Partilhar via

Tutorial: Extrair entidades de incidentes com ações não nativas

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O mapeamento de entidades enriquece alertas e incidentes com informações essenciais para quaisquer processos de investigação e ações corretivas que se seguem.

Os playbooks do Microsoft Sentinel incluem estas ações nativas para extrair informações da entidade:

  • Contas
  • DNS
  • Hashes de arquivo
  • Anfitriões
  • IPs
  • URLs

Além dessas ações, o mapeamento de entidade de regra analítica contém tipos de entidade que não são ações nativas, como malware, processo, chave do Registro, caixa de correio e muito mais. Neste tutorial, você aprenderá a trabalhar com ações não nativas usando diferentes ações internas para extrair os valores relevantes.

Neste tutorial, irá aprender a:

  • Crie um manual com um gatilho de incidente e execute-o manualmente no incidente.
  • Inicialize uma variável de matriz.
  • Filtre o tipo de entidade necessário de outros tipos de entidade.
  • Analise os resultados em um arquivo JSON.
  • Crie os valores como conteúdo dinâmico para uso futuro.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para concluir este tutorial, confirme que tem:

  • Uma subscrição do Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Um usuário do Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Uma conta VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta VirusTotal Premium.

Criar um manual com um gatilho de incidente

  1. Para o Microsoft Sentinel no portal do Azure, selecione a página Automação da Configuração>. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configuration>Automation.

  2. Na página Automação, selecione Criar>Playbook com gatilho de incidente.

  3. No assistente Criar playbook, em Noções básicas, selecione a assinatura e o grupo de recursos e dê um nome ao playbook.

  4. Selecione Próximo: Conexões >.

    Em Conexões, a conexão Microsoft Sentinel - Connect with managed identity deve estar visível. Por exemplo:

    Captura de tela da criação de um novo playbook com um gatilho de incidente.

  5. Selecione Seguinte: Rever e criar >.

  6. Em Rever e criar, selecione Criar e continuar para o designer.

    O designer do aplicativo lógico abre um aplicativo lógico com o nome do seu playbook.

    Captura de ecrã a mostrar a visualização do playbook no designer da aplicação Lógica.

Inicializar uma variável Array

  1. No designer do aplicativo lógico, na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  2. Em Escolha uma operação, na caixa de pesquisa, digite variáveis como filtro. Na lista de ações, selecione Inicializar variável.

  3. Forneça estas informações sobre a sua variável:

    • Para o nome da variável, use Entidades.

    • Para o tipo, selecione Matriz.

    • Para o valor, comece a digitar entidades e selecione Entidades em Conteúdo dinâmico.

      Captura de tela da inicialização de uma variável Array.

Selecione um incidente existente

  1. No Microsoft Sentinel, navegue até Incidentes e selecione um incidente no qual você deseja executar o manual.

  2. Na página do incidente à direita, selecione Manual de execução de ações > (Visualização).

  3. Em Playbooks, ao lado do playbook que você criou, selecione Executar.

    Quando o playbook é acionado, uma mensagem Playbook é acionada com êxito é visível no canto superior direito.

  4. Selecione Execuções e, ao lado do seu playbook, selecione Exibir execução.

    A página de execução do aplicativo lógico está visível.

  5. Em Inicializar variável, a carga útil de amostra é visível em Valor. Observe a carga útil da amostra para uso posterior.

    Captura de ecrã a mostrar a visualização da carga útil de amostra no campo Valor.

Filtrar o tipo de entidade necessário de outros tipos de entidade

  1. Navegue de volta para a página Automação e selecione seu playbook.

  2. Na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  3. Em Escolha uma ação, na caixa de pesquisa, insira a matriz de filtros como seu filtro. Na lista de ações, selecione Operações de dados.

    Captura de tela da filtragem de uma matriz e da seleção de operações de dados.

  4. Forneça estas informações sobre sua matriz de filtros:

    1. Em Do>conteúdo dinâmico, selecione a variável Entidades inicializada anteriormente.

    2. Selecione o primeiro campo Escolha um valor (à esquerda) e selecione Expressão.

    3. Cole o valor item()?[' kind'], e selecione OK.

      Captura de tela do preenchimento da expressão de matriz de filtro.

    4. Deixe o é igual ao valor (não o modifique).

    5. No segundo campo Escolha um valor (à direita), digite Processo. Isso precisa ser uma correspondência exata com o valor no sistema.

      Nota

      Esta consulta diferencia maiúsculas de minúsculas. Certifique-se de que o kind valor corresponde ao valor na carga útil da amostra. Veja a carga útil de exemplo de quando você cria um playbook.

      Captura de tela do preenchimento das informações da matriz de filtros.

Analise os resultados em um arquivo JSON

  1. No seu aplicativo lógico, na etapa em que você deseja adicionar uma variável, selecione Nova etapa.

  2. Selecione Operações>de dados Analisar JSON.

    Captura de tela mostrando a seleção da opção Analisar JSON em Operações de Dados.

  3. Forneça estas informações sobre a sua operação:

    1. Selecione Conteúdo e, em Matriz de filtro de conteúdo>dinâmico, selecione Corpo.

      Captura de ecrã a mostrar a seleção de Conteúdo dinâmico em Conteúdo.

    2. Em Esquema, cole um esquema JSON para que você possa extrair valores de uma matriz. Copie a carga útil de amostra gerada quando criou o playbook.

      Captura de ecrã da cópia da carga útil de amostra.

    3. Retorne ao playbook e selecione Usar carga útil de exemplo para gerar esquema.

      Captura de tela mostrando a seleção Usar carga útil de exemplo para gerar esquema.

    4. Cole a carga útil. Adicione um colchete de abertura ([) no início do esquema e feche-os no final do esquema ].

      Captura de ecrã a mostrar a colagem da carga útil de amostra.

      Captura de ecrã da segunda parte da carga útil de amostra colada.

    5. Selecionar Concluído.

Use os novos valores como conteúdo dinâmico para uso futuro

Agora você pode usar os valores criados como conteúdo dinâmico para outras ações. Por exemplo, se você quiser enviar um e-mail com dados do processo, poderá encontrar a ação Analisar JSON em Conteúdo dinâmico, se não tiver alterado o nome da ação.

Captura de tela do envio de um e-mail com dados do processo.

Certifique-se de que o seu manual está guardado

Certifique-se de que o playbook está salvo, e agora você pode usar seu playbook para operações SOC.

Próximos passos

Avance para o próximo artigo para saber como criar e executar tarefas incidentes no Microsoft Sentinel usando playbooks.

Criar e executar tarefas de incidentes no Microsoft Sentinel com manuais de procedimentos