實體對應會擴充警示和事件,其中包含任何調查程式和後續補救動作所需的資訊。
Microsoft Sentinel 劇本包含這些原生動作來擷取實體資訊:
- 帳戶
- DNS
- 檔案雜湊
- 主機
- IP
- URL
除了這些動作之外,分析規則實體對應還包含不是原生動作的實體類型,例如惡意代碼、進程、登錄機碼、信箱等。 在本教學課程中,您將瞭解如何使用不同的內建動作來處理非原生動作,以擷取相關的值。
在本教學課程中,您會了解如何:
- 使用事件觸發程式建立劇本,並在事件上手動執行。
- 初始化陣列變數。
- 從其他實體類型篩選必要的實體類型。
- 剖析 JSON 檔案中的結果。
- 將值建立為動態內容以供日後使用。
重要事項
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
先決條件
若要完成本教學課程,請確定您具有下列項目︰
Azure 訂用帳戶。 如果您還沒有 免費帳戶 ,請建立一個免費帳戶。
在下列資源上指派下列角色的 Azure 使用者:
- 部署 Microsoft Sentinel 的 Log Analytics 工作區上的 Microsoft Sentinel 參與者。
- 邏輯應用程式參與者,和擁有者或對等角色,位於將包含本教學課程中建立的劇本的資源群組上。
(免費) VirusTotal 帳戶 將足以用於本教學課程。 生產實作需要一個 VirusTotal Premium 帳戶。
使用事件觸發程序建立劇本
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[設定]>[自動化]。 針對 Azure 入口網站中的 Microsoft Sentinel,選取 [ 組態>自動化 ] 頁面。
在 [自動化] 頁面上,選取 [建立]>[具有事件觸發程序的劇本]。
在 [建立劇本] 精靈的 [基本] 下,選取訂用帳戶和資源群組,並將劇本命名。
選取 [下一步:連線]>。
在 連線 中,應該可見 Microsoft Sentinel - 使用受控身份進行連線。 例如:
選取 [下一步:檢閱並建立 >]。
在 [檢閱並建立] 下,選取 [建立並繼續前往設計工具]。
邏輯應用程式設計工具會開啟具有劇本名稱的邏輯應用程式。
初始化陣列變數
在邏輯應用程式設計工具中,請在您要新增變數的步驟下,選取 [新增步驟]。
在 [選擇作業] 底下的搜尋方塊中,輸入 變數 作為篩選條件。 從動作清單中,選取 [初始化變數]。
提供變數的相關資訊:
針對變數名稱,請使用 Entities。
針對類型,選取 [陣列]。
針對值,將滑鼠停留在 [ 值 ] 字段上,然後選取左側藍色圖示群組中的 fx 。
在開啟的對話框中,選取 [動態內容 ] 索引標籤,然後在搜尋方塊中輸入 實體。
從清單中選取 [實體 ],然後選取 [ 新增]。
![在邏輯應用程式設計工具中選取 [實體] 值的螢幕快照。](media/tutorial-extract-incident-entities/initialize-variable-select-entities.png)
選取現有的事件
在 Microsoft Sentinel 中,瀏覽至 [事件],然後選取您要執行劇本的事件。
在右側的事件頁面中,選取 [動作 > 執行劇本 (預覽)]。
在 [劇本] 底下,在您建立劇本旁,選取 [執行]。
觸發劇本時,會在右上方看到 劇本成功觸發 訊息。
選取 [執行],然後在劇本旁選取 [檢視執行]。
[邏輯應用程式執行] 頁面是可見的。
在 [初始化變數] 下,範例承載會顯示在 [值] 下。 請注意範例承載以供稍後使用。
![在 [值] 欄位下檢視範例承載的螢幕快照。](media/tutorial-extract-incident-entities/sample-payload-new.png)
![在 [值] 欄位下檢視範例承載的螢幕快照。](media/tutorial-extract-incident-entities/sample-payload-new.png#lightbox)
從其他實體類型篩選必要的實體類型
瀏覽回 [自動化] 頁面,然後選取您的劇本。
在您要新增變數的步驟下方,選取 [新增步驟]。
在 [選擇動作] 底下的搜尋方塊中,輸入 篩選陣列 作為篩選條件。 從動作清單中,選取 [資料作業]。
提供篩選陣列的相關資訊:
在 [從]>[動態內容] 下方,選取您先前初始化變數 [實體]。
選取第一個 [選擇值] 欄位 (左側),然後選取 [運算式]。
貼上值 item()?['kind'],然後選取 [確定]。
保留 等於 值 (請勿修改它)。
在第二 個 [選擇值] 字段中(右側),輸入 Process。 這必須與系統中的值完全相符。
附註
此查詢會區分大小寫。 請確定
kind值符合範例承載中的值。 請參閱您建立 劇本時的範例負載。
將結果剖析為 JSON 檔案
在邏輯應用程式中,在您要新增變數的步驟下,選取 [新增步驟]。
選取 [資料作業]>[剖析 JSON]。
![選取 [資料作業] 下 [剖析 JSON] 選項的螢幕快照。](media/tutorial-extract-incident-entities/parse-json.png)
提供作業的相關資訊:
選取 [內容],然後在 [動態內容]>[篩選陣列] 底下,選取 [本文]。
![在 [內容] 底下選取 [動態內容] 的螢幕快照。](media/tutorial-extract-incident-entities/dynamic-content-new.png)
在 [結構描述] 底下,貼上 JSON 架構,以便從陣列擷取值。 複製您在 建立劇本時產生的範例承載。
傳回劇本,然後選取 [使用範例承載產生結構描述]。
貼上承載。 在結構描述開頭新增左方括弧 (
[),並在結構描述]結尾關閉它們。
選取 [完成]。
使用新值作為動態內容以供日後使用
您現在可以使用您建立為動態內容的值,以進行進一步的動作。 例如,如果您想要傳送含有處理資料的電子郵件,您可以在 [動態內容] 下找到 [剖析 JSON] 動作,如果您未變更動作名稱。
確定您的劇本已儲存
請確定已儲存劇本,您現在可以將劇本用於 SOC 作業。
後續步驟
請前進到下一篇文章,瞭解如何使用劇本在 Microsoft Sentinel 中建立及執行事件工作。