Självstudie: Extrahera incidententiteter med icke-interna åtgärder

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Entitetsmappning berikar aviseringar och incidenter med information som är nödvändig för alla undersökande processer och åtgärdsåtgärder som följer.

Microsoft Sentinel spelböcker innehåller dessa interna åtgärder för att extrahera entitetsinformation:

  • Konton
  • DNS
  • Filhashvärden
  • Värddatorer
  • Ips
  • Webbadresser

Förutom dessa åtgärder innehåller analysregelentitetsmappning entitetstyper som inte är interna åtgärder, till exempel skadlig kod, process, registernyckel, postlåda med mera. I den här självstudien lär du dig att arbeta med icke-interna åtgärder med hjälp av olika inbyggda åtgärder för att extrahera relevanta värden.

I den här självstudien lär du dig att:

  • Skapa en spelbok med en incidentutlösare och kör den manuellt på incidenten.
  • Initiera en matrisvariabel.
  • Filtrera den nödvändiga entitetstypen från andra entitetstyper.
  • Parsa resultatet i en JSON-fil.
  • Skapa värdena som dynamiskt innehåll för framtida användning.

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Förhandskrav

För att slutföra den här självstudien kontrollerar du att du har:

  • En Azure-prenumeration. Skapa ett kostnadsfritt konto om du inte redan har ett.

  • En Azure användare med följande roller tilldelade på följande resurser:

  • Ett (kostnadsfritt) VirusTotal-konto räcker för den här självstudien. En produktionsimplementering kräver ett VirusTotal Premium-konto.

Skapa en spelbok med en incidentutlösare

  1. För Microsoft Sentinel i Defender-portalen väljer du Microsoft Sentinel>Konfigurationsautomatisering>. För Microsoft Sentinel i Azure Portal väljer du sidan Konfigurationsautomatisering>.

  2. På sidan Automation väljer du Skapa>spelbok med incidentutlösare.

  3. I guiden Skapa spelbok går du till Grundläggande, väljer prenumerationen och resursgruppen och ger spelboken ett namn.

  4. Välj Nästa: Anslutningar >.

    Under Anslutningar ska anslutningen Microsoft Sentinel – Anslut med hanterad identitet vara synlig. Till exempel:

    Skärmbild av att skapa en ny spelbok med en incidentutlösare.

  5. Välj Nästa: Granska och skapa >.

  6. Under Granska och skapa väljer du Skapa och fortsätt till designern.

    Logikappdesignern öppnar en logikapp med namnet på din spelbok.

    Skärmbild av att visa spelboken i logikappdesignern.

Initiera en matrisvariabel

  1. I Logikappdesignern går du till steget där du vill lägga till en variabel och väljer Nytt steg.

  2. Under Välj en åtgärd skriver du variabler som filter i sökrutan. I åtgärdslistan väljer du Initiera variabel.

  3. Ange den här informationen om variabeln:

    1. För variabelnamnet använder du Entiteter.

    2. Som typ väljer du Matris.

    3. Hovra över fältet Värde för värdet och välj fx i den blå ikongruppen till vänster.

      Skärmbild av initiering av en variabel i logikappdesignern.

    4. I dialogrutan som öppnas väljer du fliken Dynamiskt innehåll och skriver entiteter i sökrutan.

    5. Välj Entiteter i listan och välj Lägg till.

      Skärmbild av att välja värdet Entiteter i logikappdesignern.

Välj en befintlig incident

  1. I Microsoft Sentinel går du till Incidenter och väljer en incident där du vill köra spelboken.

  2. På incidentsidan till höger väljer du Åtgärder > Kör spelbok (förhandsversion).

  3. Under Spelböcker, bredvid den spelbok som du skapade, väljer du Kör.

    När spelboken utlöses visas ett meddelande om att en spelbok har utlösts längst upp till höger.

  4. Välj Körningar och bredvid din spelbok väljer du Visa körning.

    Körningssidan för logikappen visas.

  5. Under Initiera variabeln visas exempelnyttolasten under Värde. Observera exempelnyttolasten för senare användning.

    Skärmbild av att visa exempelnyttolasten under fältet Värde.

Filtrera den entitetstyp som krävs från andra entitetstyper

  1. Gå tillbaka till sidan Automation och välj din spelbok.

  2. Under steget där du vill lägga till en variabel väljer du Nytt steg.

  3. Under Välj en åtgärd i sökrutan anger du filtermatris som filter. I åtgärdslistan väljer du Dataåtgärder.

    Skärmbild av att filtrera en matris och välja dataåtgärder.

  4. Ange den här informationen om filtermatrisen:

    1. Under Från>dynamiskt innehåll väljer du variabeln Entiteter som du initierade tidigare.

    2. Välj det första fältet Välj ett värde (till vänster) och välj Uttryck.

    3. Klistra in värdeobjektet()?[' kind'], och välj OK.

      Skärmbild av att fylla i filtermatrisuttrycket.

    4. Låt värdet vara lika med (ändra det inte).

    5. I det andra fältet Välj ett värde (till höger) skriver du Process. Detta måste vara en exakt matchning till värdet i systemet.

      Obs!

      Den här frågan är skiftlägeskänslig. Kontrollera att kind värdet matchar värdet i exempelnyttolasten. Se exempelnyttolasten från när du skapar en spelbok.

      Skärmbild av att fylla i information om filtermatrisen.

Parsa resultatet till en JSON-fil

  1. I logikappen går du till steget där du vill lägga till en variabel och väljer Nytt steg.

  2. Välj Dataåtgärder>Parsa JSON.

    Skärmbild av att välja alternativet Parsa JSON under Dataåtgärder.

  3. Ange den här informationen om din åtgärd:

    1. Välj Innehåll och under Dynamiskt innehåll>Filtermatris väljer du Brödtext.

      Skärmbild av att välja Dynamiskt innehåll under Innehåll.

    2. Under Schema klistrar du in ett JSON-schema så att du kan extrahera värden från en matris. Kopiera exempelnyttolasten som du genererade när du skapade spelboken.

      Skärmbild av kopiering av exempelnyttolasten.

    3. Gå tillbaka till spelboken och välj Använd exempelnyttolast för att generera schema.

      Skärmbild av att välja Använd exempelnyttolast för att generera schema.

    4. Klistra in nyttolasten. Lägg till en inledande hakparentes ([) i början av schemat och stäng dem i slutet av schemat ].

      Skärmbild av att klistra in exempelnyttolasten.

      Skärmbild av den andra delen av den inklistrade exempelnyttolasten.

    5. Välj Klar.

Använd de nya värdena som dynamiskt innehåll för framtida användning

Du kan nu använda de värden som du skapade som dynamiskt innehåll för ytterligare åtgärder. Om du till exempel vill skicka ett e-postmeddelande med processdata kan du hitta åtgärden Parsa JSON under Dynamiskt innehåll, om du inte har ändrat åtgärdsnamnet.

Skärmbild av att skicka ett e-postmeddelande med processdata.

Kontrollera att spelboken har sparats

Se till att spelboken sparas och att du nu kan använda din spelbok för SOC-åtgärder.

Nästa steg

Gå vidare till nästa artikel om du vill lära dig hur du skapar och utför incidentuppgifter i Microsoft Sentinel med hjälp av spelböcker.

Skapa och utföra incidentuppgifter i Microsoft Sentinel med hjälp av spelböcker

  • Last updated on