Bagikan melalui

Tutorial: Mengekstrak entitas insiden dengan tindakan non-asli

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Pemetaan entitas memperkaya pemberitahuan dan insiden dengan informasi penting untuk setiap proses investigasi dan tindakan perbaikan yang mengikutinya.

Playbook Microsoft Azure Sentinel menyertakan tindakan asli ini untuk mengekstrak info entitas:

  • Akun
  • DNS
  • Hash file
  • Host
  • IP
  • URL

Selain tindakan ini, pemetaan entitas aturan analitik berisi jenis entitas yang bukan tindakan asli, seperti malware, proses, kunci registri, kotak surat, dan banyak lagi. Dalam tutorial ini, Anda mempelajari cara bekerja dengan tindakan non-asli menggunakan tindakan bawaan yang berbeda untuk mengekstrak nilai yang relevan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Buat playbook dengan pemicu insiden dan jalankan secara manual pada insiden tersebut.
  • Menginisialisasi variabel array.
  • Filter jenis entitas yang diperlukan dari jenis entitas lain.
  • Uraikan hasil dalam file JSON.
  • Buat nilai sebagai konten dinamis untuk digunakan di masa mendatang.

Penting

Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Untuk menyelesaikan tutorial ini, pastikan Anda memiliki:

  • Langganan Azure. Buat akun gratis jika Anda belum memilikinya.

  • Pengguna Azure dengan peran berikut yang ditetapkan pada sumber daya berikut:

    • Kontributor Microsoft Azure Sentinel di ruang kerja Analitik Log tempat Microsoft Azure Sentinel disebarkan.
    • Kontributor Aplikasi Logika, dan Pemilik atau setara, pada grup sumber daya mana pun yang akan berisi playbook yang dibuat dalam tutorial ini.

  • Akun VirusTotal (gratis) sudah cukup untuk tutorial ini. Implementasi produksi memerlukan akun VirusTotal Premium.

Membuat playbook dengan pemicu insiden

  1. Untuk Microsoft Azure Sentinel di portal Azure, pilih halaman Otomatisasi Konfigurasi>. Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Otomatisasi Konfigurasi>Microsoft Sentinel.>

  2. Pada halaman Automation, pilih Buat>Playbook dengan pemicu insiden.

  3. Di wizard Buat playbook, di bawah Dasar, pilih grup langganan dan sumber daya, dan beri nama playbook.

  4. Pilih Berikutnya: Koneksi >.

    Di bawah Koneksi, Microsoft Sentinel - Sambungkan dengan koneksi identitas terkelola harus terlihat. Contohnya:

    Cuplikan layar membuat playbook baru dengan pemicu insiden.

  5. Pilih Berikutnya: Tinjau dan buat >.

  6. Di bawah Tinjau dan buat, pilih Buat dan lanjutkan ke perancang.

    Perancang aplikasi Logika membuka aplikasi logika dengan nama playbook Anda.

    Cuplikan layar menampilkan playbook di perancang aplikasi Logika.

Menginisialisasi variabel Array

  1. Di perancang aplikasi Logika, di bawah langkah tempat Anda ingin menambahkan variabel, pilih Langkah baru.

  2. Di bawah Pilih operasi, di kotak pencarian, ketik variabel sebagai filter Anda. Dari daftar tindakan, pilih Inisialisasi variabel.

  3. Berikan informasi ini tentang variabel Anda:

    • Untuk nama variabel, gunakan Entitas.

    • Untuk jenisnya, pilih Array.

    • Untuk nilai , mulai ketik entitas dan pilih Entitas di bawah Konten dinamis.

      Cuplikan layar menginisialisasi variabel Array.

Pilih insiden yang sudah ada

  1. Di Microsoft Azure Sentinel, navigasikan ke Insiden dan pilih insiden tempat Anda ingin menjalankan playbook.

  2. Di halaman insiden di sebelah kanan, pilih Tindakan > Jalankan playbook (Pratinjau).

  3. Di bawah Playbook, di samping playbook yang Anda buat, pilih Jalankan.

    Saat playbook dipicu, Playbook berhasil dipicu pesan terlihat di kanan atas.

  4. Pilih Jalankan, dan di samping playbook Anda, pilih Tampilkan Jalankan.

    Halaman Eksekusi aplikasi logika terlihat.

  5. Di bawah Inisialisasi variabel, payload sampel terlihat di bawah Nilai. Perhatikan contoh payload untuk digunakan nanti.

    Cuplikan layar menampilkan payload sampel di bawah bidang Nilai.

Memfilter jenis entitas yang diperlukan dari jenis entitas lain

  1. Navigasi kembali ke halaman Automation dan pilih playbook Anda.

  2. Di bawah langkah di mana Anda ingin menambahkan variabel, pilih Langkah baru.

  3. Di bawah Pilih tindakan, di kotak pencarian, masukkan array filter sebagai filter Anda. Dari daftar tindakan, pilih Operasi data.

    Cuplikan layar pemfilteran array dan memilih operasi data.

  4. Berikan informasi ini tentang array filter Anda:

    1. Di bawah Dari>Konten dinamis, pilih variabel Entitas yang Anda inisialisasi sebelumnya.

    2. Pilih bidang Pilih nilai pertama (di sebelah kiri), dan pilih Ekspresi.

    3. Tempel item nilai ()?[' kind'], dan pilih OK.

      Cuplikan layar mengisi ekspresi array filter.

    4. Biarkan sama dengan nilai (jangan ubah).

    5. Di bidang Pilih nilai kedua (di sebelah kanan), ketik Proses. Ini harus sama persis dengan nilai dalam sistem.

      Catatan

      Kueri ini peka huruf besar/kecil. Pastikan bahwa kind nilai cocok dengan nilai dalam payload sampel. Lihat contoh payload dari saat Anda membuat playbook.

      Cuplikan layar mengisi informasi array filter.

Mengurai hasil ke file JSON

  1. Di aplikasi logika Anda, di bawah langkah tempat Anda ingin menambahkan variabel, pilih Langkah baru.

  2. Pilih Operasi data Uraikan>JSON.

    Cuplikan layar memilih opsi Urai JSON di bawah Operasi Data.

  3. Berikan informasi ini tentang operasi Anda:

    1. Pilih Konten, dan di bawah Array Filter konten>dinamis, pilih Isi.

      Cuplikan layar memilih Konten dinamis di bawah Konten.

    2. Di bawah Skema, tempelkan skema JSON sehingga Anda dapat mengekstrak nilai dari array. Salin contoh payload yang Anda buat saat membuat playbook.

      Cuplikan layar menyalin payload sampel.

    3. Kembali ke playbook, dan pilih Gunakan payload sampel untuk menghasilkan skema.

      Cuplikan layar memilih Gunakan contoh payload untuk menghasilkan skema.

    4. Tempel payload. Tambahkan kurung siku pembuka ([) di awal skema dan tutup di akhir skema ].

      Cuplikan layar menempelkan payload sampel.

      Cuplikan layar bagian kedua dari payload sampel yang ditempelkan.

    5. Pilih Selesai.

Gunakan nilai baru sebagai konten dinamis untuk digunakan di masa mendatang

Sekarang Anda dapat menggunakan nilai yang Anda buat sebagai konten dinamis untuk tindakan lebih lanjut. Misalnya, jika Anda ingin mengirim email dengan data proses, Anda dapat menemukan tindakan Urai JSON di bawah Konten dinamis, jika Anda tidak mengubah nama tindakan.

Cuplikan layar pengiriman email dengan data proses.

Pastikan playbook Anda disimpan

Pastikan playbook disimpan, dan Anda sekarang dapat menggunakan playbook untuk operasi SOC.

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk mempelajari cara membuat dan melakukan tugas insiden di Microsoft Azure Sentinel menggunakan playbook.

Membuat dan melakukan tugas insiden di Microsoft Azure Sentinel menggunakan playbook