共用方式為

教學課程:在事件中自動檢查和記錄 IP 位址信譽資訊

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

評估事件嚴重性的方法之一,就是查看其中是否有任何 IP 位址已知為惡意活動來源。 有辦法自動執行這項操作,可以節省您很多時間和精力。

在本教學課程中,您將瞭解如何使用 Microsoft Sentinel 自動化規則和劇本,針對威脅情報來源自動檢查事件中的 IP 位址,並在其相關事件中記錄每個結果。

完成本教學課程之後,您將能夠:

  • 從範本建立劇本
  • 設定及授權劇本與其他資源的連線
  • 建立自動化規則以叫用劇本
  • 查看自動化流程的結果

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

若要完成本教學課程,請確定您具有下列項目︰

  • Azure 訂用帳戶。 建立免費帳戶 (如果您還沒有帳戶的話)。

  • Log Analytics 工作區,其中已部署 Microsoft Sentinel 解決方案,以及內嵌至其中的資料。

  • 在下列資源上指派下列角色的 Azure 使用者:

  • 已安裝來自內容中樞的 VirusTotal 解決方案

  • (免費) VirusTotal 帳戶將足以用於本教學課程。 生產實作需要一個 VirusTotal Premium 帳戶。

  • 安裝在您環境中至少一部電腦上的 Azure 監視器代理程式,以便產生事件並傳送至 sentinel Microsoft。

從範本建立劇本

Microsoft Sentinel 包含備妥、現成可用的劇本範本,您可以自訂並使用範本來自動化大量的基本 SecOps 目標和案例。 讓我們找到一個來擴充事件中的 IP 位址資訊。

  1. 在 Microsoft Sentinel 中,選取 [組態>自動化]。

  2. 從 [自動化] 頁面中,選取 [劇本範本 (預覽)] 索引標籤。

  3. 找出並選取其中一個 IP擴充 - 病毒總計報告 範本,以用於實體、事件或警示觸發程式。 如有需要,請依 擴充 標籤篩選清單,以尋找您的範本。

  4. 從詳細數據窗格中選取 [建立劇本 ]。 例如:

    已選取 [IP 擴充 - 病毒總計報告 - 實體觸發程式] 範本的螢幕快照。

  5. [建立劇本] 精靈將會開啟。 在 [基本] 索引標籤中:

    1. 從其各自的下拉式清單中選取您的 [訂用帳戶]、[資源群組] 及 [區域]

    2. 在建議名稱 "Get-VirusTotalIPReport" 結尾新增來編輯劇本名稱。 如此一來,您將能夠分辨此劇本的來源原始範本,同時仍然確保其具有唯一的名稱,以防您想要從這個相同範本建立另一個劇本。 讓我們將其稱為“Get-VirusTotalIPReport-Tutorial-1”。

    3. 取消核取 [在 Log Analytics 中啟用診斷記錄] 選項。

    4. 選取 [Next : Connections >] \(下一步:連線 >\)

  6. 在 [連線] 索引標籤中,您會看到此劇本需要對其他服務建立的所有連線,以及已在相同資源群組的現有邏輯應用程式工作流程中建立連線時所使用的驗證方法。

    1. Microsoft Sentinel 連線保持一樣 (應該說「使用受控識別連線」)。

    2. 如果有任何連線顯示「將會設定新連線」,系統會提示您在下一個階段進行本教學課程。 或者,如果您已經有這些資源的連線,請選取連線左側的展開器箭號,然後從展開清單中選擇現有的連線。 在此練習中,我們會保持不變。

      劇本建立精靈 [連線] 索引卷標標籤的螢幕擷取畫面。

    3. 選取 [Next : Review and create >] \(下一步:檢閱及建立 >\)

  7. 在 [ 檢閱和建立] 索引標籤中,檢閱您在此處顯示的所有資訊,然後選取 [ 建立劇本]。

    從劇本建立精靈 [檢閱和建立] 索引標籤的螢幕擷取畫面。

    部署劇本時,您會看到其進度的快速系列通知。 然後邏輯應用程式設計工具隨即開啟,並顯示您的劇本。 我們仍然需要授權邏輯應用程式與其互動的資源連線,讓劇本可以執行。 然後,我們將檢閱劇本中的每個動作,以確定它們適合我們的環境,必要時進行變更。

    邏輯應用程式設計工具視窗中開啟劇本的螢幕擷取畫面。

授權邏輯應用程式連線

回想一下,當我們從範本建立劇本時,我們被告知稍後會設定 Azure Log Analytics 資料收集器和病毒總計連線。

從劇本建立精靈檢閱資訊的螢幕擷取畫面。

以下是我們這樣做的地方。

授權病毒總計連線

  1. 選取 [ 針對每個 動作] 加以展開並檢閱其內容,其中包括將針對每個IP位址執行的動作。 例如:

    邏輯應用程式設計工具中 for-each 循環語句動作的螢幕擷取畫面。

  2. 您看到的第一個動作項目會標示連線,並具有橙色警告三角形。

    如果相反地,該第一個動作會標示為 取得IP報告(預覽),這表示您已經有病毒總計的現有連線,而您可以移至 下一個步驟

    1. 選取 [連線] 動作加以開啟。

    2. 針對顯示的連線,選取無效資料行中的圖示。

      無效病毒連線設定的螢幕擷取畫面。

      系統會提示您輸入連線資訊。

      顯示如何輸入 API 金鑰和其他病毒總計連線詳細資料的螢幕擷取畫面。

    3. 輸入 "Virus Total" 作為連線名稱

    4. 針對 x-api_key,請從病毒總計帳戶複製並貼上 API 金鑰。

    5. 選取更新

    6. 現在您會看到 取得 IP 報告 (預覽) 正常動作。 (如果您已經有病毒總計帳戶,您就已經在這個階段了。)

      此螢幕擷取畫面顯示將 IP 位址提交至病毒總計的動作,以接收其相關報告。

授權 Log Analytics 連線

下一個動作是條件,會根據 IP 位址報告的結果,判斷 for-each 循環的其餘動作。 它會分析提供給報表中 IP 位址的信譽分數。 分數高於 0 表示位址無害;分數低於 0 表示這是惡意的。

邏輯應用程式設計工具中條件動作的螢幕擷取畫面。

無論條件為 true 或 false,我們想要將報表中的資料傳送至 Log Analytics 中的資料表,以便查詢和分析資料,並將註解新增至事件。

但如您所見,我們有更多無效的連線,我們需要授權。

顯示已定義條件之 true 和 false 案例的螢幕擷取畫面。

  1. 選取 True 框架中的 [連線] 動作。

  2. 針對顯示的連線,選取無效資料行中的圖示。

    無效 Log Analytics 連線設定的螢幕擷取畫面。

    系統會提示您輸入連線資訊。

    螢幕擷取畫面顯示如何輸入 Log Analytics 的工作區識別碼和金鑰及其他連線詳細資訊。

  3. 輸入 "Log Analytics" 作為連線名稱

  4. 針對 [工作區標識符],從 Log Analytics 工作區設定的 [概觀] 頁面複製並貼上標識符。

  5. 選取更新

  6. 現在您會看到正確傳送資料動作。 (如果您已經有來自 Logic Apps 的 Log Analytics 連線,則您已經處於這個階段。)

    此螢幕擷取畫面顯示將病毒總計報告記錄傳送至 Log Analytics 資料表的動作。

  7. 現在,選取 False 框架中的 [連線] 動作。 此動作會使用與 True 框架中的連線相同。

  8. 確認已標示 Log Analytics 的連線,然後選取 [取消] 。 這可確保動作現在會在劇本中正確顯示。

    第二個無效 Log Analytics 連線設定的螢幕擷取畫面。

    現在您會看到整個劇本,已正確設定。

  9. 非常重要! 別忘了在邏輯應用程式設計工具視窗頂端選取 [儲存]。 當您看到劇本成功儲存的通知訊息之後,您會看到您的劇本列在 [自動化] 頁面中的 [作用中劇本]* 索引標籤中。

建立自動化規則

現在,若要實際執行此劇本,您必須建立自動化規則,以在建立事件並叫用劇本時執行。

  1. 從 [自動化] 頁面中,從頂端橫幅選取 [+ 建立]。 從下拉功能表中,選取 [自動化規則]

    從 [自動化] 頁面建立自動化規則的螢幕擷取畫面。

  2. 在 [建立新的自動化規則] 面板中,將規則命名為「教學課程:擴充 IP 資訊」。

    建立自動化規則、命名及新增條件的螢幕擷取畫面。

  3. 在 [條件] 下,選取 [+ 新增] 和 [條件 (與)]

    將條件新增至自動化規則的螢幕擷取畫面。

  4. 從左側的 [屬性] 下拉式清單中選取 [IP 位址]。 從運算子下拉式清單中選取 [包含],並將值欄位保留空白。 這實際上表示規則會套用至具有包含任何項目之 IP 位址欄位的事件。

    我們不想阻止此自動化涵蓋的任何分析規則,但我們不希望不必要地觸發自動化,因此我們會將涵蓋範圍限制為包含 IP 位址實體的事件。

    定義要新增至自動化規則之條件的螢幕擷取畫面。

  5. 在 [動作] 下,從下拉式清單中選取 [執行劇本]

  6. 選取出現的新下拉式清單。

    顯示如何從劇本清單中選取劇本的螢幕擷取畫面 - 第 1 部分。

    您會看到訂用帳戶中所有劇本的清單。 灰色是您無法存取的內容。 在 [搜尋劇本] 文字方塊中,開始輸入上面所建立劇本的名稱或名稱的任何部分。 劇本清單會以您輸入的每個字母動態篩選。

    顯示如何從劇本清單中選取劇本的螢幕擷取畫面 - 第 2 部分。

    當您在清單中看到您的劇本時,請選取它。

    顯示如何從劇本清單中選取劇本的螢幕擷取畫面 - 第 3 部分。

    如果劇本呈現灰色,請選取 [管理劇本權限] 連結 (在下方的精細列印段落中選取劇本 - 請參閱上述螢幕擷取畫面)。 在開啟的面板中,從可用的資源群組清單中選取包含劇本的資源群組,然後選取 [套用]

  7. 再次選取 [+ 新增動作]。 現在,從出現的新動作下拉式清單中,選取 [新增標籤]

  8. 選取 [+ 新增標籤]。 輸入 "Tutorial-Enriched IP addresses" 作為標籤文字,然後選取 [確定]

    顯示如何將標籤新增至自動化規則的螢幕擷取畫面。

  9. 保留其餘設定,然後選取 [套用]

確認自動化成功

  1. 在 [事件] 頁面中,輸入標籤文字 Tutorial-Enriched IP 位址搜尋列中,然後按 [Enter] 鍵來篩選套用該標籤的事件清單。 這些是我們自動化規則執行的事件。

  2. 開啟上述任何一或多個事件,並查看是否有關於該處 IP 位址的註解。 這些註解的存在表示劇本已在事件上執行。

清除資源

如果您不打算繼續使用此自動化案例,請刪除您使用下列步驟建立的劇本和自動化規則:

  1. 在 [自動化] 頁面中,選取 [作用中劇本] 索引標籤。

  2. 輸入您在搜尋列中建立的劇本名稱 (或名稱的一部分)。
    (如果未顯示,請確定任何篩選設定為 [選取所有]。)

  3. 在清單中標記劇本旁的核取方塊,然後從頂端橫幅中選取 [刪除]
    (如果您不想刪除它,您可以改為選取 [停用]。)

  4. 選取 [自動化規則] 索引標籤。

  5. 輸入您在搜尋列中建立的自動化規則名稱 (或名稱的一部分)。
    (如果未顯示,請確定任何篩選設定為 [選取所有]。)

  6. 在清單中標記自動化規則旁的核取方塊,然後從頂端橫幅中選取 [刪除]
    (如果您不想刪除它,您可以改為選取 [停用]。)

相關內容

既然您已瞭解如何將基本事件擴充案例自動化,請深入瞭解自動化,以及您可以使用它的其他案例。