Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Entitätszuordnungen reichern Warnungen und Vorfälle mit Informationen an, die für alle folgenden Untersuchungsprozesse und Abhilfemaßnahmen unerlässlich sind.
Microsoft Sentinel Playbooks enthalten die folgenden nativen Aktionen zum Extrahieren von Entitätsinformationen:
- Konten
- DNS
- Dateihashes
- Hosts
- Ips
- URLs
Zusätzlich zu diesen Aktionen enthält die Analyseregelentitätszuordnung Entitätstypen, die keine nativen Aktionen sind, z. B. Schadsoftware, Prozess, Registrierungsschlüssel, Postfach usw. In diesem Tutorial erfahren Sie, wie Sie mit nicht nativen Aktionen arbeiten, indem Sie verschiedene integrierte Aktionen verwenden, um die relevanten Werte zu extrahieren.
In diesem Tutorial wird Folgendes vermittelt:
- Erstellen Sie ein Playbook mit einem Incident-Trigger und führen Sie es manuell für den Incident aus.
- Initialisieren Sie eine Arrayvariable.
- Filtern Sie den erforderlichen Entitätstyp aus anderen Entitätstypen.
- Analysieren Sie die Ergebnisse in einer JSON-Datei.
- Erstellen Sie die Werte als dynamischen Inhalt für die zukünftige Verwendung.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Voraussetzungen
Stellen Sie für dieses Tutorial sicher, dass Sie über Folgendes verfügen:
Ein Azure-Abonnement. Erstellen Sie ein kostenloses Konto , falls Sie noch kein Konto besitzen.
Ein Azure Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:
- Microsoft Sentinel Contributor im Log Analytics-Arbeitsbereich, in dem Microsoft Sentinel bereitgestellt ist.
- Mitwirkender für Logic Apps und Besitzer oder eine gleichwertige Rolle für die Ressourcengruppe, die das in diesem Tutorial erstellte Playbook enthalten wird.
Ein (kostenloses) VirusTotal-Konto reicht für dieses Tutorial aus. Eine Produktionsimplementierung erfordert ein VirusTotal Premium-Konto.
Erstellen Sie ein Playbook mit einem Incident-Trigger
Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurationsautomatisierung aus>. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsautomatisierung> aus.
Wählen Sie auf der Seite AutomatisierungErstellen>Playbook mit Vorfallauslöser aus.
Wählen Sie im Assistenten zum Erstellen eines Playbooks unter Grundlagen das Abonnement und die Ressourcengruppe aus, und geben Sie dem Playbook einen Namen.
Wählen Sie Weiter: Verbindungen > aus.
Unter Verbindungen sollte die Verbindung Microsoft Sentinel - Mit verwalteter Identität verbinden sichtbar sein. Zum Beispiel:
Wählen Sie Weiter: Prüfen und erstellen >.
Wählen Sie unter Überprüfen und erstellen die Option Erstellen und mit dem Designer fortfahren aus.
Der Designer für Logik-Apps öffnet eine Logik-App mit dem Namen Ihres Playbooks.
Initialisieren einer Arrayvariablen
Wählen Sie im Logik-App-Designer unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.
Geben Sie im Suchfeld unter Vorgang auswählenVariablen als Filter ein. Wählen Sie in der Liste der Aktionen Variable initialisieren aus.
Geben Sie diese Informationen zu Ihrer Variablen an:
Verwenden Sie für den Variablennamen Entitäten.
Wählen Sie für den Typ Array aus.
Bewegen Sie für den Wert den Mauszeiger über das Feld Wert, und wählen Sie fx in der blauen Symbolgruppe auf der linken Seite aus.
Wählen Sie im daraufhin geöffneten Dialogfeld die Registerkarte Dynamischer Inhalt aus, und geben Sie im Suchfeld Entitäten ein.
Wählen Sie in der Liste Entitäten und dann Hinzufügen aus.
Auswählen eines vorhandenen Incidents
Navigieren Sie Microsoft Sentinel zu Incidents, und wählen Sie einen Incident aus, für den Sie das Playbook ausführen möchten.
Wählen Sie rechts auf der Incident-Seite Aktionen > Playbook ausführen (Vorschau) aus.
Wählen Sie unter Playbooks neben dem von Ihnen erstellten Playbookdie Option Ausführen aus.
Wenn das Playbook ausgelöst wird, ist oben rechts die Meldung Playbook wurde erfolgreich ausgelöst sichtbar.
Wählen Sie Ausführungen aus, und wählen Sie neben Ihrem Playbook Ausführung anzeigen aus.
Die Seite „Ausführung der Logik-App“ ist sichtbar.
Unter Variable initialisieren ist die Beispielnutzlast unter Wert sichtbar. Beachten Sie die Beispielnutzlast zur späteren Verwendung.
Filtern des erforderlichen Entitätstyps aus anderen Entitätstypen
Navigieren Sie zurück zur Seite Automation , und wählen Sie Ihr Playbook aus.
Wählen Sie unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.
Geben Sie unter Aktion auswählen im Suchfeld Filterarray als Filter ein. Wählen Sie in der Liste der Aktionen Die Option Datenvorgänge aus.
Geben Sie diese Informationen zu Ihrem Filterarray an:
Wählen Sie unter Aus>dynamischem Inhalt die Variable Entitäten aus, die Sie zuvor initialisiert haben.
Wählen Sie das erste „Wert auswählen“-Feld (links) aus und wählen Sie dann Ausdruck aus.
Fügen Sie den Wert item()?['kind'] ein und wählen Sie OK aus.
Belassen Sie den gleich-Wert (ändern Sie diesen nicht).
Geben Sie im zweiten Feld Wert auswählen (rechts) den Text Process ein. Dies muss eine genaue Übereinstimmung mit dem Wert im System sein.
Hinweis
Bei dieser Abfrage wird die Groß-/Kleinschreibung beachtet. Stellen Sie sicher, dass der
kindWert mit dem Wert in der Beispielnutzlast übereinstimmt. Sehen Sie sich die Beispielnutzlast an, wenn Sie ein Playbook erstellen.
Die Ergebnisse in eine JSON-Datei umwandeln
Wählen Sie in Ihrer Logik-App unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.
Wählen Sie Datenvorgänge>JSON analysieren aus.
Geben Sie diese Informationen zu Ihrem Vorgang an:
Wählen Sie Inhalt und unter Dynamischer Inhalt>Array filtern die Option Textkörper aus.
Fügen Sie unter Schema ein JSON-Schema ein, damit Sie Werte aus einem Array extrahieren können. Kopieren Sie die Beispielnutzlast, die Sie beim Erstellen des Playbooks generiert haben.
Kehren Sie zum Playbook zurück, und wählen Sie Beispielnutzlast zum Generieren eines Schemas verwenden aus.
Fügen Sie die Nutzlast ein. Fügen Sie am Anfang des Schemas eine öffnende eckige Klammer (
[) hinzu, und schließen Sie sie am Ende des Schemas].
Wählen Sie Fertig aus.
Verwenden der neuen Werte als dynamischer Inhalt für die zukünftige Verwendung
Sie können nun die von Ihnen erstellten Werte als dynamischen Inhalt für weitere Aktionen verwenden. Wenn Sie beispielsweise eine E-Mail mit Prozessdaten senden möchten, finden Sie die Aktion JSON analysieren unter Dynamischer Inhalt, wenn Sie den Aktionsnamen nicht geändert haben.
Stellen Sie sicher, dass Ihr Playbook gespeichert ist.
Stellen Sie sicher, dass das Playbook gespeichert ist und Sie ihr Playbook jetzt für SOC-Vorgänge verwenden können.
Nächste Schritte
Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Incidentaufgaben in Microsoft Sentinel mithilfe von Playbooks erstellen und ausführen.