligações que este manual de procedimentos precisa de efetuar a outros serviços e o método de autenticação que será utilizado se a ligação já tiver sido efetuada num fluxo de trabalho da Aplicação Lógica existente no mesmo grupo de recursos.

    1. Deixe a ligação Microsoft Sentinel tal como está (deve dizer "Ligar com a identidade gerida").

    2. Se alguma ligação indicar "Será configurada uma nova ligação", ser-lhe-á pedido que o faça na fase seguinte do tutorial. Em alternativa, se já tiver ligações a estes recursos, selecione a seta de expansão à esquerda da ligação e escolha uma ligação existente na lista expandida. Para este exercício, vamos deixá-lo como está.

      Captura de ecrã do separador Ligações do assistente de criação de manuais de procedimentos.

    3. Selecione Seguinte: Rever e criar >.

  7. No separador Rever e criar , reveja todas as informações que introduziu à medida que são apresentadas aqui e selecione Criar manual de procedimentos.

    Captura de ecrã a mostrar o separador Rever e criar a partir do assistente de criação de manuais de procedimentos.

    À medida que o manual de procedimentos é implementado, verá uma série rápida de notificações do respetivo progresso. Em seguida, o estruturador da aplicação lógica será aberto com o manual de procedimentos apresentado. Ainda precisamos de autorizar as ligações da aplicação lógica aos recursos com os quais interage para que o manual de procedimentos possa ser executado. Em seguida, vamos rever cada uma das ações no manual de procedimentos para garantir que são adequadas para o nosso ambiente, efetuar alterações, se necessário.

    Captura de ecrã a mostrar o manual de procedimentos aberto na janela do estruturador de aplicações lógicas.

Autorizar ligações de aplicações lógicas

Lembre-se de que, quando criámos o manual de procedimentos a partir do modelo, foi-nos dito que as ligações Azure Recoletor de Dados do Log Analytics e o Total de Vírus seriam configuradas mais tarde.

Captura de ecrã a mostrar as informações de revisão do assistente de criação de manuais de procedimentos.

Aqui é onde fazemos isso.

Autorizar a ligação total de vírus

  1. Selecione a ação Para cada ação para expandi-la e rever os respetivos conteúdos, que incluem as ações que serão executadas para cada endereço IP. Por exemplo:

    Captura de ecrã a mostrar a ação de instrução para cada ciclo no estruturador de aplicações lógicas.

  2. O primeiro item de ação que vê está identificado como Ligações e tem um triângulo de aviso laranja.

    Se, em vez disso, essa primeira ação estiver identificada como Obter um relatório IP (Pré-visualização), isso significa que já tem uma ligação existente ao Total de Vírus e pode avançar para o passo seguinte.

    1. Selecione a ação Ligações para abri-la.

    2. Selecione o ícone na coluna Inválido para a ligação apresentada.

      Captura de ecrã a mostrar a configuração de ligação Total de Vírus inválida.

      Ser-lhe-á pedido para obter informações de ligação.

      Captura de ecrã a mostrar como introduzir a chave de API e outros detalhes de ligação para o Total de Vírus.

    3. Introduza "Total de Vírus" como o Nome da ligação.

    4. Para x-api_key, copie e cole a chave de API da sua conta Total de Vírus.

    5. Selecione Atualizar.

    6. Agora, verá a ação Obter um relatório IP (Pré-visualização) corretamente. (Se já tiver uma conta Total de Vírus, já estará nesta fase.)

      Captura de ecrã a mostrar a ação para submeter um endereço IP para o Total de Vírus para receber um relatório sobre o mesmo.

Autorizar a ligação do Log Analytics

A ação seguinte é uma Condição que determina o resto das ações do ciclo for-each com base no resultado do relatório de endereços IP. Analisa a classificação Reputação atribuída ao endereço IP no relatório. Uma classificação superior a 0 indica que o endereço é inofensivo; uma classificação inferior a 0 indica que é maliciosa.

Captura de ecrã a mostrar a ação de condição no estruturador de aplicações lógicas.

Quer a condição seja verdadeira ou falsa, queremos enviar os dados no relatório para uma tabela no Log Analytics para que possa ser consultada e analisada e adicionar um comentário ao incidente.

No entanto, como verá, temos mais ligações inválidas que precisamos de autorizar.

Captura de ecrã a mostrar cenários verdadeiros e falsos para a condição definida.

  1. Selecione a ação Ligações na moldura Verdadeiro .

  2. Selecione o ícone na coluna Inválido para a ligação apresentada.

    Captura de ecrã a mostrar a configuração de ligação inválida do Log Analytics.

    Ser-lhe-á pedido para obter informações de ligação.

    Captura de ecrã a mostrar como introduzir o ID e a chave da Área de Trabalho e outros detalhes de ligação do Log Analytics.

  3. Introduza "Log Analytics" como o Nome da ligação.

  4. Para O ID da Área de Trabalho, copie e cole o ID na página Descrição geral das definições da área de trabalho do Log Analytics.

  5. Selecione Atualizar.

  6. Agora, verá a ação Enviar dados corretamente. (Se já tiver uma ligação do Log Analytics a partir do Logic Apps, já estará nesta fase.)

    Captura de ecrã a mostrar a ação para enviar um registo de relatório Total de Vírus para uma tabela no Log Analytics.

  7. Agora, selecione a ação Ligações na moldura Falso . Esta ação utiliza a mesma ligação que a da moldura Verdadeiro.

  8. Verifique se a ligação denominada Log Analytics está marcada e selecione Cancelar. Isto garante que a ação será agora apresentada corretamente no manual de procedimentos.

    Captura de ecrã da segunda configuração de ligação inválida do Log Analytics.

    Agora verá o manual de procedimentos completo, configurado corretamente.

  9. Muito importante! Não se esqueça de selecionar Guardar na parte superior da janela Estruturador de aplicações lógicas . Depois de ver as mensagens de notificação de que o manual de procedimentos foi guardado com êxito, verá o manual de procedimentos listado no separador Manuais de procedimentos ativos* na página Automatização .

Criar uma regra de automatização

Agora, para executar este manual de procedimentos, terá de criar uma regra de automatização que será executada quando os incidentes forem criados e invocar o manual de procedimentos.

  1. Na página Automatização , selecione + Criar na faixa superior. No menu pendente, selecione Regra de automatização.

    Captura de ecrã a mostrar a criação de uma regra de automatização a partir da página Automatização.

  2. No painel Criar nova regra de automatização, atribua o nome "Tutorial: Melhorar informações de IP".

    Captura de ecrã a mostrar a criação de uma regra de automatização, a atribuição de nomes e a adição de uma condição.

  3. Em Condições, selecione + Adicionar e Condição (E).

    Captura de ecrã a mostrar a adição de uma condição a uma regra de automatização.

  4. Selecione Endereço IP no menu pendente da propriedade à esquerda. Selecione Contém no menu pendente do operador e deixe o campo de valor em branco. Isto significa efetivamente que a regra será aplicada a incidentes que tenham um campo de endereço IP que contém qualquer item.

    Não queremos impedir que nenhuma regra de análise seja abrangida por esta automatização, mas também não queremos que a automatização seja acionada desnecessariamente, pelo que vamos limitar a cobertura a incidentes que contenham entidades de endereços IP.

    Captura de ecrã a mostrar a definição de uma condição a adicionar a uma regra de automatização.

  5. Em Ações, selecione Executar manual de procedimentos no menu pendente.

  6. Selecione o novo menu pendente apresentado.

    Captura de ecrã a mostrar como selecionar o manual de procedimentos na lista de manuais de procedimentos – parte 1.

    Verá uma lista de todos os manuais de procedimentos na sua subscrição. Os desativados são aqueles a que não tem acesso. Na caixa de texto Procurar manuais de procedimentos , comece a escrever o nome ou qualquer parte do nome do manual de procedimentos que criámos acima. A lista de manuais de procedimentos será filtrada dinamicamente com cada letra que escrever.

    Captura de ecrã a mostrar como selecionar o manual de procedimentos na lista de manuais de procedimentos – parte 2.

    Quando vir o manual de procedimentos na lista, selecione-o.

    Captura de ecrã a mostrar como selecionar o manual de procedimentos na lista de manuais de procedimentos – parte 3.

    Se o manual de procedimentos estiver desativado, selecione a ligação Gerir permissões do manual de procedimentos (no parágrafo de impressão fina abaixo, onde selecionou um manual de procedimentos – veja a captura de ecrã acima). No painel que é aberto, selecione o grupo de recursos que contém o manual de procedimentos na lista de grupos de recursos disponíveis e, em seguida, selecione Aplicar.

  7. Selecione + Adicionar ação novamente. Agora, no novo menu pendente de ação que é apresentado, selecione Adicionar etiquetas.

  8. Selecione + Adicionar etiqueta. Introduza "Endereços IP melhorados com tutorial" como o texto da etiqueta e selecione OK.

    Captura de ecrã a mostrar como adicionar uma etiqueta a uma regra de automatização.

  9. Deixe as restantes definições tal como estão e selecione Aplicar.

Verificar a automatização com êxito

  1. Na página Incidentes , introduza o texto da etiqueta Endereços IP melhorados por Tutorial na barra de Pesquisa e prima a tecla Enter para filtrar a lista de incidentes com essa etiqueta aplicada. Estes são os incidentes em que a nossa regra de automatização foi executada.

  2. Abra um ou mais destes incidentes e veja se existem comentários sobre os endereços IP. A presença destes comentários indica que o manual de procedimentos foi executado no incidente.

Limpe os recursos

Se não pretender continuar a utilizar este cenário de automatização, elimine o manual de procedimentos e a regra de automatização que criou com os seguintes passos:

  1. Na página Automatização , selecione o separador Manuais de procedimentos ativos .

  2. Introduza o nome (ou parte do nome) do manual de procedimentos que criou na barra de Pesquisa .
    (Se não aparecer, certifique-se de que todos os filtros estão definidos como Selecionar tudo.)

  3. Marque a caixa de marcar junto ao manual de procedimentos na lista e selecione Eliminar na faixa superior.
    (Se não quiser eliminá-lo, pode selecionar Desativar em alternativa.)

  4. Selecione o separador Regras de automatização .

  5. Introduza o nome (ou parte do nome) da regra de automatização que criou na barra de Pesquisa .
    (Se não aparecer, certifique-se de que todos os filtros estão definidos como Selecionar tudo.)

  6. Marque a caixa de marcar junto à regra de automatização na lista e selecione Eliminar na faixa superior.
    (Se não quiser eliminá-lo, pode selecionar Desativar em alternativa.)

Conteúdo relacionado

Agora que aprendeu a automatizar um cenário básico de melhoramento de incidentes, saiba mais sobre a automatização e outros cenários nos quais pode utilizá-lo.

  • Last updated on