Поделиться через

Руководство. Автоматическая проверка и запись сведений о репутации IP-адресов в инцидентах

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Один из быстрых и простых способов оценить серьезность инцидента заключается в том, чтобы узнать, являются ли ip-адреса в нем источниками вредоносных действий. Наличие способа сделать это автоматически может сэкономить вам много времени и усилий.

В этом руководстве вы узнаете, как использовать правила и сборники схем службы автоматизации Microsoft Sentinel для автоматической проверки IP-адресов в инцидентах в отношении источника аналитики угроз и записи каждого результата в соответствующем инциденте.

По завершении работы с этим руководством вы сможете:

  • Создание сборника схем из шаблона
  • Настройка и авторизация подключений сборника схем к другим ресурсам
  • Создание правила автоматизации для вызова сборника схем
  • Просмотр результатов автоматизированного процесса

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

В рамках этого руководства вам потребуются:

  • Подписка Azure. Создайте бесплатную учетную запись, если у вас еще нет учетной записи .

  • Рабочая область Log Analytics с решением Microsoft Sentinel, развернутой на нем, и данные, которые принимаются в него.

  • Пользователь Azure со следующими ролями, назначенными для следующих ресурсов:

    • Участник Microsoft Sentinel в рабочей области Log Analytics, в которой развертывается Microsoft Sentinel.
    • Участник приложения логики и владелец или эквивалентная группа ресурсов, в которой будет содержаться сборник схем, созданный в этом руководстве.

  • Установленное решение VirusTotal из Центра содержимого

  • Учетная запись VirusTotal (бесплатная) будет достаточной для работы с этим руководством. Для рабочей реализации требуется учетная запись VirusTotal Premium.

  • Агент Azure Monitor, установленный по крайней мере на одном компьютере в вашей среде, поэтому инциденты создаются и отправляются в Microsoft Sentinel.

Создание сборника схем из шаблона

Microsoft Sentinel включает готовые и готовые шаблоны сборников схем, которые можно настроить и использовать для автоматизации большого количества основных целей и сценариев SecOps. Давайте найдем один для обогащения сведений ОБ IP-адресе в наших инцидентах.

  1. В Microsoft Sentinel выберите "Автоматизация конфигурации>".

  2. На странице автоматизации перейдите на вкладку "Шаблоны сборников схем" (предварительная версия).

  3. Найдите и выберите один из шаблонов отчетов о вирусе — общее количество вирусов для сущностей, инцидентов или триггеров оповещений. При необходимости отфильтруйте список по тегу обогащения , чтобы найти шаблоны.

  4. Выберите " Создать сборник схем " в области сведений. Например:

    Снимок экрана: обогащение IP-адресов — общий отчет о вирусе — выбранный шаблон триггера сущности.

  5. Откроется мастер создания сборника схем . На вкладке Основные сведения задайте следующие параметры:

    1. Выберите подписку, группу ресурсов и регион из соответствующих раскрывающихся списков.

    2. Измените имя сборника схем, добавив в конец предлагаемого имени Get-VirusTotalIPReport. Таким образом вы сможете сообщить, какой исходный шаблон эта сборник схем была получена, при этом убедитесь, что он имеет уникальное имя в случае, если вы хотите создать другую сборник схему из этого же шаблона. Давайте назовем его Get-VirusTotalIPReport-Tutorial-1.

    3. Оставьте флажок "Включить диагностика журналы" в Log Analytics без флажка.

    4. Выберите Далее: подключения >.

  6. На вкладке "Подключения" вы увидите все подключения, которые требуется сделать с другими службами, и метод проверки подлинности, который будет использоваться, если подключение уже сделано в существующем рабочем процессе приложения логики в той же группе ресурсов.

    1. Оставьте подключение Microsoft Sentinel как есть (оно должно иметь значение "Подключиться с управляемым удостоверением").

    2. Если какие-либо подключения будут настроены, вам будет предложено сделать это на следующем этапе руководства. Или, если у вас уже есть подключения к этим ресурсам, щелкните стрелку расширения слева от подключения и выберите существующее соединение из развернутого списка. Для этого упражнения мы оставим его как есть.

      Снимок экрана: вкладка

    3. Нажмите Далее: проверка и создание >.

  7. На вкладке "Рецензирование" и "Создать " просмотрите все введенные сведения, отображаемые здесь, и нажмите кнопку "Создать сборник схем".

    Снимок экрана: вкладка

    По мере развертывания сборника схем вы увидите краткий ряд уведомлений о ходе его выполнения. Затем конструктор приложений логики откроется с отображаемым сборником схем. Нам по-прежнему необходимо авторизовать подключения приложения логики к ресурсам, с которыми он взаимодействует, чтобы сборник схем можно было запустить. Затем мы рассмотрим все действия в сборнике схем, чтобы убедиться, что они подходят для нашей среды, внося изменения при необходимости.

    Снимок экрана: сборник схем, открытый в окне конструктора приложений логики.

Авторизация подключений приложения логики

Помните, что при создании сборника схем из шаблона мы сказали, что сборщик данных Azure Log Analytics и общее количество подключений к вирусу будут настроены позже.

Снимок экрана: просмотр сведений из мастера создания сборника схем.

Вот где мы делаем это.

Авторизовать общее подключение к вирусу

  1. Выберите для каждого действия, чтобы развернуть его и просмотреть его содержимое, в том числе действия, которые будут выполняться для каждого IP-адреса. Например:

    Снимок экрана: действие инструкции цикла для каждого цикла в конструкторе приложений логики.

  2. Первый элемент действия, который вы видите, имеет метку "Подключения" и имеет оранжевый треугольник предупреждения.

    Если вместо этого первое действие помечается как получить IP-отчет (предварительная версия), это означает, что у вас уже есть подключение к общей сумме вирусов, и вы можете перейти к следующему шагу.

    1. Выберите действие "Подключения", чтобы открыть его.

    2. Выберите значок в столбце "Недопустимый " для отображаемого подключения.

      Снимок экрана: недопустимая конфигурация подключения

      Вам будет предложено получить сведения о подключении.

      Снимок экрана: ввод ключа API и других сведений о подключении для общей суммы вирусов.

    3. Введите "Итог вируса" в качестве имени подключения.

    4. Для x-api_key скопируйте и вставьте ключ API из учетной записи "Итог вирус".

    5. Выберите Обновить.

    6. Теперь вы увидите действие "Получить IP-отчет (предварительная версия) правильно. (Если у вас уже была учетная запись "Итог вируса", вы уже будете на этом этапе.)

      Снимок экрана: действие для отправки IP-адреса в

Авторизация подключения Log Analytics

Следующее действие — это условие , определяющее остальные действия цикла для каждого цикла на основе результата отчета IP-адресов. Он анализирует оценку репутации , указанную IP-адресу в отчете. Оценка выше 0 указывает, что адрес безвреден; оценка ниже 0 указывает, что это злонамеренный.

Снимок экрана: действие условия в конструкторе приложений логики.

Указывает, является ли условие истинным или ложным, мы хотим отправить данные в таблицу в Log Analytics, чтобы его можно было запрашивать и анализировать, а также добавлять комментарий к инциденту.

Но, как вы увидите, у нас есть более недопустимые подключения, которые нам нужно авторизовать.

Снимок экрана: истинные и ложные сценарии для определенного условия.

  1. Выберите действие "Подключения" в кадре True.

  2. Выберите значок в столбце "Недопустимый " для отображаемого подключения.

    Снимок экрана: недопустимая конфигурация подключения Log Analytics.

    Вам будет предложено получить сведения о подключении.

    Снимок экрана: ввод идентификатора рабочей области и ключа и других сведений о подключении для Log Analytics.

  3. Введите Log Analytics в качестве имени подключения.

  4. Для идентификатора рабочей области скопируйте и вставьте идентификатор на странице обзора параметров рабочей области Log Analytics.

  5. Выберите Обновить.

  6. Теперь вы увидите действие "Отправить данные " правильно. (Если у вас уже было подключение Log Analytics из Logic Apps, вы уже будете на этом этапе.)

    Снимок экрана: действие для отправки записи отчета

  7. Теперь выберите действие "Подключения" в кадре False . Это действие использует то же соединение, что и в кадре True.

  8. Убедитесь, что подключение с именем Log Analytics отмечено и нажмите кнопку "Отмена". Это гарантирует правильность отображения действия в сборнике схем.

    Снимок экрана: вторая недопустимая конфигурация подключения Log Analytics.

    Теперь вы увидите всю книгу схем, правильно настроенную.

  9. Очень важно! Не забудьте выбрать "Сохранить " в верхней части окна конструктора приложений логики. После успешного сохранения сборника схем вы увидите сборник схем, указанный на вкладке "Активные сборники схем*" на странице автоматизации .

Создание правила автоматизации

Теперь, чтобы на самом деле запустить этот сборник схем, необходимо создать правило автоматизации, которое будет выполняться при создании инцидентов и вызове сборника схем.

  1. На странице автоматизации выберите +Создать из верхнего баннера. В раскрывающемся меню выберите правило автоматизации.

    Снимок экрана: создание правила автоматизации на странице автоматизации.

  2. На панели "Создание нового правила автоматизации" назовите правило "Учебник: обогащение сведений о IP-адресах".

    Снимок экрана: создание правила автоматизации, его именование и добавление условия.

  3. В разделе "Условия" выберите + Добавить и условие (и).

    Снимок экрана: добавление условия в правило автоматизации.

  4. Выберите IP-адрес из раскрывающегося списка свойств слева. Выберите "Содержит" в раскрывающемся списке оператора и оставьте поле значения пустым. Это означает, что правило будет применяться к инцидентам с полем IP-адреса, содержащим что-либо.

    Мы не хотим, чтобы какие-либо правила аналитики не охватывались этой автоматизацией, но мы не хотим, чтобы автоматизация была активирована ненужно, поэтому мы собираемся ограничить охват инцидентами, содержащими сущности IP-адресов.

    Снимок экрана: определение условия для добавления в правило автоматизации.

  5. В разделе "Действия" выберите "Выполнить сборник схем " в раскрывающемся списке.

  6. Выберите новый раскрывающийся список, который появится.

    Снимок экрана: выбор сборника схем из списка сборников схем — часть 1.

    Вы увидите список всех сборников схем в подписке. Серые из них — это те, к которым у вас нет доступа. В текстовом поле сборников схем поиска начните вводить имя (или любую часть имени) из созданной выше сборника схем. Список сборников схем будет динамически отфильтрован с каждой буквой, которую вы вводите.

    Снимок экрана: выбор сборника схем из списка сборников схем — часть 2.

    Когда вы увидите сборник схем в списке, выберите его.

    Снимок экрана: выбор сборника схем из списка сборников схем — часть 3.

    Если сборник схем неактивен, выберите ссылку "Управление разрешениями сборника схем" (в абзаце тонкой печати ниже, где вы выбрали сборник схем , см. снимок экрана выше). На открывающейся панели выберите группу ресурсов, содержащую сборник схем из списка доступных групп ресурсов, а затем нажмите кнопку "Применить".

  7. Нажмите кнопку + Добавить действие еще раз. Теперь в появившемся раскрывающемся списке нового действия выберите " Добавить теги".

  8. Выберите + Добавить тег. Введите текст тега в поле "Обогащенные учебником IP-адреса" и нажмите кнопку "ОК".

    Снимок экрана: добавление тега в правило автоматизации.

  9. Оставьте оставшиеся параметры по мере их применения и нажмите кнопку "Применить".

Проверка успешной автоматизации

  1. На странице "Инциденты" введите текстовые IP-адреса тега, обогащенные в строке поиска, и нажмите клавишу ВВОД, чтобы отфильтровать список инцидентов с примененным тегом. Это инциденты, на которых запущено правило автоматизации.

  2. Откройте любой или несколько этих инцидентов и посмотрите, есть ли комментарии о IP-адресах. Наличие этих комментариев указывает, что сборник схем запущен по инциденту.

Очистка ресурсов

Если вы не собираетесь продолжать использовать этот сценарий автоматизации, удалите сборник схем и правило автоматизации, созданное с помощью следующих действий:

  1. На странице автоматизации выберите вкладку "Активные сборники схем".

  2. Введите имя (или часть имени) книги схем, созданной в строке поиска .
    (Если он не отображается, убедитесь, что для фильтров задано значение />.Выберите все.)

  3. Установите флажок рядом с сборником схем в списке и выберите " Удалить " из верхнего баннера.
    (Если вы не хотите удалить его, можно выбрать Отключите вместо этого.)

  4. Перейдите на вкладку "Правила автоматизации".

  5. Введите имя (или часть имени) правила автоматизации, созданного в строке поиска .
    (Если он не отображается, убедитесь, что для фильтров задано значение />.Выберите все.)

  6. Установите флажок рядом с правилом автоматизации в списке и выберите "Удалить " из верхнего баннера.
    (Если вы не хотите удалить его, можно выбрать Отключите вместо этого.)

Связанный контент

Теперь, когда вы узнали, как автоматизировать базовый сценарий обогащения инцидентов, узнайте больше об автоматизации и других сценариях, в которые его можно использовать.