教程：自动检查和记录事件中的 IP 地址信誉信息

创作时间:

作者:

@小白创作中心

教程：自动检查和记录事件中的 IP 地址信誉信息

引用

来源

https://learn.microsoft.com/zh-cn/azure/sentinel/tutorial-enrich-ip-information

本文将介绍如何使用Microsoft Sentinel自动化规则和playbook根据威胁情报源自动检查事件中的IP地址，并记录每个结果。通过本教程，你将学习如何创建playbook、配置连接以及创建自动化规则，以实现对IP地址信誉信息的自动检查和记录。

本文内容

评估事件严重性的一种快速而简单的方法是，查看其中是否有任何IP地址是已知的恶意活动源。有一种自动执行此操作的方法可以节省大量时间和精力。

本教程将介绍如何使用Microsoft Sentinel自动化规则和playbook根据威胁情报源自动检查事件中的IP地址，并在其相关事件中记录每个结果。

学完本教程之后，你将能够：

根据模板创建playbook
配置并授权playbook与其他资源的连接
创建自动化规则以调用playbook
查看自动化过程的结果

重要：Microsoft Sentinel已在Microsoft Defender门户的Microsoft统一安全运营平台中正式发布。对于预览版，Microsoft Sentinel在Defender门户中提供，无需Microsoft Defender XDR或E5许可证。有关详细信息，请参阅Microsoft Defender门户中的Microsoft Sentinel。

先决条件

若要完成本教程，请确保做好以下准备：

Azure订阅。创建免费帐户（如果还没有该帐户）。
Log Analytics工作区，其中部署了Microsoft Sentinel解决方案并引入了数据。
在以下资源上分配有以下角色的Azure用户：
在部署Microsoft Sentinel的Log Analytics工作区中分配有Microsoft Sentinel参与者角色。
逻辑应用参与者和所有者或等效角色，在任何资源组上都将包含本教程中创建的playbook。
从内容中心安装VirusTotal解决方案
对于本教程，（免费）VirusTotal帐户就足够了。生产实现需要VirusTotal Premium帐户。
你的环境中至少有一台计算机上安装了Azure Monitor代理，以便能够生成事件并将其发送到Microsoft Sentinel。

根据模板创建playbook

Microsoft Sentinel包括现成的playbook模板，你可以自定义这些模板并使用它们自动执行大量基本SecOps目标和方案。让我们找一个模板来扩充事件中的IP地址信息。

在Microsoft Sentinel中，选择“配置”>“自动化”。
在“自动化”页面，选择“Playbook模板(预览版)”选项卡。
找到并选择其中一个“IP扩充 - 病毒总数报告”模板，用于实体、事件或警报触发器。如果需要，按“扩充”标记筛选列表以查找模板。
从细节窗格中选择“创建playbook”。例如：
这将打开“创建playbook”向导。在“基本信息”选项卡中：

在对应的下拉列表中选择自己的“订阅”、“资源组”和“区域”。
编辑Playbook名称，方法是添加到建议的名称“Get-VirusTotalIPRepor”的末尾。这样一来，你将能够判断此playbook来自哪个原始模板，并仍然能够确保其名称是唯一的，以防你想要根据此同一模板创建另一个playbook。我们将它称为“Get-VirusTotalIPReport-Tutorial-1”。
取消选中“在Log Analytics中启用诊断日志”选项。
选择“下一步: 连接 >”。

在“连接”选项卡中，你将看到此playbook需要与其他服务建立的所有连接，以及将使用的身份验证方法（如果已在同一资源组的现有逻辑应用工作流中建立连接）。

将Microsoft Sentinel连接保留为原样（它应显示“使用托管标识进行连接”）。
如果任何连接显示“将配置新连接”，则本教程的下一阶段会提示你执行此操作。或者，如果已与这些资源建立连接，请选择连接左侧的展开箭头，然后从展开列表中选择现有连接。对于本练习，我们会将其保留为原样。
选择“下一步: 查看并创建 >”。

在“查看并创建”选项卡中，查看在此处显示的所有输入的信息，然后选择“创建playbook”。部署playbook后，你将看到一系列有关其进度的快速通知。然后，逻辑应用设计器将打开并在其中显示你的playbook。我们仍然需要授权逻辑应用与其交互的资源的连接，才能使playbook运行。然后，我们将查看playbook中的每个操作，确保它们适合我们的环境，并在必要时进行更改。

授权逻辑应用连接

回想一下，根据模板创建playbook时，我们被告知稍后将配置Azure Log Analytics数据收集器和Virus Total连接。

下面是执行此操作的位置。

授权Virus Total连接

选择“For each”操作将其展开，并查看其内容，它包含将针对每个IP地址执行的操作。例如：
显示的第一个操作项已标记为“连接”，并带有一个橙色警告三角形。
如果第一个操作标记为“获取IP报告(预览版)”，则表示你现在已与Virus Total建立连接，可以转到下一步。
选择“连接”操作将其打开。
选择所显示连接的“无效”列中的图标。系统将提示你输入连接信息。
输入“Virus Total”作为连接名称。
对于x-api_key，请从Virus Total帐户复制并粘贴API密钥。
选择“更新”。
现在你将看到“获取IP报告(预览版)”操作正确。（如果已有Virus Total帐户，则已处于此阶段。）

授权Log Analytics连接

下一个操作是一个条件，它根据IP地址报告的结果确定for-each循环的其余操作。它分析提供给报告中IP地址的信誉分数。分数高于0表示地址无害；分数低于0则表示它是恶意地址。

无论条件是true还是false，我们都希望将报告中的数据发送到Log Analytics中的表，以便可以对其进行查询和分析，并为事件添加注释。但正如你将看到的，需要授权的无效连接将更多。

选择True帧中的“连接”操作。
选择所显示连接的“无效”列中的图标。系统将提示你输入连接信息。
输入“Log Analytics”作为连接名称。
对于“工作区ID”，请从Log Analytics工作区设置的“概览”页复制粘贴ID。
选择“更新”。
现在，你将看到“发送数据”操作正确。（如果已有来自逻辑应用的Log Analytics连接，则已进入此阶段。）
接下来选择False帧中的“连接”操作。此操作使用与True帧中的连接相同的连接。
验证是否已标记名为Log Analytics的连接，然后选择“取消”。这可确保操作现在在playbook中正确显示。
现在，你将看到整个playbook都配置正确。
非常重要！不要忘记选择“逻辑应用设计器”窗口顶部的“保存”。看到已成功保存playbook的通知消息后，你将看到playbook列在自动化页面的“活动playbook*”选项卡中。

创建自动化规则

现在，若要实际运行此playbook，需要创建一条自动化规则，该规则将在创建事件时运行并调用playbook。

在“自动化”页的顶部横幅中选择“+ 创建”。在下拉菜单中，选择“自动化规则”。
在“创建新的自动化规则”面板中，将规则命名为“教程: 扩充IP信息”。
在“条件”下，选择“+ 添加”和“条件(And)”。
从左侧的属性下拉列表中选择“IP地址”。从运算符下拉列表中选择“Contains”，并将值字段留空。这实际上意味着该规则将应用于IP地址字段包含任何内容的事件。
我们不希望阻止任何分析规则被此自动化覆盖，但也不希望不必要地触发自动化，因此我们将覆盖范围限制为包含IP地址实体的事件。
在“操作”下，从下拉列表中选择“运行playbook”。
选择显示的新下拉列表。你将看到订阅中所有playbook的列表。灰显部分就是你无权访问的playbook。在“搜索playbook”文本框中，开始键入上面创建的playbook的名称或名称的任何部分。Playbook列表将与你键入的每个字母一起进行动态筛选。
在列表中看到你的playbook时，请选择它。如果playbook灰显，请选择“管理playbook权限”链接（在下面你选择playbook的小字段落中 - 见上面的屏幕截图）。在打开的面板中，从可用资源组列表中选择包含playbook的资源组，然后选择“应用”。
再次选择“+ 添加操作”。现在，从出现的新操作下拉列表中，选择“添加标记”。
选择“+ 添加标记”。输入“教程-扩充的IP地址”作为标记文本，然后选择“确定”。
按原样保留其余设置，然后选择“应用”。