Tutorial: Extrair entidades de incidentes com ações não nativas

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

O mapeamento de entidades melhora os alertas e incidentes com informações essenciais para quaisquer processos de investigação e ações de remediação que se seguem.

Microsoft Sentinel manuais de procedimentos incluem estas ações nativas para extrair informações de entidade:

  • Contas
  • DNS
  • Hashes de ficheiros
  • Anfitriões
  • IPs
  • URLs

Além destas ações, o mapeamento de entidades de regra analítica contém tipos de entidade que não são ações nativas, como software maligno, processo, chave de registo, caixa de correio e muito mais. Neste tutorial, vai aprender a trabalhar com ações não nativas através de diferentes ações incorporadas para extrair os valores relevantes.

Neste tutorial, vai aprender a:

  • Crie um manual de procedimentos com um acionador de incidente e execute-o manualmente no incidente.
  • Inicializar uma variável de matriz.
  • Filtre o tipo de entidade necessário de outros tipos de entidade.
  • Analise os resultados num ficheiro JSON.
  • Crie os valores como conteúdo dinâmico para utilização futura.

Importante

Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.

Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.

Pré-requisitos

Para concluir este tutorial, certifique-se de que tem:

  • Uma subscrição Azure. Crie uma conta gratuita se ainda não tiver uma.

  • Um utilizador Azure com as seguintes funções atribuídas nos seguintes recursos:

  • Uma conta VirusTotal (gratuita) será suficiente para este tutorial. Uma implementação de produção requer uma conta VirusTotal Premium.

Criar um manual de procedimentos com um acionador de incidentes

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Automatização de Configuração>. Para Microsoft Sentinel na portal do Azure, selecione a páginaAutomatização de Configuração>.

  2. Na página Automatização , selecione Criar>Manual de Procedimentos com o acionador de incidentes.

  3. No assistente Criar manual de procedimentos , em Noções básicas, selecione a subscrição e o grupo de recursos e atribua um nome ao manual de procedimentos.

  4. Selecione Seguinte: Ligações >.

    Em Ligações, a ligação Microsoft Sentinel - Ligar à identidade gerida deve estar visível. Por exemplo:

    Captura de ecrã a mostrar a criação de um novo manual de procedimentos com um acionador de incidente.

  5. Selecione Seguinte: Rever e criar >.

  6. Em Rever e criar, selecione Criar e continue para estruturador.

    O estruturador de aplicações lógicas abre uma aplicação lógica com o nome do manual de procedimentos.

    Captura de ecrã a mostrar a visualização do manual de procedimentos no estruturador da aplicação Lógica.

Inicializar uma variável de Matriz

  1. No estruturador da aplicação lógica, no passo em que pretende adicionar uma variável, selecione Novo passo.

  2. Em Escolher uma operação, na caixa de pesquisa, escreva variáveis como filtro. Na lista de ações, selecione Inicializar variável.

  3. Forneça estas informações sobre a variável:

    1. Para o nome da variável, utilize Entidades.

    2. Para o tipo, selecione Matriz.

    3. Para o valor, paire o cursor sobre o campo Valor e selecione fx no grupo de ícones azul à esquerda.

      Captura de ecrã a mostrar a inicialização de uma variável no estruturador da aplicação Lógica.

    4. Na caixa de diálogo que é aberta, selecione o separador Conteúdo dinâmico e, na caixa de pesquisa, escreva entidades.

    5. Selecione Entidades na lista e selecione Adicionar.

      Captura de ecrã a mostrar a seleção do valor Entidades no estruturador da aplicação Lógica.

Selecionar um incidente existente

  1. No Microsoft Sentinel, navegue para Incidentes e selecione um incidente no qual pretende executar o manual de procedimentos.

  2. Na página do incidente à direita, selecione Ações > Executar manual de procedimentos (Pré-visualização).

  3. Em Manuais de procedimentos, junto ao manual de procedimentos que criou, selecione Executar.

    Quando o manual de procedimentos é acionado, é acionado um Manual de Procedimentos com êxito e é visível no canto superior direito.

  4. Selecione Execuções e, junto ao manual de procedimentos, selecione Ver Execução.

    A página de execução da aplicação lógica está visível.

  5. Em Inicializar variável, o payload de exemplo é visível em Valor. Tenha em atenção o payload de exemplo para utilização posterior.

    Captura de ecrã a mostrar o payload de exemplo no campo Valor.

Filtrar o tipo de entidade necessário de outros tipos de entidade

  1. Navegue de volta para a página Automatização e selecione o manual de procedimentos.

  2. No passo em que pretende adicionar uma variável, selecione Novo passo.

  3. Em Escolher uma ação, na caixa de pesquisa, introduza matriz de filtro como filtro. Na lista de ações, selecione Operações de dados.

    Captura de ecrã a mostrar a filtragem de uma matriz e a seleção de operações de dados.

  4. Forneça estas informações sobre a matriz de filtros:

    1. Em A partir de>Conteúdo dinâmico, selecione a variável Entidades que inicializou anteriormente.

    2. Selecione o primeiro campo Escolher um valor (à esquerda) e selecione Expressão.

    3. Colar o item de valor()?[' kind'], e selecione OK.

      Captura de ecrã a mostrar o preenchimento da expressão de matriz de filtro.

    4. Deixe o é igual ao valor (não o modifique).

    5. No segundo campo Escolher um valor (à direita), escreva Processo. Tem de ser uma correspondência exata com o valor no sistema.

      Nota

      Esta consulta é sensível a maiúsculas e minúsculas. Certifique-se de que o kind valor corresponde ao valor no payload de exemplo. Veja o payload de exemplo a partir do momento em que cria um manual de procedimentos.

      Captura de ecrã a mostrar o preenchimento das informações da matriz de filtro.

Analisar os resultados para um ficheiro JSON

  1. Na sua aplicação lógica, no passo em que pretende adicionar uma variável, selecione Novo passo.

  2. Selecione Operações de dados>Analisar JSON.

    Captura de ecrã a mostrar a seleção da opção Analisar JSON em Operações de Dados.

  3. Forneça estas informações sobre a operação:

    1. Selecione Conteúdo e, emMatriz de filtrode conteúdo> dinâmico, selecione Corpo.

      Captura de ecrã a mostrar a seleção de Conteúdo dinâmico em Conteúdo.

    2. Em Esquema, cole um esquema JSON para que possa extrair valores de uma matriz. Copie o payload de exemplo que gerou quando criou o manual de procedimentos.

      Captura de ecrã a mostrar a cópia do payload de exemplo.

    3. Regresse ao manual de procedimentos e selecione Utilizar payload de exemplo para gerar o esquema.

      Captura de ecrã a mostrar a seleção de Utilizar payload de exemplo para gerar o esquema.

    4. Cole o payload. Adicione um parêntese reto de abertura ([) no início do esquema e feche-os no final do esquema ].

      Captura de ecrã a mostrar a colagem do payload de exemplo.

      Captura de ecrã da segunda parte do payload de exemplo colado.

    5. Selecione Concluído.

Utilizar os novos valores como conteúdo dinâmico para utilização futura

Agora, pode utilizar os valores que criou como conteúdo dinâmico para mais ações. Por exemplo, se quiser enviar um e-mail com dados de processo, pode encontrar a ação Analisar JSON em Conteúdo dinâmico, se não tiver alterado o nome da ação.

Captura de ecrã do envio de um e-mail com dados de processo.

Certifique-se de que o manual de procedimentos está guardado

Certifique-se de que o manual de procedimentos está guardado e agora pode utilizar o manual de procedimentos para operações soc.

Passos seguintes

Avance para o artigo seguinte para saber como criar e executar tarefas de incidentes no Microsoft Sentinel através de manuais de procedimentos.

Criar e executar tarefas de incidentes no Microsoft Sentinel com manuais de procedimentos

  • Last updated on