Tutorial: Extrahieren von Incidententitäten mit nicht nativen Aktionen

Entitätszuordnungen reichern Warnungen und Vorfälle mit Informationen an, die für alle folgenden Untersuchungsprozesse und Abhilfemaßnahmen unerlässlich sind.

Microsoft Sentinel Playbooks enthalten die folgenden nativen Aktionen zum Extrahieren von Entitätsinformationen:

  • Konten
  • DNS
  • Dateihashes
  • Hosts
  • Ips
  • URLs

Zusätzlich zu diesen Aktionen enthält die Analyseregelentitätszuordnung Entitätstypen, die keine nativen Aktionen sind, z. B. Schadsoftware, Prozess, Registrierungsschlüssel, Postfach usw. In diesem Tutorial erfahren Sie, wie Sie mit nicht nativen Aktionen arbeiten, indem Sie verschiedene integrierte Aktionen verwenden, um die relevanten Werte zu extrahieren.

In diesem Tutorial wird Folgendes vermittelt:

  • Erstellen Sie ein Playbook mit einem Incident-Trigger und führen Sie es manuell für den Incident aus.
  • Initialisieren Sie eine Arrayvariable.
  • Filtern Sie den erforderlichen Entitätstyp aus anderen Entitätstypen.
  • Analysieren Sie die Ergebnisse in einer JSON-Datei.
  • Erstellen Sie die Werte als dynamischen Inhalt für die zukünftige Verwendung.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Stellen Sie für dieses Tutorial sicher, dass Sie über Folgendes verfügen:

  • Ein Azure-Abonnement. Erstellen Sie ein kostenloses Konto , falls Sie noch kein Konto besitzen.

  • Ein Azure Benutzer, dem die folgenden Rollen für die folgenden Ressourcen zugewiesen sind:

  • Ein (kostenloses) VirusTotal-Konto reicht für dieses Tutorial aus. Eine Produktionsimplementierung erfordert ein VirusTotal Premium-Konto.

Erstellen Sie ein Playbook mit einem Incident-Trigger

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurationsautomatisierung aus>. Wählen Sie für Microsoft Sentinel im Azure-Portal die Seite Konfigurationsautomatisierung> aus.

  2. Wählen Sie auf der Seite AutomatisierungErstellen>Playbook mit Vorfallauslöser aus.

  3. Wählen Sie im Assistenten zum Erstellen eines Playbooks unter Grundlagen das Abonnement und die Ressourcengruppe aus, und geben Sie dem Playbook einen Namen.

  4. Wählen Sie Weiter: Verbindungen > aus.

    Unter Verbindungen sollte die Verbindung Microsoft Sentinel - Mit verwalteter Identität verbinden sichtbar sein. Zum Beispiel:

    Screenshot der Erstellung eines neuen Playbooks mit einem Incident-Trigger.

  5. Wählen Sie Weiter: Prüfen und erstellen >.

  6. Wählen Sie unter Überprüfen und erstellen die Option Erstellen und mit dem Designer fortfahren aus.

    Der Designer für Logik-Apps öffnet eine Logik-App mit dem Namen Ihres Playbooks.

    Screenshot von der Anzeige des Playbooks im Designer der Logik-App.

Initialisieren einer Arrayvariablen

  1. Wählen Sie im Logik-App-Designer unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.

  2. Geben Sie im Suchfeld unter Vorgang auswählenVariablen als Filter ein. Wählen Sie in der Liste der Aktionen Variable initialisieren aus.

  3. Geben Sie diese Informationen zu Ihrer Variablen an:

    1. Verwenden Sie für den Variablennamen Entitäten.

    2. Wählen Sie für den Typ Array aus.

    3. Bewegen Sie für den Wert den Mauszeiger über das Feld Wert, und wählen Sie fx in der blauen Symbolgruppe auf der linken Seite aus.

      Screenshot: Initialisieren einer Variablen im Logik-App-Designer

    4. Wählen Sie im daraufhin geöffneten Dialogfeld die Registerkarte Dynamischer Inhalt aus, und geben Sie im Suchfeld Entitäten ein.

    5. Wählen Sie in der Liste Entitäten und dann Hinzufügen aus.

      Screenshot: Auswählen des Werts

Auswählen eines vorhandenen Incidents

  1. Navigieren Sie Microsoft Sentinel zu Incidents, und wählen Sie einen Incident aus, für den Sie das Playbook ausführen möchten.

  2. Wählen Sie rechts auf der Incident-Seite Aktionen > Playbook ausführen (Vorschau) aus.

  3. Wählen Sie unter Playbooks neben dem von Ihnen erstellten Playbookdie Option Ausführen aus.

    Wenn das Playbook ausgelöst wird, ist oben rechts die Meldung Playbook wurde erfolgreich ausgelöst sichtbar.

  4. Wählen Sie Ausführungen aus, und wählen Sie neben Ihrem Playbook Ausführung anzeigen aus.

    Die Seite „Ausführung der Logik-App“ ist sichtbar.

  5. Unter Variable initialisieren ist die Beispielnutzlast unter Wert sichtbar. Beachten Sie die Beispielnutzlast zur späteren Verwendung.

    Screenshot der Anzeige der Beispielnutzlast unter dem Feld „Wert“.

Filtern des erforderlichen Entitätstyps aus anderen Entitätstypen

  1. Navigieren Sie zurück zur Seite Automation , und wählen Sie Ihr Playbook aus.

  2. Wählen Sie unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.

  3. Geben Sie unter Aktion auswählen im Suchfeld Filterarray als Filter ein. Wählen Sie in der Liste der Aktionen Die Option Datenvorgänge aus.

    Screenshot: Filtern eines Arrays und Auswählen von Datenvorgängen

  4. Geben Sie diese Informationen zu Ihrem Filterarray an:

    1. Wählen Sie unter Aus>dynamischem Inhalt die Variable Entitäten aus, die Sie zuvor initialisiert haben.

    2. Wählen Sie das erste „Wert auswählen“-Feld (links) aus und wählen Sie dann Ausdruck aus.

    3. Fügen Sie den Wert item()?['kind'] ein und wählen Sie OK aus.

      Screenshot von der Eingabe des Filterarray-Ausdrucks.

    4. Belassen Sie den gleich-Wert (ändern Sie diesen nicht).

    5. Geben Sie im zweiten Feld Wert auswählen (rechts) den Text Process ein. Dies muss eine genaue Übereinstimmung mit dem Wert im System sein.

      Hinweis

      Bei dieser Abfrage wird die Groß-/Kleinschreibung beachtet. Stellen Sie sicher, dass der kind Wert mit dem Wert in der Beispielnutzlast übereinstimmt. Sehen Sie sich die Beispielnutzlast an, wenn Sie ein Playbook erstellen.

      Screenshot: Ausfüllen der Filterarrayinformationen

Die Ergebnisse in eine JSON-Datei umwandeln

  1. Wählen Sie in Ihrer Logik-App unter dem Schritt, in dem Sie eine Variable hinzufügen möchten, die Option Neuer Schritt aus.

  2. Wählen Sie Datenvorgänge>JSON analysieren aus.

    Screenshot: Auswählen der Option

  3. Geben Sie diese Informationen zu Ihrem Vorgang an:

    1. Wählen Sie Inhalt und unter Dynamischer Inhalt>Array filtern die Option Textkörper aus.

      Screenshot der Auswahl von

    2. Fügen Sie unter Schema ein JSON-Schema ein, damit Sie Werte aus einem Array extrahieren können. Kopieren Sie die Beispielnutzlast, die Sie beim Erstellen des Playbooks generiert haben.

      Screenshot des Kopierens der Beispiel-Payload.

    3. Kehren Sie zum Playbook zurück, und wählen Sie Beispielnutzlast zum Generieren eines Schemas verwenden aus.

      Screenshot der Option „Beispielnutzdaten zum Generieren eines Schemas verwenden“.

    4. Fügen Sie die Nutzlast ein. Fügen Sie am Anfang des Schemas eine öffnende eckige Klammer ([) hinzu, und schließen Sie sie am Ende des Schemas ].

      Screenshot: Einfügen der Beispielnutzlast

      Screenshot des zweiten Teils der eingefügten Beispielnutzlast.

    5. Wählen Sie Fertig aus.

Verwenden der neuen Werte als dynamischer Inhalt für die zukünftige Verwendung

Sie können nun die von Ihnen erstellten Werte als dynamischen Inhalt für weitere Aktionen verwenden. Wenn Sie beispielsweise eine E-Mail mit Prozessdaten senden möchten, finden Sie die Aktion JSON analysieren unter Dynamischer Inhalt, wenn Sie den Aktionsnamen nicht geändert haben.

Screenshot: Senden einer E-Mail mit Prozessdaten

Stellen Sie sicher, dass Ihr Playbook gespeichert ist.

Stellen Sie sicher, dass das Playbook gespeichert ist und Sie ihr Playbook jetzt für SOC-Vorgänge verwenden können.

Nächste Schritte

Fahren Sie mit dem nächsten Artikel fort, um zu erfahren, wie Sie Incidentaufgaben in Microsoft Sentinel mithilfe von Playbooks erstellen und ausführen.