Partilhar via

Tutorial: Verificar e registrar automaticamente informações de reputação de endereço IP em incidentes

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Uma maneira rápida e fácil de avaliar a gravidade de um incidente é ver se algum endereço IP nele é conhecido por ser fonte de atividade maliciosa. Ter uma maneira de fazer isso automaticamente pode economizar muito tempo e esforço.

Neste tutorial, você aprenderá a usar as regras de automação e os playbooks do Microsoft Sentinel para verificar automaticamente os endereços IP em seus incidentes em relação a uma fonte de inteligência de ameaças e registrar cada resultado em seu incidente relevante.

Ao concluir este tutorial, você poderá:

  • Criar um playbook a partir de um modelo
  • Configurar e autorizar as conexões do playbook com outros recursos
  • Criar uma regra de automação para invocar o manual
  • Veja os resultados do seu processo automatizado

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Pré-requisitos

Para concluir este tutorial, confirme que tem:

  • Uma subscrição do Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Um espaço de trabalho do Log Analytics com a solução Microsoft Sentinel implantada nele e dados sendo ingeridos nele.

  • Um usuário do Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Solução VirusTotal instalada a partir do Content Hub

  • Uma conta VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta VirusTotal Premium.

  • Um Agente do Azure Monitor instalado em pelo menos uma máquina em seu ambiente, para que os incidentes sejam gerados e enviados ao Microsoft Sentinel.

Criar um playbook a partir de um modelo

O Microsoft Sentinel inclui modelos de playbook prontos e prontos para uso que você pode personalizar e usar para automatizar um grande número de objetivos e cenários básicos do SecOps. Vamos encontrar um para enriquecer as informações de endereço IP em nossos incidentes.

  1. No Microsoft Sentinel, selecione Configuration>Automation.

  2. Na página Automação, selecione a guia Modelos de Playbook (Visualização).

  3. Localize e selecione um dos modelos de Relatório de Enriquecimento de IP - Virus Total, para entidade, incidente ou gatilhos de alerta. Se necessário, filtre a lista pela tag Enriquecimento para encontrar seus modelos.

  4. Selecione Criar playbook no painel de detalhes. Por exemplo:

    Captura de tela do modelo de Enriquecimento IP - Relatório Virus Total - Modelo de Acionamento de Entidade selecionado.

  5. O assistente Criar playbook será aberto. Na guia Noções básicas :

    1. Selecione a sua Assinatura, o Grupo de Recursos e a Região nas respetivas listas suspensas.

    2. Edite o nome do Playbook, adicionando ao final do nome sugerido "Get-VirusTotalIPReport". Desta forma, você será capaz de dizer de qual modelo original este playbook veio, enquanto ainda garante que ele tem um nome exclusivo no caso de você querer criar outro playbook a partir desse mesmo modelo. Vamos chamar isto de "Get-VirusTotalIPReport-Tutorial-1".

    3. Deixe a opção Ativar logs de diagnóstico no Log Analytics desmarcada.

    4. Selecione Avançar : Conexões >.

  6. Na guia Conexões , você verá todas as conexões que este manual precisa fazer com outros serviços e o método de autenticação que será usado se a conexão já tiver sido feita em um fluxo de trabalho existente do Aplicativo Lógico no mesmo grupo de recursos.

    1. Deixe a conexão do Microsoft Sentinel como está (deve dizer "Conectar com identidade gerenciada").

    2. Se alguma conexão disser "Nova conexão será configurada", você será solicitado a fazê-lo na próxima etapa do tutorial. Ou, se você já tiver conexões com esses recursos, selecione a seta de expansão à esquerda da conexão e escolha uma conexão existente na lista expandida. Para este exercício, vamos deixá-lo como está.

      Captura de ecrã do separador Ligações do assistente de criação de playbooks.

    3. Selecione Próximo : Rever e criar >.

  7. No separador Rever e criar, reveja todas as informações que introduziu tal como são apresentadas aqui e selecione Criar playbook.

    Captura de ecrã do separador do assistente de criação de playbooks: Rever e Criar.

    À medida que o manual é implantado, você verá uma série rápida de notificações de seu progresso. Em seguida, o designer do aplicativo Logic será aberto com seu playbook exibido. Ainda precisamos autorizar as conexões do aplicativo lógico com os recursos com os quais ele interage para que o manual possa ser executado. Em seguida, analisaremos cada uma das ações do manual para garantir que sejam adequadas ao nosso ambiente, fazendo alterações se necessário.

    Captura de tela do playbook aberto na janela do designer de aplicativo lógico.

Autorizar conexões lógicas de aplicativos

Lembre-se de que, quando criamos o manual a partir do modelo, fomos informados de que as conexões do Coletor de Dados do Azure Log Analytics e do Total de Vírus seriam configuradas posteriormente.

Captura de ecrã das informações de revisão do assistente de criação de playbook.

É aqui que fazemos isso.

Autorizar conexão total de vírus

  1. Selecione a ação Para cada para expandi-la e rever o seu conteúdo, que inclui as ações que serão executadas para cada endereço IP. Por exemplo:

    Captura de ecrã da ação de instrução de loop 'for-each' no designer de aplicação lógica.

  2. O primeiro item de ação que você vê é rotulado como Conexões e tem um triângulo de aviso laranja.

    Se, em vez disso, essa primeira ação for rotulada Obter um relatório IP (Visualização), isso significa que já tem uma ligação existente ao Virus Total e pode avançar para a próxima etapa.

    1. Selecione a ação Conexões para abri-la.

    2. Selecione o ícone na coluna Inválido para a conexão exibida.

      Captura de ecrã da configuração de ligação inválida do Virus Total.

      Ser-lhe-ão solicitadas informações de ligação.

      Captura de tela mostra como inserir a chave da API e outros detalhes de conexão para o VirusTotal.

    3. Digite "Total de vírus" como o nome da conexão.

    4. Para x-api_key, copie e cole a chave API da sua conta Virus Total.

    5. Selecione Atualizar.

    6. Agora você verá a ação Obter um relatório IP (Visualização) corretamente. (Se já tinha uma conta Virus Total, já estará nesta fase.)

      A captura de tela mostra a ação de enviar um endereço IP ao Virus Total para receber um relatório sobre ele.

Autorizar conexão do Log Analytics

A próxima ação é uma Condição que determina o restante das ações de cada loop com base no resultado do relatório de endereço IP. Ele analisa a pontuação de reputação dada ao endereço IP no relatório. Uma pontuação superior a 0 indica que o endereço é inofensivo; uma pontuação inferior a 0 indica que é mal-intencionado.

Captura de ecrã da ação da condição no designer de aplicações lógicas.

Se a condição é verdadeira ou falsa, queremos enviar os dados no relatório para uma tabela no Log Analytics para que possam ser consultados e analisados e adicionar um comentário ao incidente.

Mas, como você verá, temos mais conexões inválidas que precisamos autorizar.

Captura de tela mostrando cenários verdadeiros e falsos para a condição definida.

  1. Selecione a ação Conexões no painel True.

  2. Selecione o ícone na coluna Inválido para a conexão exibida.

    Captura de ecrã da configuração de ligação inválida do Log Analytics.

    Ser-lhe-ão solicitadas informações de ligação.

    A captura de tela mostra como inserir a ID e a chave do espaço de trabalho e outros detalhes de conexão para o Log Analytics.

  3. Digite "Log Analytics" como o nome da conexão.

  4. Para ID do espaço de trabalho, copie e cole o ID a partir da página Visão geral das configurações do espaço de trabalho do Log Analytics.

  5. Selecione Atualizar.

  6. Agora você verá a ação Enviar dados corretamente. (Se você já tinha uma conexão do Log Analytics dos Aplicativos Lógicos, já estará neste estágio.)

    A captura de tela mostra a ação de enviar um registro de relatório Total de Vírus para uma tabela no Log Analytics.

  7. Agora selecione a ação Conexões no quadro Falso . Esta ação usa a mesma conexão que a do quadro True.

  8. Verifique se a conexão chamada Log Analytics está marcada e selecione Cancelar. Isso garante que a ação agora será exibida corretamente no playbook.

    Captura de tela da segunda configuração de conexão inválida do Log Analytics.

    Agora você verá todo o seu playbook, devidamente configurado.

  9. Muito importante! Não se esqueça de selecionar Salvar na parte superior da janela do designer do aplicativo lógico . Depois de ver mensagens de notificação informando que o seu playbook foi salvo com êxito, irá ver o seu playbook listado na guia Playbooks Ativos* na página Automação.

Criar uma regra de automação

Agora, para realmente executar este playbook, você precisará criar uma regra de automação que será executada quando os incidentes forem criados e invocar o playbook.

  1. Na página Automação , selecione + Criar no banner superior. No menu pendente, selecione Regra de automação.

    Captura de ecrã da criação de uma regra de automatização a partir da página Automação.

  2. No painel Criar nova regra de automação , nomeie a regra como "Tutorial: Enriquecer informações IP".

    Captura de tela mostrando como criar uma regra de automação, nomeá-la e adicionar uma condição.

  3. Em Condições, selecione + Adicionar e Condição (E).

    Captura de ecrã a mostrar a adição de uma condição a uma regra de automatização.

  4. Selecione Endereço IP na lista suspensa de propriedades à esquerda. Selecione Contém na lista suspensa do operador e mantenha o campo de valor em branco. Isso significa efetivamente que a regra se aplicará a incidentes que tenham um campo de endereço IP que contenha qualquer coisa.

    Não queremos impedir que nenhuma regra de análise seja coberta por essa automação, mas também não queremos que a automação seja acionada desnecessariamente, então vamos limitar a cobertura a incidentes que contenham entidades de endereço IP.

    Captura de tela da definição de uma condição a ser adicionada a uma regra de automação.

  5. Em Ações, selecione Executar playbook na lista suspensa.

  6. Selecione a nova lista suspensa exibida.

    Captura de ecrã mostrando como selecionar o seu playbook na lista de playbooks - parte 1.

    Você verá uma lista de todos os playbooks em sua assinatura. Os acinzentados são aqueles aos quais você não tem acesso. Na caixa de texto Pesquisar playbooks, comece a digitar o nome - ou qualquer parte do nome - do playbook que criámos acima. A lista de playbooks será filtrada dinamicamente com cada letra digitada.

    Captura de ecrã mostrando como selecionar o seu playbook na lista de playbooks - parte 2.

    Quando vir o seu playbook na lista, selecione-o.

    Imagem mostrando como selecionar o seu playbook da lista de playbooks - parte 3.

    Se o playbook estiver acinzentado, selecione o link Gerir permissões do playbook (no parágrafo de impressão fina abaixo onde o utilizador selecionou um playbook - veja a captura de ecrã acima). No painel que se abre, selecione o grupo de recursos que contém o manual na lista de grupos de recursos disponíveis e, em seguida, selecione Aplicar.

  7. Selecione + Adicionar ação novamente. Agora, na nova lista suspensa de ações exibida, selecione Adicionar etiquetas.

  8. Selecione + Adicionar tag. Digite "Tutorial-Enriched endereços IP" como o texto da tag e selecione OK.

    Captura de ecrã a mostrar como adicionar uma etiqueta a uma regra de automatização.

  9. Deixe as configurações restantes como estão e selecione Aplicar.

Verificar a automação bem-sucedida

  1. Na página Incidentes , insira o texto da tag Tutorial-Enriched endereços IP na barra de pesquisa e pressione a tecla Enter para filtrar a lista de incidentes com essa tag aplicada. Estes são os incidentes em que nossa regra de automação foi executada.

  2. Abra qualquer um ou mais desses incidentes e veja se há comentários sobre os endereços IP lá. A presença desses comentários indica que a cartilha corria sobre o incidente.

Clean up resources (Limpar recursos)

Se você não quiser continuar a usar esse cenário de automação, exclua o manual e a regra de automação criados com as seguintes etapas:

  1. Na página Automação, selecione a guia Playbooks ativos.

  2. Introduza o nome (ou parte do nome) do manual que criou na barra de pesquisa .
    (Se não aparecer, certifique-se de que os filtros estão definidos para Selecionar tudo.)

  3. Marque a caixa de seleção ao lado do playbook na lista e selecione Eliminar na barra superior.
    (Se não quiser excluí-lo, selecione Desabilitar .)

  4. Selecione a guia Regras de automação .

  5. Insira o nome (ou parte do nome) da regra de automação criada na barra de pesquisa .
    (Se não aparecer, certifique-se de que os filtros estão definidos para Selecionar tudo.)

  6. Marque a caixa de seleção ao lado da regra de automação na lista e selecione Excluir no banner superior.
    (Se não quiser excluí-lo, selecione Desabilitar .)

Conteúdos relacionados

Agora que você aprendeu como automatizar um cenário básico de enriquecimento de incidentes, saiba mais sobre automação e outros cenários em que você pode usá-lo.

  • Last updated on