通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用非原生操作提取事件实体

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

实体映射利用对于任何调查流程及之后的修正操作所必需的信息来丰富警报和事件。

Microsoft Sentinel 剧本包含以下原生操作用于提取实体信息:

  • 帐户
  • DNS
  • 文件哈希
  • 主机
  • IP
  • URL

除了这些操作,分析规则实体映射还包含不是原生操作的实体类型,例如恶意软件、进程、注册表项、邮箱等。 本教程介绍如何使用非原生操作,即不同的内置操作来提取相关值。

在本教程中,你将了解如何执行以下操作:

  • 创建包含事件触发器的剧本,并在事件上手动运行剧本。
  • 初始化数组变量。
  • 从其他实体类型中筛选出所需的实体类型。
  • 在 JSON 文件中分析结果。
  • 创建值作为动态内容供未来使用。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

若要完成本教程,请确保做好以下准备:

  • Azure 订阅。 创建免费帐户(如果还没有该帐户)。

  • 在以下资源上分配有以下角色的 Azure 用户:

  • 对于本教程,(免费)VirusTotal 帐户就足够了。 生产实现需要 VirusTotal Premium 帐户。

创建包含事件触发器的剧本

  1. 对于 Azure 门户中的 Microsoft Sentinel,请选择“配置”>“自动化”页面。 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“配置”>“自动化”。

  2. 在“自动化”页上,选择“创建”>“使用事件触发器的 Playbook”。

  3. 在“创建剧本”向导的“基本”下,选择订阅和资源组,并为剧本命名。

  4. 选择“下一步:连接 >”。

    在“连接”下,应该可以看到“Microsoft Sentinel - 与托管标识连接”连接。 例如:

    新建包含事件触发器的剧本的屏幕截图。

  5. 选择“下一步:审阅并创建 >”。

  6. 在“审阅并创建”下,选择“创建并继续前往设计器”。

    逻辑应用设计器打开以你的剧本名称命名的逻辑应用。

    在逻辑应用设计器中查看剧本的屏幕截图。

初始化数组变量

  1. 在逻辑应用设计器中,在要添加变量的步骤下,选择“新建步骤”。

  2. 在“选择操作”下的搜索框中,输入“变量”作为筛选条件。 在操作列表中,选择“初始化变量”。

  3. 提供变量的以下信息:

    • 在变量名称处,使用“实体”。

    • 在类型处,选择“数组”。

    • 在值处,开始输入实体,然后在“动态内容”下选择“实体”。

      初始化数组变量的屏幕截图。

选择现有事件

  1. 在 Microsoft Sentinel 中,导航到“事件”,然后选择要在其上运行剧本的事件。

  2. 在右侧的事件页面中,选择“操作>”“运行剧本(预览)”。

  3. 在“剧本”下,在你创建的剧本旁边选择“运行”。

    触发剧本后,右上角会显示一条“已成功触发剧本”的消息。

  4. 选择“运行”,然后在剧本旁边选择“查看运行”。

    会看到逻辑应用运行

  5. 在“初始化变量”下,示例有效负载在“”下可见。 记下示例有效负载以供之后使用。

    在“值”字段下查看示例有效负载的屏幕截图。

从其他实体类型中筛选出所需的实体类型

  1. 导航返回到“自动化”页面并选择剧本。

  2. 在要添加变量的步骤下,选择“新建步骤”。

  3. 在“选择操作”下的搜索框中输入“筛选器数组”作为筛选条件。 从操作列表中,选择“数据操作”。

    筛选数组并选择数据操作的屏幕截图。

  4. 提供筛选器数组的以下信息:

    1. 在“来自”>“动态内容”下,选择之前已初始化的“实体

    2. 在左侧,选择第一个“选择值”字段,然后选择“表达式”。

    3. 粘贴值“item()?['kind']”,然后选择“确定”。

      填写筛选器数组表达式的屏幕截图。

    4. 保留等于值不动(不要修改)。

    5. 在右侧的第二个“选择值”字段中输入“进程”。 这需要与系统中的值完全匹配。

      注意

      此查询区分大小写。 确保值“kind”与示例有效负载中的值匹配。 请参阅创建剧本时所使用的示例有效负载。

      填写筛选器数组信息的屏幕截图。

将结果解析到 JSON 文件

  1. 在逻辑应用中,在要添加变量的步骤下,选择“新建步骤”。

  2. 依次选择“数据操作”>“解析 JSON”。

    在“数据操作”下选择“解析 JSON”选项的屏幕截图。

  3. 提供操作的以下信息:

    1. 选择“内容”,然后在“动态内容”>“筛选器数组”下,选择“正文”。

      在“内容”下选择“动态内容”的屏幕截图。

    2. 在“架构”下,解析 JSON 架构以便可以从数据中提取值。 复制在创建剧本时生成的示例有效负载。

      复制示例有效负载的屏幕截图。

    3. 返回到剧本,然后选择“使用示例有效负载生成架构”。

      选择“使用示例有效负载生成架构”的屏幕截图。

    4. 粘贴有效负载。 在架构的开头添加一个左方括号 ([),然后在架构的末尾添加 ]

      粘贴示例有效负载的屏幕截图。

      粘贴的有效负载的第二部分的屏幕截图。

    5. 选择“完成”。

使用新值作为动态内容供未来使用

现在,可以使用之前作为动态内容创建的值进行后续操作。 例如,如果要发送包含进程数据的电子邮件,如果没有更改操作名称,则可以在“动态内容”下找到“解析 JSON”。

发送包含进程数据的电子邮件的屏幕截图。

确保已保存剧本

确保已保存剧本,现在可以使用剧本进行 SOC 操作。

后续步骤

请继续学习下一篇文章,了解如何使用剧本在 Microsoft Sentinel 中创建和执行事件任务。

使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务