Поделиться через

Руководство по извлечению сущностей инцидентов с использованием нестандартных действий

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Сопоставление сущностей расширяет оповещения и инциденты, необходимые для любых следственных процессов и действий по исправлению.

Сборники схем Microsoft Sentinel включают следующие собственные действия для извлечения сведений об сущности:

  • Организация
  • DNS
  • Хэши файлов
  • Узлы
  • IP-адреса
  • URL-адреса

Помимо этих действий сопоставление сущностей правила аналитики содержит типы сущностей, которые не являются собственными действиями, такими как вредоносные программы, процессы, раздел реестра, почтовый ящик и многое другое. В этом руководстве вы узнаете, как работать с не собственными действиями с помощью различных встроенных действий для извлечения соответствующих значений.

В этом руководстве описано следующее:

  • Создайте сборник схем с триггером инцидента и запустите его вручную в инциденте.
  • Инициализация переменной массива.
  • Отфильтруйте требуемый тип сущности из других типов сущностей.
  • Анализ результатов в JSON-файле.
  • Создайте значения как динамическое содержимое для дальнейшего использования.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

В рамках этого руководства вам потребуются:

  • Подписка Azure. Создайте бесплатную учетную запись, если у вас еще нет учетной записи .

  • Пользователь Azure со следующими ролями, назначенными для следующих ресурсов:

    • Участник Microsoft Sentinel в рабочей области Log Analytics, в которой развертывается Microsoft Sentinel.
    • Участник приложения логики и владелец или эквивалентная группа ресурсов, в которой будет содержаться сборник схем, созданный в этом руководстве.

  • Учетная запись VirusTotal (бесплатная) будет достаточной для работы с этим руководством. Для рабочей реализации требуется учетная запись VirusTotal Premium.

Создание сборника схем с триггером инцидента

  1. Для Microsoft Sentinel в портал Azure выберите страницу автоматизации конфигурации>. Для Microsoft Sentinel на портале Defender выберите службу автоматизации конфигурации>Microsoft Sentinel>.

  2. На странице автоматизации выберите "Создать>сборник схем" с триггером инцидента.

  3. В мастере создания сборников схем в разделе "Основные сведения" выберите подписку и группу ресурсов и присвойте сборнику схем имя.

  4. Нажмите кнопку "Далее" — подключения >.

    В разделе "Подключения" microsoft Sentinel — подключение с подключением к управляемому удостоверению должно быть видно. Например:

    Снимок экрана: создание новой сборника схем с триггером инцидента.

  5. Нажмите кнопку "Далее": проверка и создание >.

  6. В разделе "Рецензирование" и "Создать" выберите "Создать" и перейдите к конструктору.

    Конструктор приложений логики открывает приложение логики с именем сборника схем.

    Снимок экрана: просмотр сборника схем в конструкторе приложений логики.

Инициализация переменной массива

  1. В конструкторе приложений логики на шаге, в котором требуется добавить переменную, выберите новый шаг.

  2. В разделе " Выбор операции" в поле поиска введите переменные в качестве фильтра. В списке действий выберите Инициализировать переменную.

  3. Укажите эти сведения о переменной:

    • Для имени переменной используйте сущности.

    • Для типа выберите Массив.

    • Для значения начните вводить сущности и выберите "Сущности" в разделе "Динамический контент".

      Снимок экрана: инициализация переменной массива.

Выбор существующего инцидента

  1. В Microsoft Sentinel перейдите в раздел "Инциденты " и выберите инцидент, в котором требуется запустить сборник схем.

  2. На странице инцидента справа выберите сборник схем выполнения действий > (предварительная версия).

  3. В разделе "Сборники схем" рядом с созданной сборником схем выберите "Выполнить".

    Когда сборник схем активируется, сборник схем активируется успешно , отображается в правом верхнем углу.

  4. Выберите "Запуски" и рядом с сборником схем выберите "Просмотреть запуск".

    Страница запуска приложения логики отображается.

  5. В разделе "Инициализация переменной" пример полезных данных отображается в разделе Value. Обратите внимание на пример полезных данных для последующего использования.

    Снимок экрана: просмотр примера полезных данных в поле

Фильтрация требуемого типа сущности из других типов сущностей

  1. Вернитесь на страницу автоматизации и выберите сборник схем.

  2. На шаге, в котором нужно добавить переменную, выберите новый шаг.

  3. В разделе " Выбор действия" в поле поиска введите массив фильтров в качестве фильтра. В списке действий выберите операции с данными.

    Снимок экрана: фильтрация массива и выбор операций с данными.

  4. Укажите эти сведения о массиве фильтров:

    1. В разделе "Динамическое содержимое" выберите переменную сущностей, инициализированную ранее.>

    2. Выберите первое поле "Выбрать значение " (слева) и выберите выражение.

    3. Вставьте элемент значения ()?[' kind'] и нажмите кнопку "ОК".

      Снимок экрана: заполнение выражения массива фильтров.

    4. Оставьте значение равным (не изменяйте его).

    5. Во втором поле "Выбор значения " (справа) введите Process. Это должно быть точное соответствие значению в системе.

      Примечание.

      Этот запрос учитывает регистр. Убедитесь, что kind значение соответствует значению в примере полезных данных. Ознакомьтесь с примером полезных данных при создании сборника схем.

      Снимок экрана: заполнение сведений о массиве фильтров.

Анализ результатов в JSON-файле

  1. В приложении логики на шаге, в котором нужно добавить переменную, выберите новый шаг.

  2. Выберите операции>анализа данных JSON.

    Снимок экрана: выбор параметра Анализа JSON в разделе

  3. Укажите эти сведения о вашей операции:

    1. Выберите "Содержимое" и в разделе "Динамический массив фильтра содержимого>" выберите "Текст".

      Снимок экрана: выбор динамического содержимого в разделе

    2. В разделе "Схема" вставьте схему JSON, чтобы можно было извлечь значения из массива. Скопируйте образец полезных данных, созданных при создании сборника схем.

      Снимок экрана: копирование примера полезных данных.

    3. Вернитесь в сборник схем и выберите "Использовать пример полезных данных для создания схемы".

      Снимок экрана: выборка примера полезных данных для создания схемы.

    4. Вставьте полезные данные. Добавьте открываемую квадратную скобку ([) в начале схемы и закройте их в конце схемы ].

      Снимок экрана: вставка примера полезных данных.

      Снимок экрана: вторая часть вставленного примера полезных данных.

    5. Нажмите кнопку Готово.

Использование новых значений в качестве динамического содержимого для дальнейшего использования

Теперь вы можете использовать значения, созданные в качестве динамического содержимого, для дальнейших действий. Например, если вы хотите отправить сообщение электронной почты с данными процесса, можно найти действие Анализа JSON в динамическом содержимом, если вы не изменили имя действия.

Снимок экрана: отправка сообщения электронной почты с данными процесса.

Убедитесь, что сборник схем сохранен

Убедитесь, что сборник схем сохранен, и теперь вы можете использовать сборник схем для операций SOC.

Следующие шаги

Перейдите к следующей статье, чтобы узнать, как создавать и выполнять задачи инцидентов в Microsoft Sentinel с помощью сборников схем.

Создание и выполнение задач инцидентов в Microsoft Sentinel с помощью сборников схем