Partilhar via

Tutorial: Verificar e registrar automaticamente informações de reputação de endereço IP em incidentes

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Uma maneira rápida e fácil de avaliar a gravidade de um incidente é ver se algum endereço IP nele é conhecido por ser fonte de atividade maliciosa. Ter uma maneira de fazer isso automaticamente pode economizar muito tempo e esforço.

Neste tutorial, você aprenderá a usar as regras de automação e os playbooks do Microsoft Sentinel para verificar automaticamente os endereços IP em seus incidentes em relação a uma fonte de inteligência de ameaças e registrar cada resultado em seu incidente relevante.

Ao concluir este tutorial, você poderá:

  • Criar um playbook a partir de um modelo
  • Configurar e autorizar as conexões do playbook com outros recursos
  • Criar uma regra de automação para invocar o manual
  • Veja os resultados do seu processo automatizado

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para concluir este tutorial, confirme que tem:

  • Uma subscrição do Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Um espaço de trabalho do Log Analytics com a solução Microsoft Sentinel implantada nele e dados sendo ingeridos nele.

  • Um usuário do Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Solução VirusTotal instalada a partir do Content Hub

  • Uma conta VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta VirusTotal Premium.

  • Um Agente do Azure Monitor instalado em pelo menos uma máquina em seu ambiente, para que os incidentes sejam gerados e enviados ao Microsoft Sentinel.

Criar um playbook a partir de um modelo

O Microsoft Sentinel inclui modelos de playbook prontos e prontos para uso que você pode personalizar e usar para automatizar um grande número de objetivos e cenários básicos do SecOps. Vamos encontrar um para enriquecer as informações de endereço IP em nossos incidentes.

  1. No Microsoft Sentinel, selecione Configuration>Automation.

  2. Na página Automação, selecione a guia Modelos de Playbook (Visualização).

  3. Localize e selecione um dos modelos de relatório IP Enriquecimento - Total de Vírus, para qualquer entidade, incidente ou gatilhos de alerta. Se necessário, filtre a lista pela tag Enriquecimento para encontrar seus modelos.

  4. Selecione Criar playbook no painel de detalhes. Por exemplo:

    Captura de tela do modelo IP Enriquecimento - Relatório Total de Vírus - Gatilho de Entidade selecionado.

  5. O assistente Criar playbook será aberto. Na guia Noções básicas:

    1. Selecione sua Assinatura, Grupo de recursos e Região em suas respetivas listas suspensas.

    2. Edite o nome do Playbook adicionando ao final do nome sugerido "Get-VirusTotalIPReport". Desta forma, você será capaz de dizer de qual modelo original este playbook veio, enquanto ainda garante que ele tem um nome exclusivo no caso de você querer criar outro playbook a partir desse mesmo modelo. Vamos chamá-lo de "Get-VirusTotalIPReport-Tutorial-1".

    3. Deixe a opção Ativar logs de diagnóstico no Log Analytics desmarcada.

    4. Selecione Avançar : Conexões >.

  6. Na guia Conexões, você verá todas as conexões que este manual precisa fazer com outros serviços e o método de autenticação que será usado se a conexão já tiver sido feita em um fluxo de trabalho existente do Aplicativo Lógico no mesmo grupo de recursos.

    1. Deixe a conexão do Microsoft Sentinel como está (deve dizer "Conectar com identidade gerenciada").

    2. Se alguma conexão disser "Nova conexão será configurada", você será solicitado a fazê-lo na próxima etapa do tutorial. Ou, se você já tiver conexões com esses recursos, selecione a seta de expansão à esquerda da conexão e escolha uma conexão existente na lista expandida. Para este exercício, vamos deixá-lo como está.

      Captura de ecrã do separador Ligações do assistente de criação de playbooks.

    3. Selecione Seguinte : Rever e criar >.

  7. No separador Rever e criar, reveja todas as informações que introduziu tal como são apresentadas aqui e selecione Criar playbook.

    Captura de ecrã do separador Rever e criar a partir do assistente de criação de playbooks.

    À medida que o manual é implantado, você verá uma série rápida de notificações de seu progresso. Em seguida, o designer do aplicativo Logic será aberto com seu playbook exibido. Ainda precisamos autorizar as conexões do aplicativo lógico com os recursos com os quais ele interage para que o manual possa ser executado. Em seguida, analisaremos cada uma das ações do manual para garantir que sejam adequadas ao nosso ambiente, fazendo alterações se necessário.

    Captura de tela do playbook aberto na janela do designer de aplicativo lógico.

Autorizar conexões lógicas de aplicativos

Lembre-se de que, quando criamos o manual a partir do modelo, fomos informados de que as conexões do Coletor de Dados do Azure Log Analytics e do Total de Vírus seriam configuradas posteriormente.

Captura de tela das informações de revisão do assistente de criação de playbook.

É aqui que fazemos isso.

Autorizar conexão total de vírus

  1. Selecione o Para cada ação para expandi-la e revise seu conteúdo, que inclui as ações que serão executadas para cada endereço IP. Por exemplo:

    Captura de tela da ação de instrução de loop para cada no designer de aplicativo lógico.

  2. O primeiro item de ação que você vê é rotulado como Conexões e tem um triângulo de aviso laranja.

    Se, em vez disso, essa primeira ação for rotulada como Obter um relatório IP (Visualização), isso significa que você já tem uma conexão existente com o Total de Vírus e pode ir para a próxima etapa.

    1. Selecione a ação Conexões para abri-la.

    2. Selecione o ícone na coluna Inválido para a conexão exibida.

      Captura de ecrã da configuração de ligação Total de Vírus inválida.

      Ser-lhe-ão solicitadas informações de ligação.

      A captura de tela mostra como inserir a chave da API e outros detalhes de conexão para o Total de Vírus.

    3. Digite "Total de vírus" como o nome da conexão.

    4. Para x-api_key, copie e cole a chave API da sua conta Virus Total.

    5. Selecione Atualizar.

    6. Agora você verá a ação Obter um relatório IP (Visualização) corretamente. (Se já tinha uma conta Virus Total, já estará nesta fase.)

      A captura de tela mostra a ação de enviar um endereço IP ao Virus Total para receber um relatório sobre ele.

Autorizar conexão do Log Analytics

A próxima ação é uma Condição que determina o restante das ações do loop para cada loop com base no resultado do relatório de endereço IP. Ele analisa a pontuação de reputação dada ao endereço IP no relatório. Uma pontuação superior a 0 indica que o endereço é inofensivo, uma pontuação inferior a 0 indica que é malicioso.

Captura de tela da ação da condição no designer de aplicativo lógico.

Se a condição é verdadeira ou falsa, queremos enviar os dados no relatório para uma tabela no Log Analytics para que possam ser consultados e analisados e adicionar um comentário ao incidente.

Mas, como você verá, temos mais conexões inválidas que precisamos autorizar.

Captura de tela mostrando cenários verdadeiros e falsos para a condição definida.

  1. Selecione a ação Conexões no quadro Verdadeiro .

  2. Selecione o ícone na coluna Inválido para a conexão exibida.

    Captura de ecrã da configuração de ligação inválida do Log Analytics.

    Ser-lhe-ão solicitadas informações de ligação.

    A captura de tela mostra como inserir a ID e a chave do espaço de trabalho e outros detalhes de conexão para o Log Analytics.

  3. Digite "Log Analytics" como o nome da conexão.

  4. Para ID do espaço de trabalho, copie e cole o ID na página Visão geral das configurações do espaço de trabalho do Log Analytics.

  5. Selecione Atualizar.

  6. Agora você verá a ação Enviar dados corretamente. (Se você já tinha uma conexão do Log Analytics dos Aplicativos Lógicos, já estará neste estágio.)

    A captura de tela mostra a ação de enviar um registro de relatório Total de Vírus para uma tabela no Log Analytics.

  7. Agora selecione a ação Conexões no quadro Falso . Esta ação usa a mesma conexão que a do quadro True.

  8. Verifique se a conexão chamada Log Analytics está marcada e selecione Cancelar. Isso garante que a ação agora será exibida corretamente no playbook.

    Captura de tela da segunda configuração de conexão inválida do Log Analytics.

    Agora você verá todo o seu playbook, devidamente configurado.

  9. Muito importante! Não se esqueça de selecionar Salvar na parte superior da janela do designer do aplicativo lógico. Depois de ver mensagens de notificação informando que seu playbook foi salvo com êxito, você verá seu playbook listado na guia Playbooks* ativos na página Automação .

Criar uma regra de automação

Agora, para realmente executar este playbook, você precisará criar uma regra de automação que será executada quando os incidentes forem criados e invocar o playbook.

  1. Na página Automação, selecione + Criar no banner superior. No menu suspenso, selecione Regra de automação.

    Captura de ecrã da criação de uma regra de automatização a partir da página Automação.

  2. No painel Criar nova regra de automação, nomeie a regra como "Tutorial: Enriquecer informações IP".

    Captura de tela mostrando como criar uma regra de automação, nomeá-la e adicionar uma condição.

  3. Em Condições, selecione + Adicionar e Condição (E).

    Captura de ecrã a mostrar a adição de uma condição a uma regra de automatização.

  4. Selecione Endereço IP na lista suspensa de propriedades à esquerda. Selecione Contém na lista suspensa do operador e deixe o campo de valor em branco. Isso significa efetivamente que a regra se aplicará a incidentes que tenham um campo de endereço IP que contenha qualquer coisa.

    Não queremos impedir que nenhuma regra de análise seja coberta por essa automação, mas também não queremos que a automação seja acionada desnecessariamente, então vamos limitar a cobertura a incidentes que contenham entidades de endereço IP.

    Captura de tela da definição de uma condição a ser adicionada a uma regra de automação.

  5. Em Ações, selecione Executar playbook na lista suspensa.

  6. Selecione a nova lista suspensa exibida.

    Captura de tela mostrando como selecionar seu playbook na lista de playbooks - parte 1.

    Você verá uma lista de todos os playbooks em sua assinatura. Os acinzentados são aqueles aos quais você não tem acesso. Na caixa de texto Pesquisar playbooks, comece a digitar o nome - ou qualquer parte do nome - do playbook que criamos acima. A lista de playbooks será filtrada dinamicamente com cada letra digitada.

    Captura de tela mostrando como selecionar seu playbook na lista de playbooks - parte 2.

    Quando vir o seu playbook na lista, selecione-o.

    Captura de tela mostrando como selecionar seu playbook na lista de playbooks - parte 3.

    Se o playbook estiver acinzentado, selecione o link Gerenciar permissões do playbook (no parágrafo de impressão fina abaixo onde você selecionou um playbook - veja a captura de tela acima). No painel que se abre, selecione o grupo de recursos que contém o manual na lista de grupos de recursos disponíveis e, em seguida, selecione Aplicar.

  7. Selecione + Adicionar ação novamente. Agora, na nova lista suspensa de ações exibida, selecione Adicionar tags.

  8. Selecione + Adicionar tag. Digite "Tutorial-Enriched IP addresses" como o texto da tag e selecione OK.

    Captura de ecrã a mostrar como adicionar uma etiqueta a uma regra de automatização.

  9. Deixe as configurações restantes como estão e selecione Aplicar.

Verificar a automação bem-sucedida

  1. Na página Incidentes, insira o texto da tag Endereços IP enriquecidos com tutorial na barra de pesquisa e pressione a tecla Enter para filtrar a lista de incidentes com essa tag aplicada. Estes são os incidentes em que nossa regra de automação foi executada.

  2. Abra qualquer um ou mais desses incidentes e veja se há comentários sobre os endereços IP lá. A presença desses comentários indica que a cartilha corria sobre o incidente.

Clean up resources (Limpar recursos)

Se você não quiser continuar a usar esse cenário de automação, exclua o manual e a regra de automação criados com as seguintes etapas:

  1. Na página Automação, selecione a guia Playbooks ativos.

  2. Introduza o nome (ou parte do nome) do manual que criou na barra de pesquisa .
    (Se não aparecer, certifique-se de que os filtros estão definidos como Selecione tudo.)

  3. Marque a caixa de seleção ao lado do playbook na lista e selecione Excluir no banner superior.
    (Se não quiser eliminá-lo, pode selecionar Desative em vez disso.)

  4. Selecione a guia Regras de automação.

  5. Insira o nome (ou parte do nome) da regra de automação criada na barra de pesquisa .
    (Se não aparecer, certifique-se de que os filtros estão definidos como Selecione tudo.)

  6. Marque a caixa de seleção ao lado da regra de automação na lista e selecione Excluir no banner superior.
    (Se não quiser eliminá-lo, pode selecionar Desative em vez disso.)

Conteúdos relacionados

Agora que você aprendeu como automatizar um cenário básico de enriquecimento de incidentes, saiba mais sobre automação e outros cenários em que você pode usá-lo.