Megosztás a következőn keresztül:

Oktatóanyag: Incidensentitások kinyerése nem natív műveletekkel

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az entitásleképezés a riasztásokat és az incidenseket minden olyan vizsgálati folyamathoz és szervizelési művelethez nélkülözhetetlen információval bővíti, amely a következő lépésekhez szükséges.

A Microsoft Sentinel forgatókönyvei közé tartoznak az entitásadatok kinyerésére vonatkozó natív műveletek:

  • Számlák
  • DNS
  • Fájlkivonatok
  • Hosts
  • Ips
  • URL-címek

Ezen műveletek mellett az elemzési szabály entitás-leképezése olyan entitástípusokat is tartalmaz, amelyek nem natív műveletek, például kártevők, folyamatok, beállításkulcs, postaláda stb. Ebben az oktatóanyagban megtudhatja, hogyan használhat nem natív műveleteket különböző beépített műveletekkel a releváns értékek kinyeréséhez.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Hozzon létre egy forgatókönyvet egy incidensindítóval, és futtassa manuálisan az incidensen.
  • Tömbváltozó inicializálása.
  • Szűrje a szükséges entitástípust más entitástípusokból.
  • Elemezni kell az eredményeket egy JSON-fájlban.
  • Az értékeket dinamikus tartalomként hozhatja létre későbbi használatra.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Az oktatóanyag elvégzéséhez győződjön meg arról, hogy rendelkezik a következőkkel:

Forgatókönyv létrehozása incidensindítóval

  1. A Microsoft Sentinel esetében az Azure Portalon válassza a Configuration>Automation lapot. Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Configuration>Automation lehetőséget.

  2. Az Automation lapon válassza a Forgatókönyv létrehozása>incidensindítóval lehetőséget.

  3. A Forgatókönyv létrehozása varázsló Alapszintű beállítások csoportjában válassza ki az előfizetést és az erőforráscsoportot, és adjon nevet a forgatókönyvnek.

  4. Válassza a Következő: Kapcsolatok >lehetőséget.

    A Kapcsolatok területen láthatónak kell lennie a Microsoft Sentinel – Csatlakozás felügyelt identitáskapcsolattal. Példa:

    Képernyőkép egy új forgatókönyv létrehozásáról incidensindítóval.

  5. Válassza a Tovább elemet : Áttekintés és létrehozás >.

  6. A Véleményezés és létrehozás csoportban válassza a Létrehozás lehetőséget, és folytassa a tervezőt.

    A logikai alkalmazás tervezője megnyit egy logikai alkalmazást a forgatókönyv nevével.

    Képernyőkép a forgatókönyv megtekintéséről a Logikai alkalmazás tervezőjében.

Tömbváltozó inicializálása

  1. A Logikai alkalmazás tervezőjében válassza az Új lépés lehetőséget abban a lépésben, amelyben változót szeretne hozzáadni.

  2. A Művelet kiválasztása csoportban a keresőmezőbe írja be a változókat szűrőként. A műveletek listájában válassza a Változó inicializálása lehetőséget.

  3. Adja meg ezt az információt a változóról:

    • A változó nevéhez használja az Entitások parancsot.

    • A típushoz válassza a Tömb lehetőséget.

    • Az értékhez kezdje el beírni az entitásokat, és válassza az Entitások lehetőséget a Dinamikus tartalom területen.

      Képernyőkép egy tömbváltozó inicializálásáról.

Meglévő incidens kiválasztása

  1. A Microsoft Sentinelben lépjen az Incidensek elemre, és válassza ki azt az incidenst, amelyen futtatni szeretné a forgatókönyvet.

  2. A jobb oldali incidensoldalon válassza az Actions > Run forgatókönyvet (előzetes verzió).

  3. A Forgatókönyvek területen a létrehozott forgatókönyv mellett válassza a Futtatás lehetőséget.

    A forgatókönyv aktiválásakor a forgatókönyv aktiválása sikeres , a jobb felső sarokban látható üzenet jelenik meg.

  4. Válassza a Futtatások lehetőséget, majd a forgatókönyv mellett válassza a Futtatás megtekintése lehetőséget.

    A Logikai alkalmazás futtatási lapja látható.

  5. Az Inicializálás változó alatt a minta hasznos adata látható az Érték területen. Jegyezze fel a minta hasznos adatait későbbi használatra.

    Képernyőkép a minta hasznos adatainak az Érték mező alatti megtekintéséről.

A szükséges entitástípus szűrése más entitástípusokból

  1. Lépjen vissza az Automation lapra, és válassza ki a forgatókönyvet.

  2. A változó hozzáadásához használt lépés alatt válassza az Új lépés lehetőséget.

  3. A Művelet kiválasztása csoportban a keresőmezőbe írja be a szűrőtömböt szűrőként. A műveletek listájában válassza az Adatműveletek lehetőséget.

    Képernyőkép egy tömb szűréséről és az adatműveletek kiválasztásáról.

  4. Adja meg ezt az információt a szűrőtömbről:

    1. A Dinamikus tartalomból> csoportban válassza ki a korábban inicializált Entitások változót.

    2. Válassza ki az első Érték kiválasztása mezőt (a bal oldalon), majd válassza a Kifejezés lehetőséget.

    3. Illessze be az értékelemet ()?? kind", majd válassza az OK gombot.

      Képernyőkép a szűrőtömb kifejezésének kitöltéséről.

    4. Hagyja meg az értéket (ne módosítsa).

    5. A második Válassza ki az érték mezőt (a jobb oldalon) írja be a Folyamat parancsot. Ennek pontosan meg kell egyeznie a rendszer értékével.

      Feljegyzés

      Ez a lekérdezés megkülönbözteti a kis- és nagybetűk megkülönböztetettségét. Győződjön meg arról, hogy az kind érték megegyezik a minta hasznos adatainak értékével. A minta hasznos adatainak megtekintése forgatókönyv létrehozásakor.

      Képernyőkép a szűrőtömb adatainak kitöltéséről.

Az eredmények elemzése JSON-fájlba

  1. A logikai alkalmazásban válassza az Új lépés lehetőséget abban a lépésben, amelyben változót szeretne hozzáadni.

  2. Válassza az Adatműveletek>elemzése JSON-t.

    Képernyőkép az Adatműveletek területen található JSON-elemzési lehetőség kiválasztásáról.

  3. Adja meg ezt az információt a műveletről:

    1. Válassza a Tartalom lehetőséget, majd a Dinamikus tartalomszűrő>tömbben válassza a Törzs lehetőséget.

      Képernyőkép a Dinamikus tartalom kiválasztásáról a Tartalom területen.

    2. A Séma területen illessze be a JSON-sémát, hogy értékeket nyerhesse ki egy tömbből. Másolja ki a forgatókönyv létrehozásakor létrehozott hasznos adatokat.

      Képernyőkép a minta hasznos adatainak másolásáról.

    3. Térjen vissza a forgatókönyvhöz, és válassza a Minta hasznos adat használata séma létrehozásához lehetőséget.

      Képernyőkép a Séma létrehozása minta hasznos adat használata lehetőség kiválasztásáról.

    4. Illessze be a hasznos adatokat. Adjon hozzá egy nyitó szögletes zárójelet ([) a séma elején, és zárja be őket a séma ]végén.

      Képernyőkép a minta hasznos adatainak beillesztéséről.

      Képernyőkép a beillesztett minta hasznos adatainak második részéről.

    5. Válassza a Kész lehetőséget.

Az új értékek használata dinamikus tartalomként későbbi használatra

A létrehozott értékeket mostantól dinamikus tartalomként használhatja további műveletekhez. Ha például folyamatadatokat tartalmazó e-mailt szeretne küldeni, a JSON-elemzési műveletet a Dinamikus tartalom területen találja, ha nem módosította a művelet nevét.

Képernyőkép a folyamatadatokkal rendelkező e-mailek küldéséről.

Győződjön meg arról, hogy a forgatókönyv mentése megtörtént

Győződjön meg arról, hogy a forgatókönyv mentve van, és most már használhatja a forgatókönyvet SOC-műveletekhez.

Következő lépések

A következő cikkből megtudhatja, hogyan hozhat létre és hajthat végre incidensfeladatokat a Microsoft Sentinelben forgatókönyvek használatával.

Incidensfeladatok létrehozása és végrehajtása a Microsoft Sentinelben forgatókönyvek használatával