Sdílet prostřednictvím

Kurz: Extrakce entit incidentů s jinými než nativními akcemi

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mapování entit rozšiřuje výstrahy a incidenty o informace nezbytné pro všechny vyšetřovací procesy a nápravné akce, které následují.

Playbooky Microsoft Sentinel zahrnují tyto nativní akce pro extrakci informací o entitách:

  • Účty
  • DNS
  • Hodnoty hash souborů
  • Hostitelé
  • Ips
  • Adresy URL

Kromě těchto akcí obsahuje mapování entit analytického pravidla typy entit, které nejsou nativními akcemi, jako je malware, proces, klíč registru, poštovní schránka a další. V tomto kurzu se naučíte pracovat s akcemi, které nejsou nativní, pomocí různých předdefinovaných akcí k extrakci relevantních hodnot.

V tomto kurzu se naučíte:

  • Vytvořte playbook s triggerem incidentu a spusťte ho ručně u incidentu.
  • Inicializace proměnné pole
  • Vyfiltrujte požadovaný typ entity z jiných typů entit.
  • Parsujte výsledky v souboru JSON.
  • Vytvořte hodnoty jako dynamický obsah pro budoucí použití.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Abyste mohli absolvovat tento kurz, ujistěte se, že máte následující:

  • Předplatné Azure. Pokud ho ještě nemáte, vytvořte si bezplatný účet .

  • Uživatel Azure s následujícími rolemi přiřazenými k následujícím prostředkům:

    • Přispěvatel Microsoft Sentinelu v pracovním prostoru služby Log Analytics, ve kterém je nasazená služba Microsoft Sentinel.
    • Přispěvatel aplikace logiky a vlastník nebo ekvivalent podle toho, která skupina prostředků bude obsahovat playbook vytvořený v tomto kurzu.

  • Pro účely tohoto kurzu bude stačit (bezplatný) účet VirusTotal. Produkční implementace vyžaduje účet VirusTotal Premium.

Vytvoření playbooku s triggerem incidentu

  1. Pro Microsoft Sentinel na webu Azure Portal vyberte stránku Automatizace konfigurace>. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Configuration>Automation.

  2. Na stránce Automation vyberte Vytvořit>playbook s triggerem incidentu.

  3. V průvodci vytvořením playbooku v části Základy vyberte předplatné a skupinu prostředků a dejte playbooku název.

  4. Vyberte Další: Připojení >.

    V části Připojení by se měla zobrazit služba Microsoft Sentinel – Připojení pomocí spravované identity. Příklad:

    Snímek obrazovky s vytvořením nového playbooku s triggerem incidentu

  5. Vyberte Další: Zkontrolovat a vytvořit >.

  6. V části Zkontrolovat a vytvořit vyberte Vytvořit a pokračovat v návrháři.

    Návrhář aplikace logiky otevře aplikaci logiky s názvem vašeho playbooku.

    Snímek obrazovky s zobrazením playbooku v návrháři aplikace logiky

Inicializace proměnné pole

  1. V návrháři aplikace logiky v kroku, do kterého chcete přidat proměnnou, vyberte Nový krok.

  2. V části Zvolit operaci zadejte do vyhledávacího pole proměnné jako filtr. V seznamu akcí vyberte Inicializovat proměnnou.

  3. Zadejte tyto informace o proměnné:

    • Jako název proměnné použijte Entity.

    • Jako typ vyberte Pole.

    • U hodnoty začněte psát entity a v části Dynamický obsah vyberte Entity.

      Snímek obrazovky s inicializací proměnné pole

Výběr existujícího incidentu

  1. V Microsoft Sentinelu přejděte na Incidenty a vyberte incident, na kterém chcete playbook spustit.

  2. Na stránce incidentu napravo vyberte Playbook Spustit akce > (Preview).

  3. V části Playbooky vedle playbooku , který jste vytvořili, vyberte Spustit.

    Po aktivaci playbooku se v pravém horním rohu zobrazí zpráva o úspěšném spuštění playbooku.

  4. Vyberte Spustit a vedle playbooku vyberte Zobrazit spuštění.

    Zobrazí se stránka spuštění aplikace logiky.

  5. V části Inicializovat proměnnou je ukázková datová část viditelná v části Hodnota. Poznamenejte si ukázkovou datovou část pro pozdější použití.

    Snímek obrazovky s zobrazením ukázkové datové části v poli Hodnota

Filtrování požadovaného typu entity z jiných typů entit

  1. Přejděte zpět na stránku Automation a vyberte svůj playbook.

  2. Pod krokem, do kterého chcete přidat proměnnou, vyberte Nový krok.

  3. V části Zvolit akci do vyhledávacího pole zadejte jako filtr pole filtru. V seznamu akcí vyberte Operace s daty.

    Snímek obrazovky s filtrováním pole a výběrem datových operací

  4. Zadejte tyto informace o poli filtru:

    1. V části Z>dynamického obsahu vyberte proměnnou Entity, kterou jste inicializovali dříve.

    2. Vyberte první pole Zvolit hodnotu (vlevo) a vyberte Výraz.

    3. Vložit hodnotu item()?[' kind'] a vyberte OK.

      Snímek obrazovky s vyplněním výrazu pole filtru

    4. Nechejte hodnotu rovnou (neupravujte ji).

    5. Do druhého pole Zvolit hodnotu (vpravo) zadejte Proces. Musí to být přesná shoda s hodnotou v systému.

      Poznámka:

      U tohoto dotazu se rozlišují malá a velká písmena. Ujistěte se, že kind hodnota odpovídá hodnotě v ukázkové datové části. Při vytváření playbooku si prohlédněte ukázkovou datovou část.

      Snímek obrazovky s vyplněním informací o poli filtru

Parsování výsledků do souboru JSON

  1. V aplikaci logiky v kroku, do kterého chcete přidat proměnnou, vyberte Nový krok.

  2. Vyberte Operace s daty>Parsovat JSON.

    Snímek obrazovky s výběrem možnosti Parsovat JSON v části Operace s daty

  3. Zadejte tyto informace o vaší operaci:

    1. Vyberte Obsah a v části Pole dynamického filtru obsahu>vyberte Text.

      Snímek obrazovky s výběrem dynamického obsahu v části Obsah

    2. V části Schéma vložte schéma JSON, abyste mohli extrahovat hodnoty z pole. Zkopírujte ukázkovou datovou část, kterou jste vygenerovali při vytváření playbooku.

      Snímek obrazovky s kopírováním ukázkové datové části

    3. Vraťte se do playbooku a vyberte Použít ukázkovou datovou část k vygenerování schématu.

      Snímek obrazovky s výběrem možnosti Použít ukázkovou datovou část k vygenerování schématu

    4. Vložte datovou část. Přidejte levou hranatou závorku ([) na začátek schématu a zavřete je na konci schématu ].

      Snímek obrazovky s vložením ukázkové datové části

      Snímek obrazovky s druhou částí vložené ukázkové datové části

    5. Vyberte Hotovo.

Použití nových hodnot jako dynamického obsahu pro budoucí použití

Teď můžete použít hodnoty, které jste vytvořili jako dynamický obsah, pro další akce. Pokud například chcete odeslat e-mail s daty procesu, můžete akci Parsovat JSON najít v části Dynamický obsah, pokud jste název akce nezměnili.

Snímek obrazovky s odesláním e-mailu s daty procesu

Ujistěte se, že je playbook uložený.

Ujistěte se, že je playbook uložený, a teď můžete playbook použít pro operace SOC.

Další kroky

V dalším článku se dozvíte, jak vytvářet a provádět úlohy incidentů v Microsoft Sentinelu pomocí playbooků.

Vytváření a provádění úloh incidentů v Microsoft Sentinelu pomocí playbooků