使用 Microsoft Power Automate和Cort

来源：https://blog.agood.cloud/posts/2019/12/05/making-thehive-soar-with-microsoft-power-automate-and-cortex/

安全编排和自动响应(Soar),其安全团队正向的自然进化,正如我们的数字在这个空间似乎永远不够,我们使用Soar工具来自动化释放我们的时间,所以我们可以用它做更有效率的事情,喜欢喝咖啡和捕猎的威胁。自动化带来了标准和可重复的过程，这可以给我们带来喘息的空间。我并不是一个完全自动化的狂热爱好者，因为您可能会无意中采取破坏您的环境的行动，然后您将在工作恢复的过程中以所有错误的理由喝咖啡!

在这篇文章中，我想告诉你，你不需要太多的预算来超越你的体重，你可以通过使用thehive, Cortex和Microsoft Power automation(又名:Microsoft Flow)来拥有一个便宜的SOAR工具。这种解决方案适用于所有人吗?没有，但这两个平台都不是成熟的SOAR平台，所以你只能在你的限制范围内使用你所拥有的。

一、这是高层次的概述

现在，由于对Microsoft Power automation有一个要求，您将需要一个许可，因此将涉及到成本。您的工作场所可能已经拥有适当的许可，因此最好与您的IT团队进行讨论。

微软Power automation为您提供了广泛的集成，您可以发送电子邮件、获取用户详细信息(和管理人员详细信息)、等待授权、向微软团队等各种聊天平台发布消息、向售票系统添加门票，以及使这一切成为可能的部分……添加HTTP端点和请求。

您还需要在thehive中生成警报，因为这些工作流是通过警报触发的。其思想是您根据自动化的动作做出将警报提升到案例的决定。我有一个python脚本，它可以为这个演示生成假警报。

像我们这里的边际成本路线,将会有一个权衡。您可能需要进一步定制皮层响应器和创建自己的工作流在Microsoft Power automation(这种权衡意味着你要让你的工作流如何你需要牺牲你的时间)。每个用例要实施可能导致代码修改应答这就是为什么我打算只是将其添加到我的github存储库,除非我能找到一种方法使它足够通用,想看看我能把它添加到主项目存储库。

二、考虑你的用例

您想要接入的任何安全设备/设备/端点都需要一个API端点或以某种方式对其进行编程配置。一些好的用例包括:

（1）触发对端点的在线取证分析

（2）要求用户确认他们是否访问了可疑电子邮件

（3）让系统管理员确认他们在命令行上输入了mimikatz命令。

（4）在防火墙上阻止一个IP地址

（5）关闭网络交换机上的一个端口

（6）在EDR解决方案上阻塞文件哈希

（7）添加一个恶意URL到您的代理阻止列表/DNS sinkhole

（8）响应云基础设施服务生成的各种警报

这是不言而喻的，但任何配置您的设备将由您自己承担风险!你自己的工作流开发，你自己的测试和你自己的实现。错误的配置可能会导致停机，但最坏的情况是，如果您使用该电子邮件地址，您可以给您的组织中的每个人发邮件!

三、创建用例工作流

在这里反向工作，首先创建用例的工作流，然后创建一个将其连接在一起的共享工作流。

登录到https://flow.microsoft.com并选择Create, Automated Flow并跳过Build和Automated Flow的弹出窗口。我们自己来做这件事。

搜索何时接收到HTTP请求，并从屏幕的触发器部分中选择它。

现在我们需要告诉这个触发器我们的数据将如何通过JSON进入。这就是为什么你可能需要一些额外的编码取决于什么是在蜂巢警报。稍后可以添加任何其他字段，甚至可以使用数组和对象。为了匹配的代码在responder复制这个块到请求体JSON和按下新的步骤按钮:

这个演示，我们会给用户发电子邮件告诉他们收到了恶意的邮件，但是你可以做各种各样的事情，比如问他们是否输入了任何细节，通过响应按钮点击了一个链接，或者如果他们没有回复就发送升级警报。要做到这一点，我们需要找到用户的电子邮件地址，因此添加到Office 365获取用户配置文件操作。

1、选择用户(UPN)

2、从动态内容窗口中选择dst字段

添加一个新步骤。搜索发送电子邮件(V2)

使用动态内容窗口填充各个字段。

保存此流并为其指定一个友好的名称。完成上述操作后，展开第一步并复制HTTP POST URL，因为我们将在控制器流中要求此操作。

四、创建控制器流

现在我们已经完成了一个基本的工作流，我们需要创建控制器工作流。在主电源自动化屏幕上，选择创建，自动化流程，跳过Build和自动化流程的弹出窗口。

重复与前面相同的步骤，在接收到HTTP请求时添加触发器，并粘贴到请求体JSON中的相同JSON块中。按下新的Step按钮。

因为我们打算使用此流作为其他流的“控制器”，所以需要查看传入的数据并基于用例做出决策。为此，添加一个控制开关。

1、选择开关控件上的On字段

2、从动态内容窗口中选择use_case(显示为刚刚添加的JSON的一部分)

3、输入你的用例字符串名称(在此电子钓鱼邮件中)

我们现在有了基本的路由。当传入的请求JSON在use_case字段中与钓鱼邮件匹配时，我们将发送请求到我们之前创建的钓鱼工作流。

为了做到这一点，在钓鱼电子邮件分支，按添加一个动作，并在HTTP动作中添加。

1、选择POST作为方法

2、输入来自您前面创建的钓鱼工作流的HTTP POST URL

3、使用动态内容窗口，向Body字段添加Body

要添加额外的用例，只需将它们定义为开关的一部分，并创建定义您将做什么的新流。

五、将应答器添加到cortex

有了这些，从我的Github存储库中获取应答器的副本。SSH到您的cortex服务器并添加文件。如果你需要一些帮助和怎么做,或者没有配置自定义cortex位置,下面的帖子是我为TheHive写的第一个应答器。

接下来，我们通过登录到Cortex UI，选择Responders，刷新Responders来配置Responder。找到PowerAutomate_0_2并按下Enable。完成必需的字段。flow_master_controller URL将是前面设置的控制器流的端点。

六、生成测试警报

在github存储库中有一个名为CreateTestAlert.py的文件。您将需要修改它，并添加在您的API密钥和thehive URL。此外，在thehive check中，你使用的帐户可以从用户界面创建警报。运行脚本。

在蜂thehive中，您的警报将如下显示。请特别注意，当您将鼠标悬停在一个可观察对象上时，将显示一个弹出消息(本例中为dst)。

七、运行应答器

使用警报右边的Cog图标，选择PowerAutomate_0_2。

您的工作流在microsoft power automatic运行历史记录下成功运行。下面是控制器的输出。

下面是被调用的子钓鱼工作流的输出。

最后，这是用户收到的电子邮件。

结论

如果你做到这一步，很棒的工作，我知道这是一个很长的阅读，我试图提供一个相当简单的演示，你可以扩展。如您所见，我们只执行了可能的一小部分。至于使用Microsoft Power自动化来使用安全工具，您只需在初始JSON数据中引入所需的数据，然后在指向安全设备的末端添加另一个HTTP POST调用。