Cvičení – detekce hrozeb pomocí analýz Microsoft Sentinelu

  • 20 min

Detekce hrozeb pomocí cvičení Analýzy Microsoft Sentinelu v tomto modulu je volitelná jednotka. Pokud ho budete chtít absolvovat, potřebujete přístup k předplatnému Azure, v němž můžete vytvářet prostředky Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

K nasazení požadavků pro toto cvičení proveďte následující úkoly.

Poznámka:

Upozorňujeme, že pokud se rozhodnete provádět cvičení v tomto modulu, můžou vám v předplatném Azure nabíhat poplatky. Pokud chcete odhadnout náklady, přečtěte si informace o cenách služby Microsoft Sentinel.

Úloha 1: Nasazení Služby Microsoft Sentinel pomocí šablony ARM

  1. Vyberte následující odkaz:

    Deploy To Azure.

    Zobrazí se výzva k přihlášení do Azure. Zobrazí se podokno Vlastní nasazení .

  2. Na kartě Základy zadejte pro každé nastavení následující hodnoty.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte Vytvořit nový a zadejte název skupiny prostředků, například azure-sentinel-rg.
    Podrobnosti o instanci
    Oblast V rozevíracím seznamu vyberte umístění, kam chcete nasadit Microsoft Sentinel.
    Název pracovního prostoru Zadejte jedinečný název pracovního prostoru služby Microsoft Sentinel, například <yourName>-sentinel, kde <název vašeho názvu> představuje název pracovního prostoru, který jste zvolili v předchozím úkolu.
    Poloha Přijměte výchozí hodnotu [resourceGroup().location].
    Název virtuálního počítače simplevm Přijměte výchozí hodnotu simple-vm.
    Verze operačního systému virtuálního počítače simplevm Přijměte výchozí hodnotu 2016-Datacenter.

  3. Vyberte zkontrolovat a vytvořit. Po úspěšném ověření vyberte Vytvořit.

    Screenshot of the Custom Deployment page.

    Poznámka:

    Počkejte, až se nasazení dokončí. Nasazení by nemělo trvat déle než pět minut.

Úkol 2: Kontrola vytvořených prostředků

  1. Na webu Azure Portal vyhledejte Skupiny prostředků.

  2. Vyberte azure-sentinel-rg.

  3. Seznam prostředků seřaďte podle typu.

    Skupina prostředků by měla obsahovat prostředky uvedené v této tabulce.

    Name Typ Popis
    <yourName>-sentinel Pracovní prostor služby Log Analytics Pracovní prostor služby Log Analytics používaný službou Microsoft Sentinel, kde <název vašeho názvu> představuje název pracovního prostoru, který jste zvolili v předchozím úkolu.
    simple-vmNetworkInterface Síťové rozhraní Síťové rozhraní pro virtuální počítač
    SecurityInsights(<yourName>-sentinel) Řešení Přehledy zabezpečení pro Microsoft Sentinel
    simple-vm Virtuální počítač Virtuální počítač použitý v ukázce
    st1<xxxxx> Storage account Účet úložiště používaný virtuálním počítačem, kde <xxxxx> představuje náhodný řetězec vygenerovaný k vytvoření jedinečného názvu účtu úložiště.
    vnet1 Virtuální síť Virtuální síť pro virtuální počítač

Poznámka:

Prostředky nasazené v tomto cvičení i provedené konfigurační kroky se vyžadují v dalším cvičení. Pokud jste chtěli dokončit další cvičení, neodstraňovat prostředky z tohoto cvičení.

Úkol 3: Konfigurace datových konektorů Microsoft Sentinelu

V této úloze nasadíte datový konektor Microsoft Sentinelu pro detekci aktivity Azure.

  1. Na webu Azure Portal vyberte Domovská stránka a pak vyhledejte a vyberte Microsoft Sentinel.

  2. V seznamu názvů pracovních prostorů služby Sentinel vyberte pracovní prostor Microsoft Sentinelu, který jste vytvořili v úloze 2. Zobrazí se podokno Přehled pracovního prostoru služby Sentinel.

  3. V podokně nabídek v části Správa obsahu vyberte Centrum obsahu. Zobrazí se podokno Centra obsahu.

  4. Do vyhledávacího pole vyhledejte a vyberte řešení aktivit Azure. V podokně Podrobností o aktivitě Azure vyberte Nainstalovat.

  5. Počkejte na dokončení instalace a vyberte Spravovat.

  6. Do vyhledávacího pole vyhledejte a vyberte datový konektor aktivit Azure.

  7. V podokně Podrobností o aktivitě Azure vyberte otevřít stránku konektoru.

  8. Na kartě Pokyny v oblasti Konfigurace se posuňte dolů a pod položkou 2. Připojení předplatných..." vyberte Spustit Průvodce> přiřazením služby Azure Policy.

  9. Na kartě Základy vyberte tlačítko se třemi tečkami (...) v části Obor a v rozevíracím seznamu vyberte své předplatné Azure a vyberte Vybrat.

  10. Vyberte kartu Parametry a v rozevíracím seznamu primárního pracovního prostoru služby Log Analytics zvolte pracovní prostor službyName-sentinel.

  11. Vyberte kartu Náprava a zaškrtněte políčko Vytvořit úlohu nápravy. Tato akce použije konfiguraci předplatného k odeslání informací do pracovního prostoru služby Log Analytics.

    Poznámka:

    Pokud chcete zásadu použít u stávajících prostředků, musíte vytvořit úlohu nápravy.

  12. Výběrem tlačítka Zkontrolovat a vytvořit zkontrolujte konfiguraci.

  13. Dokončete výběr možnosti Vytvořit .

  14. Po dokončení nasazení se v podokně Konektory konfigurace a dat zobrazí stav Připojení (zelený pruh) konektoru aktivit Azure.

Screenshot of the Microsoft Sentinel connector.

Poznámka:

Zobrazení Připojení v Microsoft Sentinelu může trvat 15 minut konektoru pro aktivitu Azure. Můžete pokračovat ve zbývajících krocích a v dalších lekcích tohoto modulu.