Freigeben über

Tutorial: Automatisches Überprüfen und Aufzeichnen von Informationen zur Zuverlässigkeit von IP-Adressen in Incidents

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Eine schnelle und einfache Möglichkeit, den Schweregrad eines Incidents zu bewerten, besteht darin, festzustellen, ob die involvierten IP-Adressen als Quellen böswilliger Aktivitäten bekannt sind. Eine automatisierte Möglichkeit kann dabei viel Zeit und Mühe sparen.

In diesem Tutorial erfahren Sie, wie Sie Microsoft Sentinel-Automatisierungsregeln und -Playbooks verwenden, um IP-Adressen in Ihren Incidents automatisch anhand einer Threat Intelligence-Quelle zu überprüfen und das jeweilige Ergebnis um zugehörigen relevanten Incident aufzuzeichnen.

In diesem Tutorial werden folgende Themen behandelt:

  • Erstellen eines Playbooks aus einer Vorlage
  • Konfigurieren und Autorisieren der Playbookverbindungen zu anderen Ressourcen
  • Erstellen einer Automatisierungsregel zum Aufrufen des Playbooks
  • Anzeigen der Ergebnisse Ihres automatisierten Prozesses

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Damit Sie dieses Tutorial ausführen können, benötigen Sie folgende Komponenten:

  • Ein Azure-Abonnement. Erstellen Sie ein Erstellen Sie ein kostenloses Konto, wenn Sie noch keines besitzen.

  • Ein Log Analytics-Arbeitsbereich mit der darin bereitgestellten Microsoft Sentinel-Lösung und erfassten Daten.

  • Ein Azure-Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:

  • Installation der VirusTotal-Lösung über den Content Hub

  • Ein (kostenloses) VirusTotal-Konto genügt für dieses Tutorial. Für eine Implementierung in der Produktion ist ein VirusTotal Premium-Konto erforderlich.

  • Ein Azure Monitor Agent, der auf mindestens einem Computer in Ihrer Umgebung installiert ist, sodass Vorfälle generiert und an Microsoft Sentinel gesendet werden.

Erstellen eines Playbooks aus einer Vorlage

Microsoft Sentinel enthält vorgefertigte, sofort einsatzbereite Playbookvorlagen, die Sie anpassen und verwenden können, um eine Vielzahl einfacher SecOps-Ziele und -Szenarien zu automatisieren. Um IP-Adressinformationen in unseren Incidents anzureichern, gehen Sie folgendermaßen vor.

  1. Wählen Sie in Microsoft Sentinel die Option Konfiguration>Automatisierung aus.

  2. Wählen Sie auf der Seite Automatisierung die Registerkarte Playbookvorlagen (Vorschau) aus.

  3. Suchen Sie nach einer der Vorlagen IP-Anreicherung – Virus Total-Bericht und wählen Sie sie entweder für Entitäten, Vorfälle oder Warnmeldungen aus. Filtern Sie die Liste bei Bedarf nach dem Tag Anreicherung, um Ihre Vorlagen zu finden.

  4. Wählen Sie im Detailbereich Playbook erstellen aus. Zum Beispiel:

    Screenshot der ausgewählten Vorlage „IP-Anreicherung – Virus Total-Bericht – Entitätstrigger“.

  5. Der Assistent Playbook erstellen wird geöffnet. Auf der Registerkarte Grundlagen:

    1. Wählen Sie aus den entsprechenden Dropdownlisten Abonnement, Ressourcengruppe und Region aus.

    2. Bearbeiten Sie den Playbook-Namen, indem Sie am Ende des vorgeschlagenen Namens Get-VirusTotalIPReport hinzufügen. Auf diese Weise können Sie erkennen, aus welcher ursprünglichen Vorlage dieses Playbook stammt, und gleichzeitig sicherstellen, dass es einen eindeutigen Namen hat, falls Sie ein anderes Playbook aus derselben Vorlage erstellen möchten. Nennen wir es „Get-VirusTotalIPReport-Tutorial-1“.

    3. Lassen Sie die Option Diagnoseprotokolle in Log Analytics aktivieren deaktiviert.

    4. Wählen Sie Weiter: Verbindungen > aus.

  6. Auf der Registerkarte Verbindungen werden alle Verbindungen angezeigt, die dieses Playbook zu anderen Diensten herstellen muss, sowie die Authentifizierungsmethode, die verwendet wird, wenn die Verbindung in einem vorhandenen Logik-App-Workflow in derselben Ressourcengruppe bereits hergestellt wurde.

    1. Lassen Sie die Microsoft Sentinel-Verbindung unverändert (sie sollte Verbindung mit verwalteter Identität herstellen lauten).

    2. Wenn bei einer Verbindung „Neue Verbindung wird konfiguriert“ angezeigt wird, werden Sie im nächsten Schritt des Tutorials dazu aufgefordert. Wenn bereits Verbindungen zu diesen Ressourcen bestehen, wählen Sie den Erweiterungspfeil links neben der Verbindung und in der erweiterten Liste eine vorhandene Verbindung aus. Für diese Übung werden keine Änderungen vorgenommen.

      Screenshot: Registerkarte „Verbindungen“ des Assistenten zum Erstellen von Playbooks.

    3. Wählen Sie Weiter: Überprüfen und erstellen > aus.

  7. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen, ob alle eingegebenen Informationen wie hier angezeigt werden, und wählen Sie Playbook erstellen aus.

    Screenshot: Registerkarte „Überprüfen und erstellen“ im Assistenten zum Erstellen von Playbooks.

    Während das Playbook bereitgestellt wird, werden in kurzer Folge mehrere Benachrichtigungen über den Fortschritt angezeigt. Anschließend wird der Logik-App-Designer geöffnet, in dem das Playbook angezeigt wird. Damit das Playbook ausgeführt werden kann, müssen außerdem die Verbindungen der Logik-App zu den verwendeten Ressourcen autorisiert werden. Anschließend werden die einzelnen Aktionen im Playbook überprüft, um sicherzustellen, dass sie für unsere Umgebung geeignet sind, und ggf. entsprechend geändert.

    Screenshot: Geöffnetes Playbook im Designerfenster der Logik-App.

Autorisieren von Logik-App-Verbindungen

Denken Sie daran, dass beim Erstellen des Playbooks anhand der Vorlage mitgeteilt wurde, dass die Verbindungen „Azure Log Analytics-Datensammler“ und „Virus Total“ später konfiguriert werden.

Screenshot: Überprüfungsinformationen im Assistenten zum Erstellen eines Playbooks.

Gehen Sie dazu folgendermaßen vor.

Autorisieren der Verbindung „Virus Total“

  1. Wählen Sie die Aktion For each aus, um sie zu erweitern und ihren Inhalt zu überprüfen, der die Aktionen enthält, die für jede IP-Adresse ausgeführt werden Zum Beispiel:

    Screenshot: Aktion für „For-each-Schleifenanweisung“ im Logik-App-Designer.

  2. Das erste angezeigte Aktionselement heißt Verbindungen und weist ein orangefarbenes Warndreieck auf.

    Wenn stattdessen die erste Aktion mit IP-Bericht abrufen (Preview) gekennzeichnet ist, bedeutet dies, dass Sie bereits eine Verbindung zu Virus Total haben und mit dem nächsten Schritt fortfahren können.

    1. Wählen Sie die Aktion Verbindungen aus, um sie zu öffnen.

    2. Wählen Sie das Symbol in der Spalte Ungültig für die angezeigte Verbindung aus.

      Screenshot: Ungültige Virus Total-Verbindungskonfiguration.

      Sie werden zur Eingabe der Verbindungsinformationen aufgefordert.

      Screenshot: Eingeben des API-Schlüssels und anderer Verbindungsdetails für „Virus Total“.

    3. Geben Sie Virus Total als Verbindungsname ein.

    4. Kopieren Sie den API-Schlüssel Ihres Virus Total-Kontos, und fügen Sie ihn in x-api_key ein.

    5. Wählen Sie Aktualisieren aus.

    6. Jetzt wird die Aktion IP-Bericht abrufen (Vorschau) ordnungsgemäß angezeigt. (Wenn Sie bereits ein Virus Total-Konto hatten, befinden Sie sich bereits in diesem Schritt.)

      Screenshot: Aktion zum Übermitteln einer IP-Adresse an Virus Total, um einen entsprechenden Bericht abzurufen.

Autorisieren der Log Analytics-Verbindung

Die nächste Aktion ist eine Bedingung, die die restlichen Aktionen der For-each-Schleife basierend auf dem Ergebnis des IP-Adressberichts bestimmt. Sie analysiert die Bewertung der Zuverlässigkeit, die für die IP-Adresse im Bericht angegeben wird. Eine Bewertung über 0 gibt an, dass die Adresse harmlos ist; eine Bewertung unter 0 gibt an, dass sie böswillig ist.

Screenshot: Bedingungsaktion im Logik-App-Designer.

Unabhängig davon, ob die Bedingung erfüllt wird oder nicht, sollen die Daten im Bericht an eine Log Analytics-Tabelle gesendet werden, damit sie abgefragt und analysiert werden können, und ein Kommentar zum Incident hinzugefügt werden.

Allerdings werden noch mehr ungültige Verbindungen angezeigt, die autorisiert werden müssen.

Screenshot: True/False-Szenarien für eine definierte Bedingung.

  1. Wählen Sie im Bereich True die Aktion Verbindungen aus.

  2. Wählen Sie das Symbol in der Spalte Ungültig für die angezeigte Verbindung aus.

    Screenshot: Ungültige Log Analytics-Verbindungskonfiguration.

    Sie werden zur Eingabe der Verbindungsinformationen aufgefordert.

    Screenshot: Eingabe von Arbeitsbereichs-ID und -Schlüssel sowie anderer Verbindungsdetails für Log Analytics.

  3. Geben Sie Log Analytics als Verbindungsname ein.

  4. Kopieren Sie für die Workspace-ID die ID von der Seite Übersicht der Log Analytics-Workspace-Einstellungen und fügen Sie sie ein.

  5. Wählen Sie Aktualisieren.

  6. Nun wird die Aktion Daten senden ordnungsgemäß angezeigt. (Wenn bereits eine Log Analytics-Verbindung in Logic Apps vorhanden war, befinden Sie bereits in diesem Schritt.)

    Screenshot: Aktion zum Senden eines Virus Total-Berichtsdatensatzes an eine Tabelle in Log Analytics.

  7. Wählen Sie jetzt im Bereich False die Aktion Verbindungen aus. Diese Aktion verwendet dieselbe Verbindung wie die im Bereich „True“.

  8. Vergewissern Sie sich, dass die Verbindung mit dem Namen Log Analytics markiert ist, und wählen Sie Abbrechen aus. Dadurch wird sichergestellt, dass die Aktion im Playbook jetzt ordnungsgemäß angezeigt wird.

    Screenshot: Zweite ungültige Log Analytics-Verbindungskonfiguration.

    Jetzt wird das komplette Playbook ordnungsgemäß konfiguriert angezeigt.

  9. Sehr wichtig! Vergessen Sie nicht, am oberen Rand des Logik-App-Designer-Fensters Speichern auszuwählen. Nachdem gemeldet wurde, dass das Playbook erfolgreich gespeichert wurde, wird das Playbook auf der Registerkarte Aktive Playbooks auf der Seite Automatisierung aufgeführt.

Erstellen einer Automatisierungsregel

Um dieses Playbook tatsächlich auszuführen, müssen Sie nun eine Automatisierungsregel erstellen, die ausgeführt wird, wenn Incidents erstellt werden, und das Playbook aufrufen.

  1. Wählen Sie auf der Seite Automatisierung die Option + Erstellen im oberen Banner aus. Wählen Sie im Dropdownmenü Automatisierungsregel aus.

    Screenshot: Erstellen einer Automatisierungsregel auf der Seite „Automatisierung“.

  2. Weisen Sie der Regel im Bereich Neue Automatisierungsregel erstellen den Namen Tutorial: Enrich IP info zu.

    Screenshot: Erstellen einer Automatisierungsregel, Benennen der Regel und Hinzufügen einer Bedingung.

  3. Wählen Sie unter Bedingungen die Option + Hinzufügen und Bedingung (Und) aus.

    Screenshot: Hinzufügen einer Bedingung zu einer Automatisierungsregel.

  4. Wählen Sie in der Dropdownliste auf der linken Seite IP-Adresse aus. Wählen Sie in der Dropdownliste für Operatoren Enthält aus, und lassen Sie das Wertfeld leer. Dies bedeutet effektiv, dass die Regel für Incidents mit einen IP-Adressfeld gilt, das einen beliebigen Wert enthält.

    Damit Analyseregeln von dieser Automatisierung weiterhin abgedeckt werden, die Automatisierung aber auch nicht unnötig ausgelöst wird, wird die Abdeckung auf Incidents beschränkt, die IP-Adressentitäten enthalten.

    Screenshot: Definieren einer Bedingung, die zu einer Automatisierungsregel hinzugefügt werden soll.

  5. Wählen Sie unter Aktionen die Option Playbook ausführen in der Dropdownliste aus.

  6. Wählen Sie die neue Dropdownliste aus, die angezeigt wird.

    Screenshot: Auswahl des Playbooks in der Liste der Playbooks (Teil 1).

    Daraufhin wird eine Liste aller Playbooks in Ihrem Abonnement angezeigt. Auf die ausgegrauten haben Sie keinen Zugriff. Beginnen Sie im Textfeld Playbooks durchsuchen mit der Eingabe des Namens (oder eines Teils des Namens) des erstellten Playbooks. Die Liste der Playbooks wird dynamisch mit jedem eingegebenen Buchstaben gefiltert.

    Screenshot: Auswahl des Playbooks in der Liste der Playbooks (Teil 2).

    Wählen Sie das Playbook aus, wenn es in der Liste angezeigt wird.

    Screenshot: Auswahl des Playbooks in der Liste der Playbooks (Teil 3).

    Wenn das Playbook abgeblendet ist, wählen Sie den Link Playbookberechtigungen verwalten aus (im kleingedruckten Absatz unter dem ausgewählten Playbook – siehe Screenshot oben). Wählen Sie im daraufhin geöffneten Bereich die Ressourcengruppe, die das Playbook enthält, in der Liste der verfügbaren Ressourcengruppen und dann Übernehmen aus.

  7. Wählen Sie erneut die Aktion + Hinzufügen aus. Wählen Sie nun in der angezeigten Dropdownliste für die neue Aktion Tags hinzufügen aus.

  8. Wählen Sie + Tag hinzufügen aus. Geben Sie Tutorial-Enriched IP addresses als Tagtext ein, und wählen Sie OK aus.

    Screenshot: Hinzufügen eines Tags zu einer Automatisierungsregel.

  9. Behalten Sie die verbleibenden Einstellungen unverändert bei, und wählen Sie Übernehmen aus.

Überprüfen der erfolgreichen Automatisierung

  1. Geben Sie auf der Seite Incidents den Tagtext Tutorial-Enriched IP addresses in die Suchleiste ein, und drücken Sie die EINGABETASTE, um die Liste nach Incidents zu filtern, auf die dieses Tag angewendet wurde. Dies sind die Incidents, für die die Automatisierungsregel ausgeführt wurde.

  2. Öffnen Sie einen oder mehrere dieser Vorfälle, und überprüfen Sie, ob Kommentare zu den IP-Adressen vorhanden sind. Das Vorhandensein dieser Kommentare weist darauf hin, dass das Playbook für den Incident ausgeführt wurde.

Bereinigen von Ressourcen

Führen Sie die folgenden Schritte aus, um das Playbook und die Automatisierungsregel, die Sie erstellt haben, zu löschen, wenn Sie dieses Automatisierungsszenario nicht weiter verwenden möchten:

  1. Wählen Sie auf der Seite Automatisierung die Registerkarte Aktive Playbooks aus.

  2. Geben Sie den Namen (oder einen Teil des Namens) des erstellten Playbooks in der Suchleiste ein.
    (Achten Sie darauf, dass alle Filter auf Alle auswählen festgelegt sind, wenn es nicht angezeigt wird.)

  3. Aktivieren Sie das Kontrollkästchen neben Ihrem Playbook in der Liste, und wählen Sie im oberen Banner Löschen aus.
    (Sie können stattdessen auch Deaktivieren auswählen, wenn Sie es nicht löschen möchten.)

  4. Wählen Sie die Registerkarte Automatisierungsregeln aus.

  5. Geben Sie den Namen (oder einen Teil des Namens) der erstellten Automatisierungsregel in der Suchleiste ein.
    (Achten Sie darauf, dass alle Filter auf Alle auswählen festgelegt sind, wenn es nicht angezeigt wird.)

  6. Aktivieren Sie das Kontrollkästchen neben Ihrer Automatisierungsregel in der Liste, und wählen Sie im oberen Banner Löschen aus.
    (Sie können stattdessen auch Deaktivieren auswählen, wenn Sie es nicht löschen möchten.)

Zugehöriger Inhalt

Nachdem Sie jetzt wissen, wie Sie ein einfaches Szenario zur Anreicherung von Incidents automatisieren, können Sie mehr über Automatisierung und andere Verwendungsszenarien erfahren.