Esercitazione: Verificare e registrare automaticamente le informazioni sulla reputazione degli indirizzi IP negli incidenti

Un modo semplice e rapido per valutare la gravità di un evento imprevisto consiste nel verificare se gli indirizzi IP in esso contenuti sono noti come origini di attività dannose. Avere un modo per farlo automaticamente può farti risparmiare molto tempo e fatica.

In questa esercitazione imparerai a usare le regole di automazione e i playbook di Microsoft Sentinel per controllare automaticamente gli indirizzi IP nei tuoi incidenti confrontandoli con una fonte di intelligence sulle minacce e registrare ogni risultato nel relativo incidente.

Al termine di questa esercitazione, sarà possibile:

  • Crea un playbook da un modello
  • Configurare e autorizzare le connessioni del playbook ad altre risorse
  • Creare una regola di automazione per richiamare il playbook
  • Visualizzare i risultati del processo automatizzato

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.

Prerequisiti

Per completare questa esercitazione, assicurarsi di avere:

  • Una sottoscrizione di Azure. Creare un account gratuito se non è già disponibile.

  • Un'area di lavoro Log Analytics in cui è distribuita la soluzione Microsoft Sentinel e in cui vengono acquisiti i dati.

  • Un utente Azure con i ruoli seguenti assegnati nelle risorse seguenti:

  • Soluzione VirusTotal installata dall'hub del contenuto

  • Un account VirusTotal (gratuito) sarà sufficiente per questa esercitazione. Un'implementazione di produzione richiede un account VirusTotal Premium.

  • Un agente di monitoraggio Azure installato in almeno un computer nell'ambiente, in modo che gli eventi imprevisti vengano generati e inviati a Microsoft Sentinel.

Creare un playbook da un modello

Microsoft Sentinel include modelli di playbook predefiniti e pronti all'uso che è possibile personalizzare e usare per automatizzare un numero elevato di obiettivi e scenari SecOps di base. Troviamone uno per arricchire le informazioni relative all'indirizzo IP nei nostri incidenti.

  1. In Microsoft Sentinel, selezionare Configurazione>Automazione.

  2. Dalla pagina Automazione, selezionare la scheda Modelli dei playbook (Anteprima).

  3. Individuare e selezionare uno dei modelli IP Enrichment - Virus Total report per i trigger di entità, incidente o avviso. Se necessario, filtra l'elenco per il tag Arricchimento per trovare i tuoi template.

  4. Selezionare Crea playbook nel riquadro dei dettagli. Ad esempio:

    Schermata del modello Arricchimento IP - Report VirusTotal - Trigger di entità selezionato.

  5. Si aprirà la procedura guidata Crea playbook. Nella scheda Nozioni di base :

    1. Selezionare la sottoscrizione, il gruppo di risorsee l'area geografica nei rispettivi elenchi a discesa.

    2. Modificare il nome del Playbook aggiungendo alla fine del nome suggerito "Get-VirusTotalIPReport". In questo modo si sarà in grado di indicare il modello originale da cui proviene questo playbook, garantendo comunque che abbia un nome univoco nel caso in cui si voglia creare un altro playbook da questo stesso modello. Chiamiamolo "Get-VirusTotalIPReport-Tutorial-1".

    3. Lasciare deselezionata l'opzione Abilita log di diagnostica in Log Analytics .

    4. Selezionare Avanti: Connessioni >.

  6. Nella scheda Connessioni verranno visualizzate tutte le connessioni che questo playbook deve effettuare ad altri servizi e il metodo di autenticazione che verrà usato se la connessione è già stata eseguita in un flusso di lavoro dell'app per la logica esistente nello stesso gruppo di risorse.

    1. Lasciare la connessione Microsoft Sentinel così come è (dovrebbe essere "Connetti con identità gestita").

    2. Se le connessioni dicono "Nuova connessione sarà configurata", verrà richiesto di eseguire questa operazione nella fase successiva dell'esercitazione. In alternativa, se si dispone già di connessioni a queste risorse, selezionare la freccia di espansione a sinistra della connessione e scegliere una connessione esistente dall'elenco espanso. Per questo esercizio, lo lasceremo così come è.

      Schermata della scheda Connessioni della procedura guidata di creazione del playbook.

    3. Selezionare Avanti: Rivedere e creare >.

  7. Nella scheda Rivedi e crea esaminare tutte le informazioni immesse come vengono visualizzate qui e selezionare Crea playbook.

    Schermata della scheda Rivedi e crea della procedura guidata di creazione del playbook.

    Man mano che il playbook viene distribuito, verrà visualizzata una breve serie di notifiche sullo stato di avanzamento. Verrà quindi aperta la finestra di progettazione dell'app per la logica con il playbook visualizzato. È comunque necessario autorizzare le connessioni dell'app per la logica alle risorse con cui interagisce in modo che il playbook possa essere eseguito. Verranno quindi esaminate tutte le azioni nel playbook per assicurarsi che siano adatte all'ambiente, apportando modifiche se necessario.

    Schermata del playbook aperto nella finestra di Logic App Designer.

Autorizzare le connessioni di Logic App

Ricordiamo che quando abbiamo creato il playbook dal modello, ci è stato detto che le connessioni Log Analytics di Azure Data Collector e Virus Total sarebbero state configurate successivamente.

Schermata delle informazioni di riepilogo della procedura guidata di creazione del playbook.

Ecco dove lo facciamo.

Autorizza la connessione a VirusTotal

  1. Selezionare l'azione Per ogni per espanderla ed esaminarne il contenuto, che include le azioni che verranno eseguite per ogni indirizzo IP. Ad esempio:

    Schermata dell'azione dell'istruzione di ciclo for-each nella progettazione dell'app per la logica.

  2. Il primo elemento azione visualizzato è denominato Connessioni e ha un triangolo di avviso arancione.

    Se invece, la prima azione è etichettata Come ottenere un report IP (anteprima), significa che si dispone già di una connessione esistente a Totale virus ed è possibile passare al passaggio successivo.

    1. Selezionare l'azione Connessioni per aprirla.

    2. Selezionare l'icona nella colonna Non valido per la connessione visualizzata.

      Schermata di una configurazione non valida della connessione a VirusTotal.

      Verranno richieste informazioni di connessione.

      La schermata mostra come inserire la chiave API e altri dettagli di connessione per VirusTotal.

    3. Inserisci "Virus Total" come nome della connessione.

    4. Per x-api_key, copiare e incollare la chiave API dall'account Virus Total.

    5. Selezionare Aggiorna.

    6. Verrà ora visualizzata correttamente l'azione Ottieni un report IP (anteprima). (Se hai già avuto un account Virus Total, sarai già in questa fase.)

      Screenshot che mostra l'azione per inviare un indirizzo IP a Virus Total per ricevere un report su di esso.

Autorizzare la connessione a Log Analytics

L'azione successiva è una condizione che determina il resto delle azioni del ciclo for-each in base al risultato del report dell'indirizzo IP. Analizza il punteggio reputazione assegnato all'indirizzo IP nel report. Un punteggio superiore a 0 indica che l'indirizzo è innocuo; un punteggio inferiore a 0 indica che è dannoso.

Schermata dell'azione Condizione nel designer di App per la logica.

Indipendentemente dal fatto che la condizione sia vera o falsa, si desidera inviare i dati del report a una tabella in Log Analytics in modo che possano essere interrogati e analizzati, e aggiungere un commento all'incidente.

Tuttavia, come si vedrà, sono presenti più connessioni non valide che è necessario autorizzare.

Schermata che mostra scenari veri e falsi per la condizione definita.

  1. Selezionare l'azione Connessioni nel frame True .

  2. Selezionare l'icona nella colonna Non valido per la connessione visualizzata.

    Schermata della configurazione non valida della connessione a Log Analytics.

    Verranno richieste informazioni di connessione.

    Screenshot che mostra come immettere l'ID dell'area di lavoro e la chiave e altri dettagli di connessione per Log Analytics.

  3. Immettere "Log Analytics" come nome della connessione.

  4. Per ID area di lavoro, copiare e incollare l'ID dalla pagina Panoramica delle impostazioni dell'area di lavoro Log Analytics.

  5. Selezionare Aggiorna.

  6. Verrà ora visualizzata correttamente l'azione Invia dati . (Se hai già una connessione a Log Analytics da Logic Apps, sarai già in questa fase.)

    La schermata mostra l'azione per inviare un record del report VirusTotal a una tabella di Log Analytics.

  7. Selezionare ora l'azione Connessioni nel frame False . Questa azione usa la stessa connessione di quella nel frame True.

  8. Verificare che la connessione denominata Log Analytics sia contrassegnata e selezionare Annulla. Ciò garantisce che l'azione venga ora visualizzata correttamente nel playbook.

    Schermata della seconda configurazione non valida della connessione a Log Analytics.

    Ora verrà visualizzato l'intero playbook, configurato correttamente.

  9. Molto importante! Non dimenticare di selezionare Salva nella parte superiore della finestra di progettazione dell'app per la logica. Dopo aver visto i messaggi di notifica che indicano che il playbook è stato salvato correttamente, il playbook sarà elencato nella scheda Playbook attivi* nella pagina Automazione.

Creare una regola di automazione

Ora, per eseguire effettivamente questo playbook, è necessario creare una regola di automazione che verrà eseguita quando vengono creati eventi imprevisti e richiamare il playbook.

  1. Nella pagina Automazione selezionare + Crea nel banner superiore. Dal menu a discesa selezionare Regola di automazione.

    Schermata che mostra la creazione di una regola di automazione dalla pagina Automazione.

  2. Nel pannello Crea nuova regola di automazione assegnare alla regola il nome "Esercitazione: Arricchire le informazioni IP".

    Schermata della creazione di una regola di automazione, dell'assegnazione di un nome e dell'aggiunta di una condizione.

  3. In Condizioni selezionare + Aggiungi e Condizione (And).

    Schermata che mostra l'aggiunta di una condizione a una regola di automazione.

  4. Selezionare Indirizzo IP dall'elenco a discesa della proprietà a sinistra. Selezionare Contiene dal menu a discesa dell'operatore e lasciare vuoto il campo del valore. Ciò significa che la regola si applicherà agli eventi imprevisti con un campo indirizzo IP che contiene qualsiasi elemento.

    Non si vuole impedire che le regole di analisi vengano coperte da questa automazione, ma non si vuole che l'automazione venga attivata inutilmente, quindi si limiterà la copertura agli eventi imprevisti che contengono entità di indirizzi IP.

    Schermata della definizione di una condizione da aggiungere a una regola di automazione.

  5. In Azioni, seleziona Esegui playbook dal menu a discesa.

  6. Selezionare il nuovo elenco a discesa che viene visualizzato.

    Schermata che mostra come selezionare il tuo playbook dall'elenco dei playbook - parte 1.

    Vedrai un elenco di tutti i playbook nel tuo abbonamento. Quelli in grigio sono quelli a cui non hai accesso. Nella casella di testo Cerca playbook, inizia a digitare il nome - o una qualsiasi parte del nome - del playbook che abbiamo creato in precedenza. L'elenco dei playbook verrà filtrato dinamicamente con ogni lettera digitata.

    Schermata che mostra come selezionare il tuo playbook dall'elenco dei playbook - parte 2.

    Quando viene visualizzato il playbook nell'elenco, selezionarlo.

    Schermata che mostra come selezionare il tuo playbook dall'elenco dei playbook - parte 3.

    Se il playbook è visualizzato in grigio, selezionare il collegamento Gestisci le autorizzazioni del playbook (nel paragrafo in caratteri piccoli sotto il punto in cui è stato selezionato un playbook, come mostrato nello screenshot sopra). Nel pannello visualizzato selezionare il gruppo di risorse contenente il playbook nell'elenco dei gruppi di risorse disponibili e quindi selezionare Applica.

  7. Selezionare di nuovo + Aggiungi azione . Ora, nel nuovo menu a discesa Azione che viene visualizzato, seleziona Aggiungi tag.

  8. Selezionare + Aggiungi tag. Inserire "Tutorial-Enriched IP addresses" come testo del tag e selezionare OK.

    Screenshot che mostra come aggiungere un tag a una regola di automazione.

  9. Lasciare le impostazioni rimanenti così come sono e selezionare Applica.

Verificare che l'automazione sia riuscita

  1. Nella pagina Incidenti, inserisci il testo del tag Tutorial-Enriched IP addresses nella barra Cerca e premi il tasto Invio per filtrare l'elenco degli incidenti a cui è applicato quel tag. Questi sono gli incidenti su cui è stata eseguita la nostra regola di automazione.

  2. Apri uno o più di questi incidenti e controlla se al loro interno ci sono commenti relativi agli indirizzi IP. La presenza di questi commenti indica che il playbook è stato eseguito sull'incidente.

Pulire le risorse

Se non si intende continuare a usare questo scenario di automazione, eliminare il playbook e la regola di automazione creati con la procedura seguente:

  1. Nella pagina Automazione, selezionare la scheda Playbook attivi.

  2. Inserire il nome (o una parte del nome) del playbook creato nella barra Search.
    Se non viene visualizzato, verificare che tutti i filtri siano impostati su Seleziona tutto.

  3. Contrassegnare la casella di controllo accanto al playbook nell'elenco e selezionare Elimina dal banner superiore.
    Se non si vuole eliminarlo, è possibile selezionare Disabilita .

  4. Selezionare la scheda Regole di automazione .

  5. Immettere il nome (o parte del nome) della regola di automazione creata nella barra di ricerca .
    Se non viene visualizzato, verificare che tutti i filtri siano impostati su Seleziona tutto.

  6. Contrassegnare la casella di controllo accanto alla regola di automazione nell'elenco e selezionare Elimina dal banner superiore.
    Se non si vuole eliminarlo, è possibile selezionare Disabilita .

Ora che hai imparato come automatizzare uno scenario di base per l'arricchimento degli incidenti, scopri di più sull'automazione e su altri scenari in cui puoi utilizzarla.