Tutorial: Extrahieren von Vorfallsentitäten mit nicht nativen Aktionen
Die Entitätszuordnung bereichert Warnungen und Vorfälle mit Informationen, die für alle folgenden Untersuchungsprozesse und Abhilfemaßnahmen wichtig sind.
Microsoft Sentinel-Playbooks enthalten die folgenden nativen Aktionen zum Extrahieren von Entitätsinformationen:
- Konten
- DNS
- Dateihashes
- Hosts
- IP-Adressen
- URLs
Zusätzlich zu diesen Aktionen enthält die Analyseregel-Entitätszuordnung Entitätstypen, die keine nativen Aktionen sind, z. B. Schadsoftware, Prozess, Registrierungsschlüssel, Postfach usw. In diesem Tutorial erfahren Sie, wie Sie mit nicht nativen Aktionen arbeiten, indem Sie verschiedene integrierte Aktionen verwenden, um die relevanten Werte zu extrahieren.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen Sie ein Playbook mit einem Vorfallstrigger, und führen Sie ihn manuell für den Vorfall aus.
- Initialisieren Sie eine Arrayvariable.
- Filtern Sie den erforderlichen Entitätstyp aus anderen Entitätstypen heraus.
- Parsen Sie die Ergebnisse in einer JSON-Datei.
- Erstellen Sie die Werte als dynamischen Inhalt zur späteren Verwendung.
Wichtig
Microsoft Sentinel ist auf der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Preview ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Damit Sie dieses Tutorial ausführen können, benötigen Sie folgende Komponenten:
Ein Azure-Abonnement. Erstellen Sie ein Erstellen Sie ein kostenloses Konto, wenn Sie noch keines besitzen.
Ein Azure-Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:
- Microsoft Sentinel-Mitwirkender im Log Analytics-Arbeitsbereich, in dem Microsoft Sentinel bereitgestellt wird.
- Logik-App-Mitwirkender und Besitzer oder gleichwertig für die Ressourcengruppe, die das in diesem Tutorial erstellte Playbook enthält.
Ein (kostenloses) VirusTotal-Konto genügt für dieses Tutorial. Für eine Implementierung in der Produktion ist ein VirusTotal Premium-Konto erforderlich.
Erstellen eines Playbooks mit einem Vorfallstrigger
Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsautomatisierung >aus. Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel >Konfiguration>Automatisierung aus.
Wählen Sie auf der Seite Automatisierung die Option Erstellen>Playbook mit Incident-Trigger aus.
Wählen Sie im Assistenten Playbook erstellen unter Grundlagen das Abonnement und die Ressourcengruppe aus, und geben Sie dem Playbook einen Namen.
Wählen Sie Weiter: Verbindungen> aus.
Unter Verbindungen sollte die Verbindung Microsoft Sentinel – Mit verwalteter Identität verbinden angezeigt werden. Zum Beispiel:
Wählen Sie Weiter: Überprüfen und erstellen> aus.
Wählen Sie unter Überprüfen und erstellen die Option Erstellen und mit Designer fortfahren aus.
Der Logik-App-Designer öffnet eine Logik-App mit dem Namen Ihres Playbooks.
Initialisieren einer Arrayvariablen
Wählen Sie im Logik-App-Designer unter dem Schritt, in dem Sie eine Variable hinzufügen, die Option Neuer Schritt aus.
Geben Sie unter Vorgang auswählen im Suchfeld Variablen als Filter ein. Wählen Sie in der Liste der Aktionen Variable initialisieren aus.
Geben Sie diese Informationen für Ihre Variable an:
Verwenden Sie für den Variablennamen Entitäten.
Wählen Sie als Typ Array aus.
Geben Sie für den Wert Entitäten ein, und wählen Sie unter Dynamischer Inhalt die Option Entitäten aus.
Auswählen eines vorhandenen Vorfalls
Navigieren Sie in Microsoft Sentinel zu Vorfälle, und wählen Sie einen Vorfall aus, für den Sie das Playbook ausführen möchten.
Wählen Sie auf der Seite „Vorfall“ die Option Aktionen > Playbook ausführen (Vorschau) aus.
Wählen Sie unter Playbooks neben dem von Ihnen erstellten Playbook die Option Ausführen aus.
Wenn das Playbook ausgelöst wird, wird oben rechts die Meldung Playbook erfolgreich ausgelöst angezeigt.
Wählen Sie Ausführungen und neben Ihrem Playbook die Option Ausführung anzeigen aus.
Die Seite Logik-App-Ausführung wird angezeigt.
Unter Variable initialisieren ist die Beispielnutzlast unter Wert sichtbar. Notieren Sie sich die Beispielnutzlast zur späteren Verwendung.
Filtern des erforderlichen Entitätstyps aus anderen Entitätstypen
Navigieren Sie zurück zur Seite Automatisierung, und wählen Sie Ihr Playbook aus.
Wählen Sie in dem Schritt zum Hinzufügen einer Variablen die Option Neuer Schritt aus.
Geben Sie unter Aktion auswählen im Suchfeld Filterarray als Filter ein. Wählen Sie in der Aktionsliste die Option Datenvorgänge aus.
Geben Sie diese Informationen zu Ihrem Filterarray an:
Wählen Sie unter Aus>Dynamischer Inhalt die Variable Entitäten aus, die Sie zuvor initialisiert haben.
Wählen Sie das erste Feld Wert auswählen (links) und dann Ausdruck aus.
Fügen Sie den Wert item()?['kind'], und wählen Sie OK aus.
Behalten Sie den Wert ist gleich bei (ändern Sie ihn nicht).
Geben Sie im zweiten Feld Wert auswählen (rechts) Prozess ein. Dieser Wert muss eine genaue mit dem Wert im System übereinstimmen.
Hinweis
Bei dieser Abfrage wird die Groß-/Kleinschreibung beachtet. Stellen Sie sicher, dass der
kind
-Wert mit dem Wert in der Beispielnutzlast übereinstimmt. Sehen Sie sich die Beispielnutzlast an, wenn Sie ein Playbook erstellen.
Parsen der Ergebnisse in eine JSON-Datei
Wählen Sie in der Logik-App unter dem Schritt, in dem Sie eine Variable hinzufügen, die Option Neuer Schritt aus.
Wählen Sie Datenvorgänge>JSON parsen aus.
Geben Sie diese Informationen zu Ihrem Vorgang an:
Wählen Sie Inhalt und unterDynamischer Inhalt>Filterarray die Option Text aus.
Fügen Sie unter Schema ein JSON-Schema ein, damit Sie Werte aus einem Array extrahieren können. Kopieren Sie die Beispielnutzlast, die Sie beim Erstellen des Playbooks generiert haben.
Kehren Sie zum Playbook zurück, und wählen Sie Beispielnutzlast zum Generieren des Schemas verwenden aus.
Fügen Sie die Nutzlast ein. Fügen Sie am Anfang des Schemas eine öffnende eckige Klammer (
[
) hinzu, und schließen Sie diese am Ende des Schemas]
.Wählen Sie Fertigaus.
Verwenden der neuen Werte als dynamischer Inhalt zur späteren Verwendung
Sie können nun die von Ihnen erstellten Werte als dynamischen Inhalt für weitere Aktionen verwenden. Wenn Sie beispielsweise eine E-Mail mit Prozessdaten senden möchten, finden Sie die Aktion JSON parsen unter Dynamischer Inhalt, wenn Sie den Aktionsnamen nicht geändert haben.
Sicherstellen, dass das Playbook gespeichert wurde
Stellen Sie sicher, dass das Playbook gespeichert wurde, und Sie können Ihr Playbook jetzt für SOC-Vorgänge verwenden.
Nächste Schritte
Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Vorfallsaufgaben in Microsoft Sentinel mithilfe von Playbooks erstellen und ausführen.