通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用非原生操作提取事件实体

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

实体映射利用对于任何调查流程及之后的修正操作所必需的信息来丰富警报和事件。

Microsoft Sentinel 剧本包含以下原生操作用于提取实体信息:

  • 帐户
  • DNS(域名系统)
  • 文件哈希
  • 主机
  • IP
  • URL

除了这些操作,分析规则实体映射还包含不是原生操作的实体类型,例如恶意软件、进程、注册表项、邮箱等。 本教程介绍如何使用非原生操作,即不同的内置操作来提取相关值。

在本教程中,你将了解如何执行以下操作:

  • 创建包含事件触发器的剧本,并在事件上手动运行剧本。
  • 初始化数组变量。
  • 从其他实体类型中筛选出所需的实体类型。
  • 在 JSON 文件中分析结果。
  • 创建值作为动态内容供未来使用。

重要

Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

若要完成本教程,请确保做好以下准备:

  • Azure 订阅。 如果还没有帐户,请创建 一个免费帐户

  • 在以下资源上分配有以下角色的 Azure 用户:

    • Microsoft Sentinel 参与者角色(在部署 Microsoft Sentinel 的 Log Analytics 工作区上)
    • 逻辑应用参与者和“所有者”或等效角色,在任何资源组上都将包含本教程中创建的 playbook

  • 一个 (免费) VirusTotal 帐户 将足以满足本教程的需求。 生产实现需要 VirusTotal Premium 帐户。

创建包含事件触发器的剧本

  1. 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”“配置”>“自动化”。> 对于 Azure 门户中的 Microsoft Sentinel,请选择 “配置>自动化 ”页。

  2. 在“自动化”页上,选择“创建”“使用事件触发器的 Playbook”。>

  3. “创建 playbook ”向导的 “基本信息”下,选择订阅和资源组,并为 playbook 命名。

  4. 选择 “下一步:连接 >”。

    在“连接”下,应该可以看到“Microsoft Sentinel - 通过托管标识连接”连接。 例如:

    使用事件触发器创建新操作手册的屏幕截图。

  5. 选择 “下一步:查看并创建 >”。

  6. 在“查看并创建”下,选择“创建并继续前往设计器”

    逻辑应用设计器打开以你的剧本名称命名的逻辑应用。

    在逻辑应用设计器中查看剧本的屏幕截图。

初始化数组变量

  1. 在逻辑应用设计器的要添加变量的步骤下,选择“ 新建”步骤

  2. 在“选择操作”下的搜索框中,键入变量作为筛选器。 在操作列表中,选择“初始化变量”。

  3. 提供变量的以下信息:

    1. 对于变量名称,请使用 Entities

    2. 对于类型,请选择 “数组”。

    3. 对于值,将鼠标悬停在 “值 ”字段上,然后在左侧的蓝色图标组中选择 fx

      在逻辑应用设计器中初始化变量的屏幕截图。

    4. 在打开的对话框中,选择 “动态内容 ”选项卡,然后在搜索框中键入 实体

    5. 从列表中选择 “实体 ”,然后选择“ 添加”。

      在逻辑应用设计器中选择“实体”值的屏幕截图。

选择现有事件

  1. 在 Microsoft Sentinel 中,导航到 “事件”,然后选择要对其运行剧本的事件。

  2. 在右侧的事件页中,选择“操作”>“运行 playbook (预览版)”

  3. 在“Playbook”下,在你创建的 playbook 旁边选择“运行”

    触发 playbook 后,右上角会显示 成功触发 Playbook 消息。

  4. 选择“运行”,然后在你的 playbook 旁边选择“查看运行”

    逻辑应用运行页可见。

  5. Initialize 变量下,示例有效负载在 Value 下可见。 记下示例有效负载以供之后使用。

    在“值”字段下查看示例有效负载的屏幕截图。

从其他实体类型中筛选出所需的实体类型

  1. 导航返回到“自动化”页并选择你的 playbook

  2. 在要添加变量的步骤下,选择“ 新建”步骤

  3. 选择操作下的搜索框中,输入过滤数组作为筛选器。 从操作列表中,选择 数据操作

    筛选数组并选择数据操作的屏幕截图。

  4. 提供筛选器数组的以下信息:

    1. 在“来自”“动态内容”下,选择>

    2. 选择第 一个“选择值 ”字段(左侧),然后选择 “表达式”。

    3. 粘贴值 item()?['kind'],然后选择确定

      填充筛选器数组表达式的屏幕截图。

    4. 保持 等于 的值(请勿修改)。

    5. 在第二 个“选择值 ”字段(右侧)中,键入 Process。 这需要与系统中的值完全匹配。

      注意

      此查询区分大小写。 确保值“kind”与示例有效负载中的值匹配。 请参阅创建 playbook 时所使用的示例有效负载。

      填写筛选器数组信息的屏幕截图。

将结果解析到 JSON 文件

  1. 在逻辑应用中,在要添加变量的步骤下,选择“ 新建步骤”。

  2. 选择 数据操作>分析 JSON

    选择“数据操作”下的“解析 JSON”选项的屏幕截图。

  3. 提供操作的以下信息:

    1. 选择 “内容”,然后在 “动态内容>筛选器”数组下,选择“ 正文”。

      在“内容”下选择“动态内容”的屏幕截图。

    2. “架构”下,粘贴 JSON 架构,以便可以从数组中提取值。 复制您创建剧本时生成的示例负载。

      复制样本负载的屏幕截图。

    3. 返回到 playbook,然后选择“使用示例有效负载生成架构”

      选择“使用示例有效负载生成架构”时的屏幕截图。

    4. 粘贴有效负载。 在架构的开头添加一个左方括号 ([),然后在架构的末尾添加 ]

      粘贴示例数据负载的屏幕截图。

      粘贴的示例有效负载的第二部分的屏幕截图。

    5. 选择“完成”。

使用新值作为动态内容供未来使用

现在,可以使用之前作为动态内容创建的值进行后续操作。 例如,如果要发送包含流程数据的电子邮件,可以在动态内容下找到解析 JSON操作(如果未更改操作名称)。

发送包含进程数据的电子邮件的屏幕截图。

确保已保存剧本

确保已保存剧本,现在可以使用剧本进行 SOC 操作。

后续步骤

请继续学习下一篇文章,了解如何使用剧本在 Microsoft Sentinel 中创建和执行事件任务。

在 Microsoft Sentinel 中使用操作手册创建和执行事件任务