Bagikan melalui

Tutorial: Memeriksa dan merekam informasi reputasi alamat IP secara otomatis dalam insiden

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Salah satu cara cepat dan mudah untuk menilai tingkat keparahan insiden adalah dengan melihat apakah ada alamat IP di dalamnya yang diketahui sebagai sumber aktivitas berbahaya. Memiliki cara untuk melakukan ini secara otomatis dapat menghemat banyak waktu dan upaya Anda.

Dalam tutorial ini, Anda akan mempelajari cara menggunakan aturan otomatisasi dan playbook Microsoft Azure Sentinel untuk secara otomatis memeriksa alamat IP dalam insiden Anda terhadap sumber inteligensi ancaman dan merekam setiap hasilnya dalam insiden yang relevan.

Ketika Anda menyelesaikan tutorial ini, Anda akan dapat:

  • Membuat playbook dari templat
  • Mengonfigurasi dan mengotorisasi koneksi playbook ke sumber daya lain
  • Membuat aturan otomatisasi untuk memanggil playbook
  • Lihat hasil proses otomatis Anda

Penting

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Untuk menyelesaikan tutorial ini, pastikan Anda memiliki:

  • Langganan Azure. Buat akun gratis jika Anda belum memilikinya.

  • Ruang kerja Analitik Log dengan solusi Microsoft Azure Sentinel yang disebarkan di dalamnya dan data yang diserap ke dalamnya.

  • Pengguna Azure dengan peran berikut yang ditetapkan pada sumber daya berikut:

    • Kontributor Microsoft Azure Sentinel di ruang kerja Analitik Log tempat Microsoft Azure Sentinel disebarkan.
    • Kontributor Aplikasi Logika, dan Pemilik atau setara, pada grup sumber daya mana pun yang akan berisi playbook yang dibuat dalam tutorial ini.

  • Solusi VirusTotal terinstal dari Hub Konten

  • Akun VirusTotal (gratis) sudah cukup untuk tutorial ini. Implementasi produksi memerlukan akun VirusTotal Premium.

  • Agen Azure Monitor diinstal pada setidaknya satu komputer di lingkungan Anda, sehingga insiden dihasilkan dan dikirim ke Microsoft Azure Sentinel.

Membuat playbook dari templat

Microsoft Sentinel menyertakan templat playbook siap pakai dan siap pakai yang dapat Anda sesuaikan dan gunakan untuk mengotomatiskan sejumlah besar tujuan dan skenario SecOps dasar. Mari kita temukan untuk memperkaya informasi alamat IP dalam insiden kita.

  1. Di Microsoft Azure Sentinel, pilih Otomatisasi Konfigurasi>.

  2. Dari halaman Automation, pilih tab Templat playbook (Pratinjau).

  3. Temukan dan pilih salah satu templat laporan Pengayaan IP - Total Virus, untuk pemicu entitas, insiden, atau pemberitahuan. Jika diperlukan, filter daftar menurut tag Pengayaan untuk menemukan templat Anda.

  4. Pilih Buat playbook dari panel detail. Contohnya:

    Cuplikan layar pengayaan IP - Laporan Total Virus - Templat Pemicu Entitas dipilih.

  5. Wizard Buat playbook akan terbuka. Di tab Dasar:

    1. Pilih Langganan, Grup sumber daya, dan Wilayah Anda dari daftar drop-down masing-masing.

    2. Edit nama Playbook dengan menambahkan ke akhir nama yang disarankan "Get-VirusTotalIPReport". Dengan cara ini Anda akan dapat mengetahui templat asli asal playbook ini, sambil tetap memastikan bahwa playbook ini memiliki nama unik jika Anda ingin membuat playbook lain dari templat yang sama ini. Sebut saja "Get-VirusTotalIPReport-Tutorial-1".

    3. Biarkan opsi Aktifkan log diagnostik di Analitik Log tidak dicentang.

    4. Pilih Berikutnya : Koneksi >.

  6. Di tab Koneksi , Anda akan melihat semua koneksi yang perlu dibuat playbook ini ke layanan lain, dan metode autentikasi yang akan digunakan jika koneksi telah dibuat dalam alur kerja Aplikasi Logika yang ada di grup sumber daya yang sama.

    1. Biarkan koneksi Microsoft Azure Sentinel apa adanya (harus mengatakan "Sambungkan dengan identitas terkelola").

    2. Jika ada koneksi yang mengatakan "Koneksi baru akan dikonfigurasi," Anda akan diminta untuk melakukannya pada tahap tutorial berikutnya. Atau, jika Anda sudah memiliki koneksi ke sumber daya ini, pilih panah perluas di sebelah kiri koneksi dan pilih koneksi yang ada dari daftar yang diperluas. Untuk latihan ini, kita akan membiarkannya apa adanya.

      Cuplikan layar tab Koneksi dari wizard pembuatan playbook.

    3. Pilih Berikutnya : Tinjau dan buat >.

  7. Di tab Tinjau dan buat , tinjau semua informasi yang telah Anda masukkan seperti yang ditampilkan di sini, dan pilih Buat playbook.

    Cuplikan layar tab Tinjau dan buat dari wizard pembuatan playbook.

    Saat playbook disebarkan, Anda akan melihat serangkaian pemberitahuan cepat tentang kemajuannya. Kemudian perancang aplikasi Logika akan terbuka dengan playbook Anda ditampilkan. Kita masih perlu mengotorisasi koneksi aplikasi logika ke sumber daya yang berinteraksi dengannya sehingga playbook dapat berjalan. Kemudian kita akan meninjau setiap tindakan di playbook untuk memastikan tindakan tersebut cocok untuk lingkungan kita, membuat perubahan jika perlu.

    Cuplikan layar playbook terbuka di jendela perancang aplikasi logika.

Mengotorisasi koneksi aplikasi logika

Ingat bahwa ketika kami membuat playbook dari templat, kami diberi tahu bahwa Pengumpul Data Azure Log Analytics dan koneksi Total Virus akan dikonfigurasi nanti.

Cuplikan layar tinjau informasi dari wizard pembuatan playbook.

Di sinilah kita melakukan itu.

Mengotorisasi koneksi Total Virus

  1. Pilih untuk setiap tindakan untuk memperluasnya dan meninjau kontennya, yang mencakup tindakan yang akan dilakukan untuk setiap alamat IP. Contohnya:

    Cuplikan layar tindakan pernyataan perulangan for-each di perancang aplikasi logika.

  2. Item tindakan pertama yang Anda lihat berlabel Koneksi dan memiliki segitiga peringatan oranye.

    Jika sebaliknya, tindakan pertama tersebut diberi label Dapatkan laporan IP (Pratinjau), itu berarti Anda sudah memiliki koneksi yang ada ke Total Virus dan Anda dapat masuk ke langkah berikutnya.

    1. Pilih tindakan Koneksi untuk membukanya.

    2. Pilih ikon di kolom Tidak Valid untuk koneksi yang ditampilkan.

      Cuplikan layar konfigurasi koneksi Total Virus yang tidak valid.

      Anda akan dimintai informasi koneksi.

      Cuplikan layar memperlihatkan cara memasukkan kunci API dan detail koneksi lainnya untuk Total Virus.

    3. Masukkan "Total Virus" sebagai Nama koneksi.

    4. Untuk x-api_key, salin dan tempel kunci API dari akun Total Virus Anda.

    5. Pilih Perbarui.

    6. Sekarang Anda akan melihat tindakan Dapatkan laporan IP (Pratinjau) dengan benar. (Jika Anda sudah memiliki akun Total Virus, Anda sudah berada di tahap ini.)

      Cuplikan layar memperlihatkan tindakan untuk mengirimkan alamat IP ke Total Virus untuk menerima laporan tentang hal itu.

Mengotorisasi koneksi Analitik Log

Tindakan berikutnya adalah Kondisi yang menentukan tindakan perulangan for-each lainnya berdasarkan hasil laporan alamat IP. Ini menganalisis skor Reputasi yang diberikan ke alamat IP dalam laporan. Skor yang lebih tinggi dari 0 menunjukkan alamat tidak berbahaya; skor yang lebih rendah dari 0 menunjukkan bahwa itu berbahaya.

Cuplikan layar tindakan kondisi di perancang aplikasi logika.

Apakah kondisinya benar atau salah, kami ingin mengirim data dalam laporan ke tabel di Analitik Log sehingga dapat dikueri dan dianalisis, dan menambahkan komentar ke insiden tersebut.

Tetapi seperti yang akan Anda lihat, kami memiliki lebih banyak koneksi yang tidak valid yang perlu kami otorisasi.

Cuplikan layar memperlihatkan skenario benar dan salah untuk kondisi yang ditentukan.

  1. Pilih tindakan Koneksi di bingkai True.

  2. Pilih ikon di kolom Tidak Valid untuk koneksi yang ditampilkan.

    Cuplikan layar konfigurasi koneksi Analitik Log yang tidak valid.

    Anda akan dimintai informasi koneksi.

    Cuplikan layar memperlihatkan cara memasukkan ID Ruang Kerja dan kunci serta detail koneksi lainnya untuk Analitik Log.

  3. Masukkan "Analitik Log" sebagai Nama koneksi.

  4. Untuk ID Ruang Kerja, salin dan tempel ID dari halaman Gambaran Umum pengaturan ruang kerja Analitik Log.

  5. Pilih Perbarui.

  6. Sekarang Anda akan melihat tindakan Kirim data dengan benar. (Jika Anda sudah memiliki koneksi Log Analytics dari Logic Apps, Anda sudah berada di tahap ini.)

    Cuplikan layar memperlihatkan tindakan untuk mengirim catatan laporan Total Virus ke tabel di Analitik Log.

  7. Sekarang pilih tindakan Koneksi di bingkai False . Tindakan ini menggunakan koneksi yang sama dengan yang ada di bingkai True.

  8. Verifikasi koneksi yang disebut Analitik Log ditandai, dan pilih Batal. Ini memastikan bahwa tindakan sekarang akan ditampilkan dengan benar di playbook.

    Cuplikan layar konfigurasi koneksi Log Analytics kedua yang tidak valid.

    Sekarang Anda akan melihat seluruh playbook Anda, dikonfigurasi dengan benar.

  9. Sangat penting! Jangan lupa untuk memilih Simpan di bagian atas jendela perancang aplikasi Logika. Setelah Anda melihat pesan pemberitahuan bahwa playbook Anda berhasil disimpan, Anda akan melihat playbook Anda tercantum di tab Playbook aktif* di halaman Automation .

Membuat aturan otomatisasi

Sekarang, untuk benar-benar menjalankan playbook ini, Anda harus membuat aturan otomatisasi yang akan berjalan ketika insiden dibuat dan memanggil playbook.

  1. Dari halaman Automation , pilih + Buat dari banner atas. Dari menu drop-down, pilih Aturan otomatisasi.

    Cuplikan layar pembuatan aturan otomatisasi dari halaman Automation.

  2. Di panel Buat aturan otomatisasi baru, beri nama aturan "Tutorial: Memperkaya info IP".

    Cuplikan layar membuat aturan otomatisasi, menamainya, dan menambahkan kondisi.

  3. Di bawah Kondisi, pilih + Tambahkan dan Kondisi (Dan).

    Cuplikan layar menambahkan kondisi ke aturan otomatisasi.

  4. Pilih Alamat IP dari menu drop-down properti di sebelah kiri. Pilih Berisi dari drop-down operator, dan biarkan bidang nilai kosong. Ini secara efektif berarti bahwa aturan akan berlaku untuk insiden yang memiliki bidang alamat IP yang berisi apa pun.

    Kami tidak ingin menghentikan aturan analitik apa pun agar tidak tercakup oleh otomatisasi ini, tetapi kami juga tidak ingin otomatisasi dipicu secara tidak perlu, jadi kami akan membatasi cakupan insiden yang berisi entitas alamat IP.

    Cuplikan layar menentukan kondisi untuk ditambahkan ke aturan otomatisasi.

  5. Di bawah Tindakan, pilih Jalankan playbook dari menu drop-down.

  6. Pilih menu drop-down baru yang muncul.

    Cuplikan layar memperlihatkan cara memilih playbook Anda dari daftar playbook - bagian 1.

    Anda akan melihat daftar semua playbook di langganan Anda. Yang berwarna abu-abu adalah mereka yang tidak dapat Anda akses. Di kotak teks Cari playbook , mulai ketik nama - atau bagian mana pun dari nama - dari playbook yang kami buat di atas. Daftar playbook akan difilter secara dinamis dengan setiap huruf yang Anda ketik.

    Cuplikan layar memperlihatkan cara memilih playbook Anda dari daftar playbook - bagian 2.

    Saat Anda melihat playbook Anda dalam daftar, pilih playbook tersebut.

    Cuplikan layar memperlihatkan cara memilih playbook Anda dari daftar playbook - bagian 3.

    Jika playbook berwarna abu-abu, pilih tautan Kelola izin playbook (di paragraf cetak halus di bawah tempat Anda memilih playbook - lihat cuplikan layar di atas). Di panel yang terbuka, pilih grup sumber daya yang berisi playbook dari daftar grup sumber daya yang tersedia, lalu pilih Terapkan.

  7. Pilih + Tambahkan tindakan lagi. Sekarang, dari menu drop-down tindakan baru yang muncul, pilih Tambahkan tag.

  8. Pilih + Tambahkan tag. Masukkan "Alamat IP yang Diperkaya Tutorial" sebagai teks tag dan pilih OK.

    Cuplikan layar memperlihatkan cara menambahkan tag ke aturan otomatisasi.

  9. Biarkan pengaturan yang tersisa apa adanya, dan pilih Terapkan.

Memverifikasi otomatisasi yang berhasil

  1. Di halaman Insiden , masukkan teks tag Alamat IP yang Diperkaya Tutorial ke bilah Pencarian dan tekan tombol Enter untuk memfilter daftar insiden dengan tag tersebut diterapkan. Ini adalah insiden yang dijalankan oleh aturan otomatisasi kami.

  2. Buka satu atau beberapa insiden ini dan lihat apakah ada komentar tentang alamat IP di sana. Kehadiran komentar ini menunjukkan bahwa playbook berjalan pada insiden.

Membersihkan sumber daya

Jika Anda tidak akan terus menggunakan skenario otomatisasi ini, hapus aturan playbook dan otomatisasi yang Anda buat dengan langkah-langkah berikut:

  1. Di halaman Automation , pilih tab Playbook aktif.

  2. Masukkan nama (atau bagian dari nama) playbook yang Anda buat di bilah Pencarian .
    (Jika tidak muncul, pastikan filter apa pun diatur ke Pilih semua.)

  3. Tandai kotak centang di samping playbook Anda dalam daftar, dan pilih Hapus dari banner atas.
    (Jika Anda tidak ingin menghapusnya, Anda dapat memilih Nonaktifkan sebagai gantinya.)

  4. Pilih tab Aturan otomatisasi.

  5. Masukkan nama (atau bagian dari nama) aturan otomatisasi yang Anda buat di bilah Pencarian .
    (Jika tidak muncul, pastikan filter apa pun diatur ke Pilih semua.)

  6. Tandai kotak centang di samping aturan otomatisasi Anda dalam daftar, dan pilih Hapus dari banner atas.
    (Jika Anda tidak ingin menghapusnya, Anda dapat memilih Nonaktifkan sebagai gantinya.)

Konten terkait

Sekarang setelah Anda mempelajari cara mengotomatiskan skenario pengayaan insiden dasar, pelajari selengkapnya tentang otomatisasi dan skenario lain yang dapat Anda gunakan.