教學課程：在事件中自動檢查和記錄 IP 位址信譽資訊

適用於: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

評估事件嚴重性的方法之一，就是查看其中是否有任何 IP 位址已知為惡意活動來源。有辦法自動執行這項操作，可以節省您很多時間和精力。

在本教學課程中，您將瞭解如何使用 Microsoft Sentinel 自動化規則和劇本，針對威脅情報來源自動檢查事件中的 IP 位址，並在其相關事件中記錄每個結果。

完成本教學課程之後，您將能夠：

從範本建立劇本
設定及授權劇本與其他資源的連線
建立自動化規則以叫用劇本
查看自動化流程的結果

重要事項

Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出，包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。

從 2026 年 7 月開始，所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站，且只會在 Defender 入口網站中使用 Microsoft Sentinel。從 2025 年 7 月開始，許多新客戶會自動上線並重新導向至 Defender 入口網站。

如果您仍在 Azure 入口網站中使用 Microsoft Sentinel，建議您開始規劃轉換至 Defender 入口網站，以確保順利轉換，並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。如需詳細資訊，請參閱移轉時間：Microsoft 淘汰 Sentinel 的 Azure 入口網站，以取得更高的安全性。

先決條件

若要完成本教學課程，請確定您具有下列項目︰

Azure 訂用帳戶。如果您還沒有免費帳戶，請建立一個免費帳戶。
Log Analytics 工作區，其中已部署 Microsoft Sentinel 解決方案，以及內嵌至其中的資料。
在下列資源上指派下列角色的 Azure 使用者：
- 部署 Microsoft Sentinel 的 Log Analytics 工作區上的 Microsoft Sentinel 參與者。
- 邏輯應用程式參與者，和擁有者或對等角色，位於將包含本教學課程中建立的劇本的資源群組上。
從內容中樞安裝 VirusTotal 解決方案
（免費） VirusTotal 帳戶將足以用於本教學課程。生產實作需要一個 VirusTotal Premium 帳戶。
安裝在您環境中至少一部電腦上的 Azure 監視器代理程式，以便產生事件並傳送至 Microsoft Sentinel。

從範本建立劇本

Microsoft Sentinel 包含備妥、現成可用的劇本範本，您可以自訂並使用範本來自動化大量的基本 SecOps 目標和案例。讓我們找到一個來擴充事件中的 IP 位址資訊。

在 Microsoft Sentinel 中，選取 [ 組態>自動化]。
從 [自動化] 頁面中，選取 [劇本範本 (預覽)] 索引標籤。
找出並選取其中一個 [IP 擴充 - 病毒總計報告] 範本，以用於實體、事件或警示觸發程序。如有需要，請依擴充標籤篩選清單，以尋找您的範本。
從詳細數據窗格中選取 [建立劇本 ]。例如：
[建立劇本] 精靈將會開啟。在 [基本] 索引標籤中：
1. 從其各自的下拉式清單中選取您的 [訂用帳戶]、[資源群組] 及 [區域]。
2. 編輯劇本名稱，將「Get-VirusTotalIPReport」添加到建議名稱的結尾。如此一來，您將能夠分辨此劇本的來源原始範本，同時仍然確保它有唯一的名稱，以防您想要從這個相同範本建立另一個劇本。讓我們將其稱為“Get-VirusTotalIPReport-Tutorial-1”。
3. 取消核取 [在 Log Analytics 中啟用診斷記錄 ] 選項。
4. 選取 [Next : Connections >] \(下一步：連線 >\)。
在 [連線] 索引標籤中，您會看到此劇本需要對其他服務建立的所有連線，以及已在相同資源群組的現有邏輯應用程式工作流程中建立連線時所使用的驗證方法。
1. 讓 Microsoft Sentinel 連線維持不變（它應該說「使用受控識別進行連線」）。
2. 如果有任何連線顯示「將會設定新連線」，系統會提示您在下一個階段進行本教學課程。或者，如果您已經有這些資源的連線，請選取連線左側的展開器箭號，然後從展開清單中選擇現有的連線。在此練習中，我們會保持不變。
3. 選取 [Next : Review and create >] \(下一步：檢閱及建立 >\)。
在 [檢閱和建立] 索引標籤中，檢閱您在此處顯示的所有資訊，然後選取 [建立劇本]。

部署劇本時，您會看到其進度的快速系列通知。然後 邏輯應用程式設計工具 會開啟，並顯示您的劇本。我們仍然需要授權邏輯應用程式與其互動的資源連線，讓劇本可以執行。然後，我們將檢閱劇本中的每個動作，以確定它們適合我們的環境，必要時進行變更。

授權邏輯應用程式連線

回想一下，當我們從範本建立劇本時，我們被告知稍後會設定 Azure Log Analytics 資料收集器和病毒總計連線。

從劇本建立精靈檢閱資訊的螢幕擷取畫面。

以下是我們這樣做的地方。

授權病毒總計連線

選取 [針對每個] 動作加以展開並檢閱其內容，其中包含將要針對每個 IP 位址執行的動作。例如：
您看到的第一個動作項目標示為 [連線 ]，且有橙色警告三角形。

相反地，第一個動作會標示為取得 IP 報告 (預覽)，這表示您已經有病毒總計的現有連線，而您可以移至下一個步驟。
1. 選取 [連線] 動作加以開啟。
2. 針對顯示的連線，選取無效資料行中的圖示。
  
  系統會提示您輸入連線資訊。
3. 輸入Virus Total作為連線名稱。
4. 若為 x-api_key，請從 Virus Total 帳戶中複製並貼上 API 金鑰。
5. 選取 [更新]。
6. 現在，您將會正確地看到取得IP報告（預覽）的操作。 (如果您已經有病毒總計帳戶，您就已經在這個階段了。)

授權 Log Analytics 連線

下一個動作是條件，會根據IP位址報告的結果，決定 for-each 循環的其餘動作。它會分析報表中 IP 位址獲得的信譽分數。高於 0 的分數表示位址無害;分數低於 0 表示其為惡意。

邏輯應用程式設計工具中條件動作的螢幕快照。

無論條件為 true 或 false，我們想要將報表中的資料傳送至 Log Analytics 中的資料表，以便查詢和分析資料，並將註解新增至事件。

但如您所見，我們有更多無效的連線，我們需要授權。

選取 True 框架中的 [連線] 動作。
針對顯示的連線，選取無效資料行中的圖示。

系統會提示您輸入連線資訊。
輸入「Log Analytics」作為 [連線名稱]。
針對工作區標識符，從 Log Analytics 工作區設定的概覽頁面複製並貼上標識符。
選取 [更新]。
現在您會看到正確 傳送數據 動作。 (如果您已經有來自 Logic Apps 的 Log Analytics 連線，則您已經處於這個階段。)
現在，選取 False 框架中的 [連線] 動作。此動作會使用與 True 框架中的連線相同。
確認已標示名為 Log Analytics 的連線，然後選取 [ 取消]。這可確保動作現在會在劇本中正確顯示。

現在您會看到整個劇本，已正確設定。
非常重要！ 別忘了在邏輯應用程式設計工具視窗頂端選取 [儲存]。當您看到劇本成功儲存的通知訊息之後，您會看到您的劇本列在 [自動化] 頁面中的 [作用中劇本]* 索引標籤中。

建立自動化規則

現在，若要實際執行此劇本，您必須建立自動化規則，以在建立事件並叫用劇本時執行。

從 [自動化] 頁面中，從頂端橫幅選取 [+ 建立]。從下拉功能表中，選取 [自動化規則]。
在 [ 建立新的自動化規則 ] 面板中，將規則命名為「教學課程：擴充IP資訊」。
在 [條件] 下，選取 [+ 新增] 和 [條件 (與)]。
從左側的 [屬性] 下拉式清單中選取 [IP 位址]。從運算子下拉式清單中選取 [包含]，並將值欄位保留空白。這實際上表示規則會套用至具有包含任何項目之 IP 位址欄位的事件。

我們不想阻止此自動化涵蓋的任何分析規則，但我們不希望不必要地觸發自動化，因此我們會將涵蓋範圍限制為包含 IP 位址實體的事件。
在 [動作] 下，從下拉式清單中選取 [執行劇本]。
選取出現的新下拉式清單。

您會看到訂用帳戶中所有劇本的清單。灰色是您無法存取的內容。在 [搜尋劇本] 文字方塊中，開始輸入上面所建立劇本的名稱或名稱的任何部分。劇本清單會以您輸入的每個字母動態篩選。

當您在清單中看到您的劇本時，請選取它。

如果劇本呈現灰色，請選取 [管理劇本權限] 連結 (在下方的精細列印段落中選取劇本 - 請參閱上述螢幕擷取畫面)。在開啟的面板中，從可用的資源群組清單中選取包含劇本的資源群組，然後選取 [套用]。
再次選取 [+ 新增動作]。現在，從出現的新動作下拉式清單中，選取 [新增標籤]。
選取 [+ 新增標籤]。輸入「Tutorial-Enriched IP 位址」作為標籤文字，然後選取 [ 確定]。
保留其餘設定，然後選取 [套用]。