Udostępnij przez

Samouczek: wyodrębnianie jednostek zdarzeń przy użyciu akcji innych niż natywne

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Mapowanie jednostek wzbogaca alerty i zdarzenia o informacje niezbędne dla wszelkich procesów śledczych i działań naprawczych, które następują.

Podręczniki usługi Microsoft Sentinel obejmują następujące akcje natywne w celu wyodrębnienia informacji o jednostce:

  • Klienci
  • DNS
  • Skróty plików
  • Gospodarze
  • Ips
  • Adresy URL

Oprócz tych akcji mapowanie jednostki reguły analitycznej zawiera typy jednostek, które nie są akcjami natywnymi, takimi jak złośliwe oprogramowanie, proces, klucz rejestru, skrzynka pocztowa i inne. Z tego samouczka dowiesz się, jak pracować z akcjami nienatywnych przy użyciu różnych wbudowanych akcji w celu wyodrębnienia odpowiednich wartości.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz podręcznik z wyzwalaczem zdarzenia i uruchom go ręcznie w zdarzeniu.
  • Zainicjuj zmienną tablicową.
  • Filtruj wymagany typ jednostki z innych typów jednostek.
  • Przeanalizuj wyniki w pliku JSON.
  • Utwórz wartości jako zawartość dynamiczną do użycia w przyszłości.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Aby ukończyć kroki tego samouczka, upewnij się, że dysponujesz następującymi elementami:

  • Subskrypcja Azure. Utwórz bezpłatne konto , jeśli jeszcze go nie masz.

  • Użytkownik platformy Azure z następującymi rolami przypisanymi do następujących zasobów:

  • Na potrzeby tego samouczka wystarczy (bezpłatne) konto VirusTotal . Implementacja produkcyjna wymaga konta VirusTotal Premium.

Tworzenie podręcznika z wyzwalaczem zdarzenia

  1. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Configuration>Automation. Dla usługi Microsoft Sentinel w portalu Azure wybierz stronę Konfiguracja>Automatyzacja.

  2. Na stronie Automatyzacja wybierz pozycję Utwórz>plan działań z wyzwalaczem incydentu.

  3. W kreatorze Tworzenie podręcznika w obszarze Podstawy wybierz subskrypcję i grupę zasobów i nadaj podręcznikowi nazwę.

  4. Wybierz pozycję Dalej: Połączenia >.

    W obszarze Połączenia powinna być widoczna opcja Microsoft Sentinel — nawiązywanie połączenia z tożsamością zarządzaną . Na przykład:

    Zrzut ekranu przedstawiający tworzenie nowego playbooka z wyzwalaczem incydentu.

  5. Wybierz Dalej: Przejrzyj i utwórz >.

  6. W obszarze Przeglądanie i tworzenie wybierz pozycję Utwórz i przejdź do projektanta.

    Projektant aplikacji logiki otwiera aplikację logiki o nazwie podręcznika.

    Zrzut ekranu przedstawiający wyświetlanie skryptu w projektancie aplikacji logiki.

Inicjowanie zmiennej tablicy

  1. W projektancie aplikacji logiki w kroku, w którym chcesz dodać zmienną, wybierz pozycję Nowy krok.

  2. W obszarze Wybierz operację w polu wyszukiwania wpisz zmienne jako filtr. Z listy akcji wybierz pozycję Inicjuj zmienną.

  3. Podaj te informacje o zmiennej:

    1. Dla nazwy zmiennej użyj Entities.

    2. Dla typu wybierz pozycję Tablica.

    3. Dla wartości umieść kursor nad polem Wartość i wybierz pozycję fx w niebieskiej grupie ikon po lewej stronie.

      Zrzut ekranu przedstawiający inicjowanie zmiennej w designerze aplikacji Logic.

    4. W wyświetlonym oknie dialogowym wybierz kartę Zawartość dynamiczna , a następnie w polu wyszukiwania wpisz jednostki.

    5. Wybierz pozycję Jednostki z listy i wybierz pozycję Dodaj.

      Zrzut ekranu przedstawiający wybieranie wartości Jednostki w projektancie aplikacji logiki.

Wybierz istniejące zdarzenie

  1. W usłudze Microsoft Sentinel przejdź do obszaru Incydenty i wybierz zdarzenie, na którym chcesz uruchomić podręcznik.

  2. Na stronie zdarzenia po prawej stronie wybierz pozycję Akcje > Uruchom playbook (wersja próbna).

  3. W obszarze Podręczniki obok utworzonego podręcznika wybierz pozycję Uruchom.

    Po uruchomieniu podręcznika pojawi się komunikat Playbook został pomyślnie uruchomiony w prawym górnym rogu.

  4. Wybierz pozycję Uruchomienia, a następnie obok skryptu wybierz Wyświetl uruchomienie.

    Strona uruchamiania aplikacji logiki jest widoczna.

  5. W sekcji Zainicjuj zmienną przykładowy ładunek jest widoczny w polu Wartość. Zanotuj przykładowy ładunek do późniejszego użycia.

    Zrzut ekranu przedstawiający wyświetlanie przykładowego ładunku w polu Wartość.

Filtrowanie wymaganego typu jednostki z innych typów jednostek

  1. Wróć do strony Automatyzacja i wybierz podręcznik.

  2. W kroku, w którym chcesz dodać zmienną, wybierz pozycję Nowy krok.

  3. W obszarze Wybierz akcję w polu wyszukiwania wprowadź tablicę filtru jako filtr. Z listy akcji wybierz pozycję Operacje na danych.

    Zrzut ekranu przedstawiający filtrowanie tablicy i wybieranie operacji na danych.

  4. Podaj te informacje o tablicy filtrów:

    1. Pod OdZawartość dynamiczna, wybierz zmienną Elementy, którą zainicjowałeś wcześniej.

    2. Wybierz pierwsze pole Wybierz wartość (po lewej stronie), a następnie wybierz pozycję Wyrażenie.

    3. Wklej wartość item()?['kind'], a następnie wybierz OK.

      Zrzut ekranu przedstawiający wypełnianie wyrażenia tablicy filtru.

    4. Pozostaw wartość jest równa (nie zmieniaj jej).

    5. W drugim polu Wybierz wartość (po prawej stronie) wpisz Proces. Musi to być dokładne dopasowanie do wartości w systemie.

      Uwaga

      W tym zapytaniu jest uwzględniana wielkość liter. Upewnij się, że wartość jest zgodna kind z wartością w przykładowym ładunku. Zobacz przykładowe dane z momentu tworzenia podręcznika.

      Zrzut ekranu przedstawiający uzupełnianie danych tablicy filtrów.

Analizowanie wyników do pliku JSON

  1. W aplikacji logiki w kroku, w którym chcesz dodać zmienną, wybierz pozycję Nowy krok.

  2. Wybierz Operacje danych>Parsuj JSON.

    Zrzut ekranu przedstawiający wybieranie opcji Przeanalizuj dane JSON w obszarze Operacje na danych.

  3. Podaj te informacje dotyczące operacji:

    1. Wybierz Zawartość, a następnie w obszarze zawartość dynamiczna>Tablica filtru, wybierz Treść.

      Zrzut ekranu przedstawiający wybieranie zawartości dynamicznej w obszarze Zawartość.

    2. W obszarze Schemat wklej schemat JSON, aby można było wyodrębnić wartości z tablicy. Skopiuj przykładowy ładunek wygenerowany podczas tworzenia scenariusza.

      Zrzut ekranu przedstawiający kopiowanie przykładowego ładunku.

    3. Powróć do podręcznika i wybierz Użyj przykładowego ładunku, aby wygenerować schemat.

      Zrzut ekranu przedstawiający wybieranie opcji Użyj przykładowych danych do wygenerowania schematu.

    4. Wklej ładunek. Dodaj otwierający nawias kwadratowy ([) na początku schematu i zamknij go na końcu schematu ].

      Zrzut ekranu przedstawiający wklejanie przykładowej paczki danych.

      Zrzut ekranu drugiej części wklejonego przykładowego zestawu danych.

    5. Wybierz pozycję Gotowe.

Użyj nowych wartości jako zawartości dynamicznej do użycia w przyszłości

Teraz możesz użyć wartości utworzonych jako zawartość dynamiczna w celu wykonania dalszych akcji. Jeśli na przykład chcesz wysłać wiadomość e-mail z danymi przetwarzania, możesz znaleźć akcję Przeanalizuj kod JSON w obszarze Zawartość dynamiczna, jeśli nazwa akcji nie została zmieniona.

Zrzut ekranu przedstawiający wysyłanie wiadomości e-mail z danymi procesu.

Upewnij się, że podręcznik został zapisany

Upewnij się, że podręcznik został zapisany i możesz teraz używać podręcznika na potrzeby operacji SOC.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak tworzyć i wykonywać zadania zdarzeń w usłudze Microsoft Sentinel przy użyciu podręczników.

Twórz i realizuj zadania incydentów w Microsoft Sentinel za pomocą playbooków

  • Last updated on