Öğretici: Yerel olmayan eylemlerle olay varlıklarını ayıklama

Varlık eşlemesi, uyarıları ve olayları, izleyen tüm araştırma işlemleri ve düzeltici eylemler için gerekli bilgilerle zenginleştirir.

Microsoft Sentinel playbook'ları varlık bilgilerini ayıklamak için şu yerel eylemleri içerir:

• Hesaplar
• DNS
• Dosya karmaları
• Ana bilgisayarlar
• Ips
• URL'ler

Bu eylemlere ek olarak, analiz kuralı varlık eşlemesi kötü amaçlı yazılım, işlem, kayıt defteri anahtarı, posta kutusu ve daha fazlası gibi yerel eylemler olmayan varlık türlerini içerir. Bu öğreticide, ilgili değerleri ayıklamak için farklı yerleşik eylemleri kullanarak yerel olmayan eylemlerle çalışmayı öğreneceksiniz.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

Önkoşullar

Bu öğreticiyi tamamlamak için şunlar sahip olduğunuzdan emin olun:

• Azure aboneliği. Henüz bir hesabınız yoksa ücretsiz bir hesap oluşturun.

• Aşağıdaki kaynaklara aşağıdaki roller atanmış bir Azure kullanıcısı:

  • Microsoft Sentinel'in dağıtıldığı Log Analytics çalışma alanında Microsoft Sentinel Katkıda Bulunanı .
  • Mantıksal Uygulama Katkıda Bulunanı ve Sahip veya eşdeğeri, bu öğreticide oluşturulan playbook'u hangi kaynak grubunda içerecekse.

• Bu öğretici için bir (ücretsiz) VirusTotal hesabı yeterli olacaktır. Üretim uygulaması bir VirusTotal Premium hesabı gerektirir.

Olay tetikleyicisi ile playbook oluşturma

1. Azure portalında Microsoft Sentinel için Yapılandırma>Otomasyonu sayfasını seçin. Defender portalında Microsoft Sentinel için Microsoft Sentinel>Yapılandırma>Otomasyonu'na tıklayın.

2. Otomasyon sayfasında Olay tetikleyicisi ile Playbook oluştur'u>seçin.

3. Playbook oluşturma sihirbazının Temel bilgiler bölümünde aboneliği ve kaynak grubunu seçin ve playbook'a bir ad verin.

4. İleri: Bağlantılar'ı >seçin.

   Bağlantılar'ın altında Microsoft Sentinel - Yönetilen kimlik bağlantısıyla bağlan görünür olmalıdır. Örneğin:

   

5. İleri: gözden geçir ve oluştur'u >seçin.

6. Gözden geçir ve oluştur'un altında Oluştur'u seçin ve tasarımcıya devam edin.

   Mantıksal uygulama tasarımcısı, playbook'unuzun adını içeren bir mantıksal uygulama açar.

   

Dizi değişkenlerini başlatma

1. Mantıksal uygulama tasarımcısında, değişken eklemek istediğiniz adımın altında Yeni adım'ı seçin.

2. İşlem seçin altında, arama kutusuna filtreniz olarak değişkenler yazın. Eylemler listesinden Değişkeni başlat'ı seçin.

3. Değişkeniniz hakkında şu bilgileri sağlayın:

   • Değişken adı için Varlıklar'ı kullanın.

   • Tür için Dizi'yi seçin.

   • Değer için varlıkları yazmaya başlayın ve Dinamik içerik'in altında Varlıklar'ı seçin.

     

Mevcut bir olayı seçme

1. Microsoft Sentinel'de Olaylar'a gidin ve playbook'u çalıştırmak istediğiniz olayı seçin.

2. Sağdaki olay sayfasında Eylemler > Playbook'u Çalıştır (Önizleme) öğesini seçin.

3. Playbook'lar'ın altında, oluşturduğunuz playbook'un yanındaki Çalıştır'ı seçin.

   Playbook tetiklendiğinde, playbook başarıyla tetikleniyor iletisi sağ üst kısımda görünür.

4. Çalıştırmalar'ı seçin ve playbook'unuzun yanındaki Çalıştırmayı Görüntüle'yi seçin.

   Mantıksal uygulama çalıştırma sayfası görünür.

5. Değişkeni başlat altında, örnek yük Değer altında görünür. Daha sonra kullanmak üzere örnek yükü not edin.

   

Gerekli varlık türünü diğer varlık türlerinden filtreleme

1. Otomasyon sayfasına dönün ve playbook'unuzu seçin.

2. Değişken eklemek istediğiniz adımın altında Yeni adım'ı seçin.

3. Eylem seçin altında, arama kutusuna filtre dizisini filtreniz olarak girin. Eylemler listesinden Veri işlemleri'ni seçin.

   

4. Filtre diziniz hakkında şu bilgileri sağlayın:

   1. Dinamik içerikten> bölümünde, daha önce başlatmış olduğunuz Varlıklar değişkenini seçin.

   2. İlk Değer seçin alanını seçin (sol tarafta) ve İfade'yi seçin.

   3. Item()?[' değerini yapıştırın kind'] yazın ve Tamam'ı seçin.

      

   4. değerini değere eşit olarak bırakın (değiştirmeyin).

   5. İkinci Değer seçin alanına (sağ tarafta) İşlem yazın. Bunun sistemdeki değerle tam olarak eşleşmesi gerekir.

      Not

      Bu sorgu büyük/küçük harfe duyarlıdır. Değerin kind örnek yükteki değerle eşleştiğinden emin olun. Playbook oluşturduğunuzda örnek yüke bakın.

      

Sonuçları bir JSON dosyasına ayrıştırma

1. Mantıksal uygulamanızda, değişken eklemek istediğiniz adımın altında Yeni adım'ı seçin.

2. Veri işlemleri>JSON Ayrıştır'ı seçin.

   

3. İşleminiz hakkında şu bilgileri sağlayın:

   1. İçerik'i seçin ve Dinamik içerik Filtresi dizisi'nin> altında Gövde'yi seçin.

      

   2. Şema'nın altında, diziden değerleri ayıklayabileceğiniz bir JSON şeması yapıştırın. Playbook'u oluştururken oluşturduğunuz örnek yükü kopyalayın.

      

   3. Playbook'a dönün ve Şema oluşturmak için örnek yükü kullan'ı seçin.

      

   4. Yükü yapıştırın. Şemanın başına bir açma köşeli ayracı ([) ekleyin ve bunları şemanın ]sonunda kapatın.

      

      

   5. Bitti'yi seçin.

Yeni değerleri gelecekte kullanmak üzere dinamik içerik olarak kullanın

Artık daha fazla eylem için dinamik içerik olarak oluşturduğunuz değerleri kullanabilirsiniz. Örneğin, işlem verilerini içeren bir e-posta göndermek istiyorsanız, eylem adını değiştirmediyseniz JSON Ayrıştır eylemini Dinamik içerik altında bulabilirsiniz.

Playbook'unuzun kaydedildiğinden emin olun

Playbook'un kaydedildiğinden emin olun ve artık playbook'unuzu SOC işlemleri için kullanabilirsiniz.

Sonraki adımlar

Playbook'ları kullanarak Microsoft Sentinel'de olay görevleri oluşturmayı ve gerçekleştirmeyi öğrenmek için sonraki makaleye ilerleyin.