Condividi tramite


Esercitazione: estrarre entità evento imprevisto con azioni non native

Il mapping delle entità arricchisce gli avvisi e gli eventi imprevisti con informazioni essenziali per qualsiasi processo investigativo e azioni correttive che seguono.

I playbook di Microsoft Sentinel includono queste azioni native per estrarre le informazioni sulle entità:

  • Account
  • DNS
  • Hash dei file
  • Hosts
  • Indirizzi IP
  • URL

Oltre a queste azioni, il mapping delle entità delle regole di analisi contiene tipi di entità che non sono azioni native, ad esempio malware, processo, chiave del Registro di sistema, cassetta postale e altro ancora. In questa esercitazione si apprenderà come usare azioni non native usando diverse azioni predefinite per estrarre i valori pertinenti.

In questa esercitazione apprenderai a:

  • Creare un playbook con un trigger di evento imprevisto ed eseguirlo manualmente sull'evento imprevisto.
  • Inizializzare una variabile di matrice.
  • Filtrare il tipo di entità richiesto da altri tipi di entità.
  • Analizzare i risultati in un file JSON.
  • Creare i valori come contenuto dinamico per un uso futuro.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per completare questa esercitazione, accertarsi di avere:

  • Una sottoscrizione di Azure. Creare un account gratuito, se non ne è già disponibile uno.

  • Un utente di Azure con i ruoli seguenti assegnati alle risorse seguenti:

  • Un account VirusTotal (gratuito) sarà sufficiente per questa esercitazione. Un'implementazione di produzione richiede un account VirusTotal Premium.

Creare un playbook con un trigger di eventi imprevisti

  1. Per Microsoft Sentinel nel portale di Azure, selezionare la pagina Configurazione>Automazione . Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Configurazione>Automazione .

  2. Nella pagina Automazione selezionare Crea>playbook con trigger di eventi imprevisti.

  3. Nella procedura guidata Crea playbook , in Informazioni di base selezionare la sottoscrizione e il gruppo di risorse e assegnare un nome al playbook.

  4. Selezionare Avanti: Connessioni >.

    In Connessioni, la connessione Microsoft Sentinel - Connettersi con identità gestita deve essere visibile. Ad esempio:

    Screenshot della creazione di un nuovo playbook con un trigger di evento imprevisto.

  5. Selezionare Avanti: Rivedi e crea>.

  6. In Rivedi e crea, selezionare Crea e passa alla finestra di progettazione.

    Progettazione app per la logica apre un'app per la logica con il nome del playbook.

    Screenshot della visualizzazione del playbook nella finestra di progettazione dell'app per la logica.

Inizializzare una Variabile di matrice.

  1. Nella finestra di progettazione dell'app per la logica, nel passaggio in cui si vuole aggiungere una variabile, selezionare Nuovo passaggio.

  2. In Scegliere un'operazione, digitare variabili come filtro. Nell'elenco delle azioni, selezionare Inizializza variabile.

  3. Fornire queste informazioni sulla variabile:

    • Per il nome della variabile, usare Entità.

    • Per il tipo, selezionare Matrice.

    • Per il valore iniziare a digitare Entità e selezionare Entità in Contenuto dinamico.

      Screenshot dell'inizializzazione di una variabile Array.

Selezionare un evento imprevisto esistente

  1. In Microsoft Sentinel, passare a Eventi imprevisti e selezionare un evento imprevisto in cui si vuole eseguire il playbook.

  2. Nella pagina dell'evento imprevisto a destra, selezionare Azioni > Esegui playbook (Anteprima).

  3. In Playbook, accanto al playbook creato, selezionare Esegui.

    Quando viene attivato il playbook, il messaggio Playbook viene attivato correttamente è visibile in alto a destra.

  4. Selezionare Esecuzioni e accanto al playbook selezionare Visualizza esecuzione.

    La pagina Esecuzione dell'app per la logica è visibile.

  5. In Inizializzare la variabile, il payload di esempio è visibile in Valore. Si noti il payload di esempio per un uso successivo.

    Screenshot della visualizzazione del payload di esempio nel campo Valore.

Filtrare il tipo di entità richiesto da altri tipi di entità

  1. Tornare alla pagina Automazione e selezionare il playbook.

  2. Nel passaggio in cui si vuole aggiungere una variabile selezionare Nuovo passaggio.

  3. In Scegliere un'azione, nella casella di ricerca immettere matrice di filtri come filtro. Nell'elenco delle azioni selezionare Operazioni dati.

    Screenshot del filtro di una matrice e della selezione delle operazioni di dati.

  4. Fornire queste informazioni sulla matrice di filtri:

    1. In Da>Contenuto dinamico, selezionare la variabile Entità inizializzata in precedenza.

    2. Selezionare il primo campo Scegliere un valore (a sinistra) e selezionare Espressione.

    3. Incollare il valore item()? ['kind'] e selezionare OK.

      Screenshot della compilazione dell'espressione della matrice di filtri.

    4. Lasciare il valore uguale a (non modificarlo).

    5. Nel secondo campo Scegliere un valore (a destra), digitare Processo. Deve essere una corrispondenza esatta con il valore nel sistema.

      Nota

      Questa query fa distinzione tra maiuscole e minuscole. Assicurarsi che il valore kind corrisponda al valore nel payload di esempio. Vedere il payload di esempio da quando si crea un playbook.

      Screenshot della compilazione delle informazioni sulla matrice di filtri.

Analizzare i risultati in un file JSON

  1. Nell'app per la logica, nel passaggio in cui si vuole aggiungere una variabile, selezionare Nuovo passaggio.

  2. Selezionare Operazioni dati>Analizza JSON.

    Screenshot della selezione dell'opzione Analizza JSON in Operazioni dati.

  3. Fornire queste informazioni sull'operazione:

    1. Selezionare Contenuto e in Contenuto dinamico>Matrice filtro, selezionare Corpo.

      Screenshot della selezione del contenuto dinamico in Contenuto.

    2. In Schema, incollare uno schema JSON in modo da poter estrarre valori da una matrice. Copiare il payload di esempio generato quando si crea il playbook.

      Screenshot della copia del payload di esempio.

    3. Tornare al playbook e selezionare Usa payload di esempio per generare lo schema.

      Screenshot della selezione Usa payload di esempio per generare lo schema.

    4. Incollare il payload. Aggiungere una parentesi quadra aperta ([) all'inizio dello schema e chiuderla alla fine dello schema ].

      Screenshot dell'inserimento del payload di esempio.

      Screenshot della seconda parte del payload di esempio incollato.

    5. Selezionare Fatto.

Usare i nuovi valori come contenuto dinamico per un uso futuro

È ora possibile usare i valori creati come contenuto dinamico per altre azioni. Ad esempio, se si vuole inviare un messaggio di posta elettronica con dati di elaborazione, è possibile trovare l'azione Analisi JSON in Contenuto dinamico, se non è stato modificato il nome dell'azione.

Screenshot dell'invio di un messaggio di posta elettronica con i dati del processo.

Assicurarsi che il playbook sia salvato

Assicurarsi che il playbook sia salvato ed è ora possibile usare il playbook per le operazioni SOC.

Passaggi successivi

Passare all'articolo successivo per informazioni su come creare ed eseguire attività di eventi imprevisti in Microsoft Sentinel usando playbook.