Självstudie: Kontrollera och registrera information om IP-adressrykte i incidenter automatiskt

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Ett snabbt och enkelt sätt att bedöma allvarlighetsgraden för en incident är att se om några IP-adresser i den är kända för att vara källor till skadlig aktivitet. Att ha ett sätt att göra detta automatiskt kan spara mycket tid och ansträngning.

I den här självstudien får du lära dig hur du använder Microsoft Sentinel automatiseringsregler och spelböcker för att automatiskt kontrollera IP-adresser i dina incidenter mot en hotinformationskälla och registrera varje resultat i dess relevanta incident.

När du har slutfört den här självstudien kan du:

  • Skapa en spelbok från en mall
  • Konfigurera och auktorisera spelbokens anslutningar till andra resurser
  • Skapa en automatiseringsregel för att anropa spelboken
  • Se resultatet av den automatiserade processen

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Förhandskrav

För att slutföra den här självstudien kontrollerar du att du har:

  • En Azure-prenumeration. Skapa ett kostnadsfritt konto om du inte redan har ett.

  • En Log Analytics-arbetsyta med den Microsoft Sentinel lösningen distribuerad på den och data som matas in i den.

  • En Azure användare med följande roller tilldelade på följande resurser:

  • Installerad VirusTotal-lösning från innehållshubben

  • Ett (kostnadsfritt) VirusTotal-konto räcker för den här självstudien. En produktionsimplementering kräver ett VirusTotal Premium-konto.

  • En Azure Monitor-agent installerad på minst en dator i din miljö, så att incidenter genereras och skickas till Microsoft Sentinel.

Skapa en spelbok från en mall

Microsoft Sentinel innehåller färdiga färdiga spelboksmallar som du kan anpassa och använda för att automatisera ett stort antal grundläggande SecOps-mål och scenarier. Nu ska vi hitta en för att utöka IP-adressinformationen i våra incidenter.

  1. I Microsoft Sentinel väljer du Konfigurationsautomatisering>.

  2. På sidan Automation väljer du fliken Spelboksmallar (förhandsversion).

  3. Leta upp och välj en av rapportmallarna IP Enrichment – Virus Total för antingen entitets-, incident- eller aviseringsutlösare. Om det behövs filtrerar du listan efter berikningstaggen för att hitta dina mallar.

  4. Välj Skapa spelbok i informationsfönstret. Till exempel:

    Skärmbild av mallen IP Enrichment – Virus Total Report – Entity Trigger vald.

  5. Guiden Skapa spelbok öppnas. På fliken Grunder :

    1. Välj din prenumeration, resursgrupp och region i respektive listruta.

    2. Redigera spelboksnamnet genom att lägga till i slutet av det föreslagna namnet "Get-VirusTotalIPReport". På så sätt kan du se vilken originalmall den här spelboken kommer från, samtidigt som du ser till att den har ett unikt namn om du vill skapa en annan spelbok från samma mall. Vi kallar det "Get-VirusTotalIPReport-Tutorial-1".

    3. Lämna alternativet Aktivera diagnostikloggar i Log Analytics avmarkerat.

    4. Välj Nästa: Anslutningar >.

  6. På fliken Anslutningar ser du alla anslutningar som spelboken behöver göra till andra tjänster och den autentiseringsmetod som ska användas om anslutningen redan har gjorts i ett befintligt logikapparbetsflöde i samma resursgrupp.

    1. Lämna Microsoft Sentinel anslutning som den är (det bör stå "Anslut med hanterad identitet").

    2. Om det finns anslutningar som säger "Ny anslutning kommer att konfigureras" uppmanas du att göra det i nästa steg i självstudien. Om du redan har anslutningar till dessa resurser väljer du expanderarpilen till vänster om anslutningen och väljer en befintlig anslutning från den expanderade listan. I den här övningen lämnar vi den som den är.

      Skärmbild av fliken Anslutningar i guiden skapa spelbok.

    3. Välj Nästa: Granska och skapa >.

  7. På fliken Granska och skapa granskar du all information som du har angett när den visas här och väljer Skapa spelbok.

    Skärmbild av fliken Granska och skapa från guiden skapa spelbok.

    När spelboken distribueras visas en snabb serie meddelanden om dess förlopp. Sedan öppnas logikappdesignern med din spelbok visad. Vi behöver fortfarande auktorisera logikappens anslutningar till de resurser som den interagerar med så att spelboken kan köras. Sedan granskar vi var och en av åtgärderna i spelboken för att se till att de är lämpliga för vår miljö och gör ändringar om det behövs.

    Skärmbild av en spelbok som är öppen i logikappdesignerfönstret.

Auktorisera logikappanslutningar

Kom ihåg att när vi skapade spelboken från mallen fick vi veta att Azure Log Analytics-datainsamlare och totalt virusanslutningar skulle konfigureras senare.

Skärmbild av granskningsinformation från guiden för att skapa spelböcker.

Det är här vi gör det.

Auktorisera anslutning för totalt virus

  1. Välj för varje åtgärd för att expandera den och granska dess innehåll, som innehåller de åtgärder som ska utföras för varje IP-adress. Till exempel:

    Skärmbild av instruktionen för varje loop-instruktion i Logikappdesignern.

  2. Det första åtgärdsobjektet som visas är märkt Anslutningar och har en orange varningstriangel.

    Om den första åtgärden i stället heter Hämta en IP-rapport (förhandsversion) innebär det att du redan har en befintlig anslutning till Virus Total och du kan gå till nästa steg.

    1. Välj åtgärden Anslutningar för att öppna den.

    2. Välj ikonen i kolumnen Ogiltig för den visade anslutningen.

      Skärmbild av ogiltig konfiguration av total virusanslutning.

      Du uppmanas att ange anslutningsinformation.

      Skärmbild som visar hur du anger API-nyckel och annan anslutningsinformation för Virus Total.

    3. Ange "Virus total" som anslutningsnamn.

    4. För x-api_key kopierar och klistrar du in API-nyckeln från ditt Virus Total-konto.

    5. Välj Uppdatera.

    6. Nu visas åtgärden Hämta en IP-rapport (förhandsversion) korrekt. (Om du redan har ett virus totalt konto kommer du redan att vara i det här skedet.)

      Skärmbild som visar åtgärden för att skicka en IP-adress till Virus Total för att ta emot en rapport om den.

Auktorisera Log Analytics-anslutning

Nästa åtgärd är ett villkor som avgör resten av för-varje-loopens åtgärder baserat på resultatet av IP-adressrapporten. Den analyserar ryktespoängen som ges till IP-adressen i rapporten. En poäng som är högre än 0 anger att adressen är ofarlig; en poäng som är lägre än 0 anger att den är skadlig.

Skärmbild av villkorsåtgärden i logikappdesignern.

Oavsett om villkoret är sant eller falskt vill vi skicka data i rapporten till en tabell i Log Analytics så att de kan efterfrågas och analyseras och lägga till en kommentar till incidenten.

Men som du ser har vi fler ogiltiga anslutningar som vi behöver auktorisera.

Skärmbild som visar sanna och falska scenarier för definierade villkor.

  1. Välj åtgärden Anslutningar i ramen Sant .

  2. Välj ikonen i kolumnen Ogiltig för den visade anslutningen.

    Skärmbild av ogiltig Log Analytics-anslutningskonfiguration.

    Du uppmanas att ange anslutningsinformation.

    Skärmbild som visar hur du anger arbetsyte-ID och nyckel och annan anslutningsinformation för Log Analytics.

  3. Ange "Log Analytics" som anslutningsnamn.

  4. För Arbetsyte-ID kopierar och klistrar du in ID:t från sidan Översikt i inställningarna för Log Analytics-arbetsytan.

  5. Välj Uppdatera.

  6. Nu ser du åtgärden Skicka data korrekt. (Om du redan har en Log Analytics-anslutning från Logic Apps är du redan i det här skedet.)

    Skärmbild som visar åtgärden för att skicka en rapportpost för totalt virus till en tabell i Log Analytics.

  7. Välj nu åtgärden Anslutningar i ramen Falskt . Den här åtgärden använder samma anslutning som den i true-ramen.

  8. Kontrollera att anslutningen med namnet Log Analytics är markerad och välj Avbryt. Detta säkerställer att åtgärden nu visas korrekt i spelboken.

    Skärmbild av den andra ogiltiga Log Analytics-anslutningskonfigurationen.

    Nu ser du hela spelboken korrekt konfigurerad.

  9. Mycket viktigt! Glöm inte att välja Spara överst i fönstret Logikappdesigner . När du ser meddelanden om att spelboken har sparats visas din spelbok på fliken Aktiva spelböcker* på sidan Automation .

Skapa en automatiseringsregel

För att kunna köra den här spelboken måste du nu skapa en automatiseringsregel som körs när incidenter skapas och anropar spelboken.

  1. På sidan Automation väljer du + Skapa i den övre banderollen. I den nedrullningsbara menyn väljer du Automation-regel.

    Skärmbild av att skapa en automatiseringsregel från sidan Automation.

  2. I panelen Skapa ny automatiseringsregel ger du regeln namnet "Tutorial: Enrich IP info".

    Skärmbild av att skapa en automatiseringsregel, namnge den och lägga till ett villkor.

  3. Under Villkor väljer du + Lägg till och Villkor (Och).

    Skärmbild av att lägga till ett villkor i en automatiseringsregel.

  4. Välj IP-adress i listrutan egenskap till vänster. Välj Innehåller i listrutan operator och lämna värdefältet tomt. Det innebär i praktiken att regeln gäller för incidenter som har ett IP-adressfält som innehåller allt.

    Vi vill inte hindra några analysregler från att omfattas av den här automatiseringen, men vi vill inte heller att automatiseringen ska utlösas i onödan, så vi ska begränsa täckningen till incidenter som innehåller IP-adressentiteter.

    Skärmbild av att definiera ett villkor som ska läggas till i en automatiseringsregel.

  5. Under Åtgärder väljer du Kör spelbok i listrutan.

  6. Välj den nya listrutan som visas.

    Skärmbild som visar hur du väljer din spelbok i listan över spelböcker – del 1.

    Du ser en lista över alla spelböcker i din prenumeration. De nedtonade är de som du inte har åtkomst till. I textrutan Sök spelböcker börjar du skriva namnet – eller någon del av namnet – på spelboken som vi skapade ovan. Listan över spelböcker filtreras dynamiskt med varje bokstav som du skriver.

    Skärmbild som visar hur du väljer din spelbok i listan över spelböcker – del 2.

    När du ser din spelbok i listan väljer du den.

    Skärmbild som visar hur du väljer din spelbok i listan över spelböcker – del 3.

    Om spelboken är nedtonad väljer du länken Hantera spelboksbehörigheter (i det finstilta stycket nedan där du valde en spelbok – se skärmbilden ovan). I panelen som öppnas väljer du den resursgrupp som innehåller spelboken i listan över tillgängliga resursgrupper och väljer sedan Använd.

  7. Välj + Lägg till åtgärd igen. I listrutan ny åtgärd som visas väljer du Lägg till taggar.

  8. Välj + Lägg till tagg. Ange "Tutorial-Enriched IP addresses" (Självstudieberikade IP-adresser) som taggtext och välj OK.

    Skärmbild som visar hur du lägger till en tagg i en automatiseringsregel.

  9. Lämna de återstående inställningarna som de är och välj Använd.

Verifiera lyckad automatisering

  1. På sidan Incidenter anger du taggtexten Tutorial-Enriched IP-adresser i sökfältet och trycker på returnyckeln för att filtrera listan för incidenter med taggen tillämpad. Det här är de incidenter som vår automatiseringsregel kördes på.

  2. Öppna en eller flera av dessa incidenter och se om det finns kommentarer om IP-adresserna där. Förekomsten av dessa kommentarer indikerar att spelboken kördes på incidenten.

Rensa resurser

Om du inte kommer att fortsätta använda det här automatiseringsscenariot tar du bort den spelbok och automatiseringsregel som du skapade med följande steg:

  1. På sidan Automation väljer du fliken Aktiva spelböcker .

  2. Ange namnet (eller en del av namnet) på spelboken som du skapade i sökfältet .
    (Om den inte visas kontrollerar du att alla filter är inställda på Välj alla.)

  3. Markera kryssrutan bredvid din spelbok i listan och välj Ta bort från den översta banderollen.
    (Om du inte vill ta bort den kan du välja Inaktivera i stället.)

  4. Välj fliken Automation-regler .

  5. Ange namnet (eller en del av namnet) på automationsregeln som du skapade i sökfältet .
    (Om den inte visas kontrollerar du att alla filter är inställda på Välj alla.)

  6. Markera kryssrutan bredvid automatiseringsregeln i listan och välj Ta bort från den översta banderollen.
    (Om du inte vill ta bort den kan du välja Inaktivera i stället.)

Relaterat innehåll

Nu när du har lärt dig hur du automatiserar ett grundläggande scenario för incidentberikning kan du läsa mer om automatisering och andra scenarier som du kan använda det i.

  • Last updated on