你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用非本机操作提取事件实体

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

实体映射使用任何调查过程和后续修正操作所必需的信息来丰富警报和事件。

Microsoft Sentinel playbook 包括以下本机操作来提取实体信息:

  • 帐户
  • DNS
  • 文件哈希
  • Hosts
  • Ip
  • URL

除了这些操作,分析规则实体映射还包含非本机操作的实体类型,如恶意软件、进程、注册表项、邮箱等。 本教程介绍如何使用不同的内置操作来处理非本机操作,以提取相关值。

在本教程中,你将了解如何:

  • 使用事件触发器创建 playbook,并在事件上手动运行它。
  • 初始化数组变量。
  • 从其他实体类型中筛选所需的实体类型。
  • 在 JSON 文件中分析结果。
  • 将值创建为动态内容以供将来使用。

重要

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验

先决条件

若要完成本教程,请确保:

  • Azure 订阅。 创建一个 免费帐户 (如果还没有)。

  • 在以下资源上分配了以下角色的Azure用户:

  • 对于本教程, (免费) VirusTotal 帐户 就足够了。 生产实现需要 VirusTotal Premium 帐户。

使用事件触发器创建 playbook

  1. 对于 Defender 门户中的Microsoft Sentinel,请选择“Microsoft Sentinel>配置>自动化”。 对于Azure 门户中的Microsoft Sentinel,请选择“配置>自动化”页。

  2. “自动化”页上,选择“使用事件触发器创建> Playbook”。

  3. “创建 playbook ”向导 的“基本信息”下,选择订阅和资源组,并为 playbook 命名。

  4. 选择“ 下一步:连接 >”。

    “连接”下,应显示Microsoft Sentinel - 使用托管标识连接进行连接。 例如:

    使用事件触发器创建新 playbook 的屏幕截图。

  5. 选择“ 下一步:查看”并创建 >

  6. 在“ 查看和创建”下,选择“ 创建并继续设计”。

    逻辑应用设计器打开一个逻辑应用,其中包含 playbook 的名称。

    在逻辑应用设计器中查看 playbook 的屏幕截图。

初始化 Array 变量

  1. 在逻辑应用设计器中,在要添加变量的步骤下,选择“ 新建步骤”。

  2. “选择操作”下的搜索框中,键入 变量 作为筛选器。 从操作列表中,选择 “初始化变量”。

  3. 提供有关变量的此信息:

    1. 对于变量名称,请使用 Entities

    2. 对于类型,选择“ 数组”。

    3. 对于该值,请将鼠标悬停在 “值 ”字段上,然后在左侧的蓝色图标组中选择 “fx ”。

      在逻辑应用设计器中初始化变量的屏幕截图。

    4. 在打开的对话框中,选择“ 动态内容 ”选项卡,并在搜索框中键入 实体

    5. 从列表中选择 “实体 ”,然后选择“ 添加”。

      在逻辑应用设计器中选择“实体”值的屏幕截图。

选择现有事件

  1. 在“Microsoft Sentinel”中,导航到“事件”,然后选择要对其运行 playbook 的事件。

  2. 在右侧的事件页中,选择 “操作 > ”“运行 playbook (预览) ”。

  3. “Playbook”下在创建的 playbook 旁边,选择“ 运行”。

    触发 playbook 时, Playbook 成功触发, 消息显示在右上角。

  4. 选择“ 运行”,然后在 playbook 旁边选择“ 查看运行”。

    逻辑应用运行页可见。

  5. “初始化变量”下,示例有效负载显示在 “值”下。 记下示例有效负载供以后使用。

    查看“值”字段下的示例有效负载的屏幕截图。

从其他实体类型筛选所需的实体类型

  1. 导航回到 “自动化 ”页,然后选择你的 playbook。

  2. 在要添加变量的步骤下,选择“ 新建步骤”。

  3. “选择操作”下的搜索框中,输入 筛选器数组 作为筛选器。 从操作列表中,选择“ 数据操作”。

    筛选数组和选择数据操作的屏幕截图。

  4. 提供有关筛选器数组的此信息:

    1. 在“>动态内容”下,选择之前初始化的 Entities 变量

    2. 选择左侧) 的第 一个“选择值 字段 (”,然后选择“ 表达式”。

    3. 将值 项粘贴 () ?['kind'],然后选择“ 确定”。

      填充筛选器数组表达式的屏幕截图。

    4. 保留 等于 值 (不要) 修改它。

    5. 在右侧) 的第二 个选择值 字段 (中,键入 Process。 这需要与系统中的值完全匹配。

      注意

      此查询区分大小写。 确保 kind 值与示例有效负载中的值匹配。 请参阅 创建 playbook 时的示例有效负载。

      填充筛选器数组信息的屏幕截图。

将结果分析为 JSON 文件

  1. 在逻辑应用中,在要添加变量的步骤下,选择“ 新建步骤”。

  2. 选择“ 数据操作>分析 JSON”。

    选择“数据操作”下的“分析 JSON”选项的屏幕截图。

  3. 提供有关操作的此信息:

    1. 选择“ 内容”,然后在“ 动态内容>筛选器”数组下,选择“ 正文”。

      在“内容”下选择“动态内容”的屏幕截图。

    2. “架构”下,粘贴 JSON 架构,以便可以从数组中提取值。 复制 创建 playbook 时生成的示例有效负载。

      复制示例有效负载的屏幕截图。

    3. 返回到 playbook,然后选择“ 使用示例有效负载生成架构”。

      选择“使用示例有效负载生成架构”的屏幕截图。

    4. 粘贴有效负载。 在架构开头添加一个左方括号 ([) ,并在架构 ]的末尾将其关闭。

      粘贴示例有效负载的屏幕截图。

      粘贴的示例有效负载的第二部分的屏幕截图。

    5. 选择“完成”。

将新值用作动态内容以供将来使用

现在,可以使用创建的值作为动态内容进行进一步的操作。 例如,如果要发送包含进程数据的电子邮件,可以在“动态内容”下找到“分析 JSON”操作(如果未更改操作名称)。

发送包含进程数据的电子邮件的屏幕截图。

确保你的 playbook 已保存

确保已保存 playbook,并且你现在可以将 playbook 用于 SOC 操作。

后续步骤

转到下一篇文章,了解如何使用 playbook 在Microsoft Sentinel中创建和执行事件任务。

使用 playbook 在 Microsoft Sentinel 中创建和执行事件任务

  • Last updated on