Megosztás a következőn keresztül:

Oktatóanyag: Ip-címek hírnevének automatikus ellenőrzése és rögzítése incidensekben

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az incidens súlyosságának felmérésének egyik gyors és egyszerű módja annak megállapítása, hogy a benne található IP-címekről ismertek-e rosszindulatú tevékenységek forrásai. Ha ezt automatikusan meg tudja tenni, sok időt és erőfeszítést takaríthat meg.

Ebben az oktatóanyagban megtudhatja, hogyan használhatja a Microsoft Sentinel automatizálási szabályait és forgatókönyveit az incidensek IP-címeinek automatikus ellenőrzésére egy fenyegetésintelligencia-forráson, és hogyan rögzítheti az egyes eredményeket a megfelelő incidensben.

Az oktatóanyag elvégzése után a következőket végezheti el:

  • Forgatókönyv létrehozása sablonból
  • A forgatókönyv más erőforrásokhoz való kapcsolatainak konfigurálása és engedélyezése
  • Automatizálási szabály létrehozása a forgatókönyv meghívásához
  • Az automatizált folyamat eredményeinek megtekintése

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Az oktatóanyag elvégzéséhez győződjön meg arról, hogy rendelkezik a következőkkel:

  • Azure-előfizetés. Hozzon létre egy ingyenes fiókot, ha még nem rendelkezik ilyen fiókkal .

  • Log Analytics-munkaterület, amelyen a Microsoft Sentinel-megoldás van üzembe helyezve, és az adatok betöltése folyamatban van.

  • Egy Azure-felhasználó az alábbi erőforrásokhoz rendelt szerepkörökkel:

  • A Content Hubról telepített VirusTotal-megoldás

  • Ehhez az oktatóanyaghoz elegendő egy (ingyenes) VirusTotal-fiók . Az éles megvalósításhoz Egy VirusTotal Premium-fiók szükséges.

  • A környezet legalább egy gépére telepített Azure Monitor-ügynökkel incidenseket generálhat és elküldhet a Microsoft Sentinelnek.

Forgatókönyv létrehozása sablonból

A Microsoft Sentinel beépített forgatókönyvsablonokat tartalmaz, amelyeket számos alapvető SecOps-célkitűzés és forgatókönyv automatizálására használhat. Találjunk egyet, amely bővíti az IP-címadatokat az incidenseinkben.

  1. A Microsoft Sentinelben válassza a Configuration Automation lehetőséget>.

  2. Az Automation lapon válassza a Forgatókönyvsablonok (Előzetes verzió) lapot.

  3. Keresse meg és válassza ki az IP-bővítés – Vírusösszeg jelentéssablonok egyikét entitások, incidensek vagy riasztási eseményindítók esetében. Szükség esetén szűrje a listát a Bővítés címkével a sablonok megkereséséhez.

  4. Válassza a Forgatókönyv létrehozása lehetőséget a részletek panelen. Példa:

    Képernyőkép az IP-bővítésről – Vírusösszeg jelentés – Entity Trigger sablon kiválasztva.

  5. Ekkor megnyílik a Forgatókönyv létrehozása varázsló. Az Alapismeretek lapon:

    1. Válassza ki előfizetését, erőforráscsoportját és régióját a megfelelő legördülő listákból.

    2. Szerkessze a forgatókönyv nevét úgy, hogy hozzáadja a javasolt "Get-VirusTotalIPReport" név végéhez. Így meg tudja állapítani, hogy melyik eredeti sablonból származik ez a forgatókönyv, miközben továbbra is biztosítja, hogy egyedi névvel rendelkezik abban az esetben, ha egy másik forgatókönyvet szeretne létrehozni ebből a sablonból. Nevezzük "Get-VirusTotalIPReport-Tutorial-1"-nek.

    3. Hagyja bejelölve a Diagnosztikai naplók engedélyezése lehetőséget a Log Analyticsben .

    4. Válassza a Következő: Kapcsolatok >lehetőséget.

  6. A Kapcsolatok lapon láthatja azokat a kapcsolatokat, amelyeket a forgatókönyvnek más szolgáltatásokhoz kell létrehoznia, és azt a hitelesítési módszert, amelyet akkor fog használni, ha a kapcsolat már létrejött egy meglévő logikai alkalmazás munkafolyamatában ugyanabban az erőforráscsoportban.

    1. Hagyja meg a Microsoft Sentinel-kapcsolatot a következőképpen (a "Csatlakozás felügyelt identitással").

    2. Ha bármelyik kapcsolat azt mondja, hogy "Új kapcsolat lesz konfigurálva", a rendszer erre kéri az oktatóanyag következő szakaszában. Vagy ha már rendelkezik kapcsolattal ezekhez az erőforrásokhoz, válassza a kapcsolat bal oldalán található kiterjesztő nyilat, és válasszon ki egy meglévő kapcsolatot a kibontott listából. Ehhez a gyakorlathoz, ahogy van, elhagyjuk.

      Képernyőkép a forgatókönyv-létrehozási varázsló Kapcsolatok lapjára.

    3. Válassza a Tovább elemet : Áttekintés és létrehozás >.

  7. A Véleményezés és létrehozás lapon tekintse át az itt megjelenő összes beírt információt, és válassza a Forgatókönyv létrehozása lehetőséget.

    Képernyőkép a Forgatókönyv létrehozása varázsló Véleményezés és létrehozás lapjáról.

    A forgatókönyv üzembe helyezésekor egy gyors értesítéssorozat jelenik meg a folyamat előrehaladásáról. Ezután a logikai alkalmazás tervezője megnyílik a forgatókönyv megjelenítésével. Továbbra is engedélyezni kell a logikai alkalmazás kapcsolatait az általa használt erőforrásokhoz, hogy a forgatókönyv fusson. Ezután áttekintjük a forgatókönyvben szereplő összes műveletet, hogy meggyőződjünk arról, hogy megfelelőek a környezetünknek, és szükség esetén módosításokat hajtunk végre.

    Képernyőkép a logikai alkalmazás tervezőablakában megnyitott forgatókönyvről.

Logikai alkalmazáskapcsolatok engedélyezése

Ne feledje, hogy amikor létrehoztuk a forgatókönyvet a sablonból, azt mondták nekünk, hogy az Azure Log Analytics Data Collector és a Virus Total kapcsolatok később lesznek konfigurálva.

Képernyőkép a forgatókönyv-létrehozási varázsló áttekintési információiról.

Itt csináljuk.

Összes víruskapcsolat engedélyezése

  1. Az egyes műveletek kibontásához és tartalmának áttekintéséhez válassza az Egyes műveletek lehetőséget, amelyek tartalmazzák az egyes IP-címeken végrehajtandó műveleteket. Példa:

    Képernyőkép a logikai alkalmazástervező minden ciklusutasítási műveletéről.

  2. Az első látható műveletelem a Kapcsolatok feliratú, és narancssárga figyelmeztető háromszöget jelenít meg.

    Ha ehelyett az első művelet az IP-jelentés lekérése (előzetes verzió) címkével van ellátva, az azt jelenti, hogy már van kapcsolata a Virus Total szolgáltatással, és továbbléphet a következő lépésre.

    1. A megnyitáshoz válassza a Kapcsolatok műveletet.

    2. Válassza a megjelenített kapcsolat Érvénytelen oszlopában található ikont.

      Képernyőkép a Virus Total kapcsolat érvénytelen konfigurációjáról.

      A rendszer kérni fogja a kapcsolati adatokat.

      Képernyőkép az API-kulcs és a Virus Total egyéb kapcsolati adatainak megadásáról.

    3. Adja meg a "Virus Total" nevet a kapcsolat neveként.

    4. X-api_key esetén másolja és illessze be az API-kulcsot a Virus Total fiókból.

    5. Válassza a Frissítés lehetőséget.

    6. Most már megfelelően láthatja az IP-jelentés (előzetes verzió) lekérése műveletet. (Ha már rendelkezik a Virus Total fiókkal, akkor már ebben a szakaszban lesz.)

      Képernyőkép arról a műveletről, amely egy IP-címet küld a Virus Total-nak, hogy jelentést kapjon róla.

Log Analytics-kapcsolat engedélyezése

A következő művelet egy feltétel , amely meghatározza az egyes ciklusok többi műveletét az IP-címjelentés eredménye alapján. Elemzi a jelentésben szereplő IP-címhez megadott hírnévpontszámot . A 0-nál magasabb pontszám azt jelzi, hogy a cím ártalmatlan; a 0-nál alacsonyabb pontszám azt jelzi, hogy rosszindulatú.

A logikaialkalmazás-tervező feltételműveletének képernyőképe.

Függetlenül attól, hogy a feltétel igaz vagy hamis, a jelentés adatait a Log Analytics egy táblájába szeretnénk küldeni, hogy lekérdezhető és elemezhető legyen, és megjegyzést fűzzünk az incidenshez.

De amint látni fogja, több érvénytelen kapcsolatot kell engedélyeznünk.

A megadott feltétel igaz és hamis forgatókönyveit bemutató képernyőkép.

  1. Válassza ki a Kapcsolatok műveletet az Igaz keretben.

  2. Válassza a megjelenített kapcsolat Érvénytelen oszlopában található ikont.

    Érvénytelen Log Analytics-kapcsolatkonfiguráció képernyőképe.

    A rendszer kérni fogja a kapcsolati adatokat.

    Képernyőkép a Log Analytics munkaterület-azonosítójának, kulcsának és egyéb kapcsolati adatainak megadásáról.

  3. Adja meg a "Log Analytics" nevet a kapcsolat neveként.

  4. Munkaterület-azonosító esetén másolja és illessze be az azonosítót a Log Analytics-munkaterület beállításainak Áttekintés lapján.

  5. Válassza a Frissítés lehetőséget.

  6. Most az Adatok küldése művelet helyesen jelenik meg. (Ha már rendelkezik Log Analytics-kapcsolattal a Logic Appsből, akkor már ebben a szakaszban lesz.)

    Képernyőkép a Vírusösszeg jelentés rekordjának a Log Analytics egy táblába való küldéséhez szükséges műveletről.

  7. Most válassza ki a Kapcsolatok műveletet a Hamis keretben. Ez a művelet ugyanazt a kapcsolatot használja, mint az Igaz keretben lévő.

  8. Ellenőrizze, hogy a Log Analytics nevű kapcsolat van-e megjelölve, és válassza a Mégse lehetőséget. Ez biztosítja, hogy a művelet megfelelően jelenjen meg a forgatókönyvben.

    Képernyőkép a második érvénytelen Log Analytics-kapcsolatkonfigurációról.

    Most már láthatja a teljes forgatókönyvet, megfelelően konfigurálva.

  9. Nagyon fontos! Ne felejtse el a Logic App Designer ablakának tetején a Mentés lehetőséget választani. Miután a forgatókönyv sikeres mentéséről értesítő üzeneteket lát, az Automation lapon az Aktív forgatókönyvek* lapon láthatja a forgatókönyvet.

Automatizálási szabály létrehozása

A forgatókönyv tényleges futtatásához létre kell hoznia egy automatizálási szabályt, amely incidensek létrehozásakor és a forgatókönyv meghívásakor fog futni.

  1. Az Automation lapon válassza a + Létrehozás lehetőséget a felső szalagcímről. A legördülő menüben válassza az Automation-szabályt.

    Képernyőkép egy automatizálási szabály létrehozásáról az Automation oldalról.

  2. Az Új automatizálási szabály létrehozása panelen nevezze el az "Oktatóanyag: AZ IP-adatok bővítése" szabályt.

    Képernyőkép egy automatizálási szabály létrehozásáról, elnevezéséről és feltétel hozzáadásáról.

  3. A Feltételek területen válassza a + Hozzáadás és feltétel (És) lehetőséget.

    Képernyőkép egy feltétel automatizálási szabályhoz való hozzáadásáról.

  4. Válassza ki az IP-címet a tulajdonság bal oldali legördülő menüjéből. Válassza a Tartalmaz lehetőséget az operátor legördülő menüjében, és hagyja üresen az értékmezőt. Ez gyakorlatilag azt jelenti, hogy a szabály olyan incidensekre lesz érvényes, amelyek ip-címmezője bármit tartalmaz.

    Nem szeretnénk megakadályozni, hogy az elemzési szabályokra vonatkozzon ez az automatizálás, de azt sem szeretnénk, hogy az automatizálás szükségtelenül aktiválódjon, ezért az IP-cím entitásokat tartalmazó incidensekre korlátozzuk a lefedettséget.

    Képernyőkép egy automation-szabályhoz hozzáadandó feltétel definiálásáról.

  5. A Műveletek csoportban válassza a Forgatókönyv futtatása lehetőséget a legördülő listában.

  6. Válassza ki a megjelenő új legördülő elemet.

    Képernyőkép a forgatókönyv kiválasztásáról a forgatókönyvek listájából – 1. rész.

    Megjelenik az előfizetés összes forgatókönyvének listája. A kiszürkítettek azok, amelyekhez nincs hozzáférése. A Keresési forgatókönyvek szövegmezőben kezdje el beírni a fent létrehozott forgatókönyv nevét vagy bármely részét. A forgatókönyvek listája dinamikusan lesz szűrve minden beírt betűvel.

    Képernyőkép a forgatókönyv kiválasztásáról a forgatókönyvek listájából – 2. rész.

    Amikor megjelenik a forgatókönyv a listában, jelölje ki.

    Képernyőkép a forgatókönyv kiválasztásáról a forgatókönyvek listájából – 3. rész.

    Ha a forgatókönyv szürkítve jelenik meg, válassza a Forgatókönyv engedélyeinek kezelése hivatkozást (az alábbi finomnyomtatási bekezdésben, ahol kiválasztotta a forgatókönyvet – lásd a fenti képernyőképet). A megnyíló panelen válassza ki a forgatókönyvet tartalmazó erőforráscsoportot az elérhető erőforráscsoportok listájából, majd válassza az Alkalmaz lehetőséget.

  7. Válassza ismét a + Művelet hozzáadása lehetőséget . A megjelenő új művelet legördülő menüjében válassza a Címkék hozzáadása lehetőséget.

  8. Válassza a +Címke hozzáadása lehetőséget. Adja meg a "Tutorial-Enriched IP addresses" (Oktatóanyagokkal bővített IP-címek) szöveget a címke szövegeként, és válassza az OK gombot.

    Képernyőkép arról, hogyan adhat hozzá címkét egy automatizálási szabályhoz.

  9. Hagyja meg a többi beállítást, és válassza az Alkalmaz lehetőséget.

Sikeres automatizálás ellenőrzése

  1. Az Incidensek lapon írja be az Oktatóanyag–Bővített IP-címek címkeszövegét a keresősávba, és nyomja le az Enter billentyűt az incidensek listájának szűréséhez az adott címke alkalmazásával. Ezek azok az incidensek, amelyeken az automatizálási szabályunk futott.

  2. Nyisson meg egy vagy több ilyen incidenst, és ellenőrizze, hogy vannak-e megjegyzések az ott található IP-címekkel kapcsolatban. A megjegyzések jelenléte azt jelzi, hogy a forgatókönyv az incidensen futott.

Az erőforrások eltávolítása

Ha nem fogja használni ezt az automatizálási forgatókönyvet, törölje a létrehozott forgatókönyvet és automatizálási szabályt az alábbi lépésekkel:

  1. Az Automation lapon válassza az Aktív forgatókönyvek lapot.

  2. Adja meg a keresősávban létrehozott forgatókönyv nevét (vagy annak egy részét).
    (Ha nem jelenik meg, győződjön meg arról, hogy a szűrők a következőre vannak beállítva: Az összes kijelölése.)

  3. Jelölje be a forgatókönyv melletti jelölőnégyzetet a listában, és válassza a Törlés lehetőséget a felső szalagcímről.
    (Ha nem szeretné törölni, válassza a Tiltsa le helyette.)

  4. Válassza az Automation-szabályok lapot.

  5. Adja meg a keresősávban létrehozott automatizálási szabály nevét (vagy egy részét).
    (Ha nem jelenik meg, győződjön meg arról, hogy a szűrők a következőre vannak beállítva: Az összes kijelölése.)

  6. Jelölje be az automatizálási szabály melletti jelölőnégyzetet a listában, és válassza a Törlés lehetőséget a felső szalagcímről.
    (Ha nem szeretné törölni, válassza a Tiltsa le helyette.)

Kapcsolódó tartalom

Most, hogy megtanulta, hogyan automatizálhat egy alapszintű incidens-bővítési forgatókönyvet, többet tudhat meg az automatizálásról és más olyan forgatókönyvekről, amelyekben használhatja azt.