Cvičení – detekce hrozeb pomocí analýz Microsoft Sentinelu

  • 12 min

Jako bezpečnostní technik pracující ve společnosti Contoso jste si nedávno všimli, že z vašeho předplatného Azure byl odstraněn velký počet virtuálních počítačů. Chcete tento výskyt analyzovat a dostat upozornění, když v budoucnu dojde k podobné aktivitě. Rozhodnete se implementovat analytické pravidlo pro vytvoření incidentu, když někdo odstraní existující virtuální počítač.

Cvičení: Detekce hrozeb pomocí Analýzy Microsoft Sentinelu

V tomto cvičení prozkoumáte analytické pravidlo Microsoft Sentinelu a provedete následující úlohy:

  • Vytvoříte pravidlo incidentu z existující šablony.
  • Vyvoláte incident a zkontrolujete související akce.
  • Vytvoření analytického pravidla ze šablony pravidla

Poznámka:

Abyste mohli toto cvičení dokončit, musíte mít dokončenou lekci Nastavení cvičení v lekci 2. Pokud jste to ještě neudělali, vraťte se k ní a potom pokračujte v krocích tohoto cvičení.

Úkol 1: Vytvoření analytického pravidla z průvodce analytickým pravidlem

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

  2. V nabídce Microsoft Sentinel v části Konfigurace vyberte Analýza.

  3. V Microsoft Sentinelu | Záhlaví analýzy , vyberte Vytvořit a pak vyberte Pravidlo naplánovaného dotazu.

  4. Na kartě Obecné zadejte vstupní hodnoty v následující tabulce a pak vyberte Další: Nastavit logiku pravidla.

    Název Odstranění virtuálního počítače Azure
    Popis Jednoduchá detekce, která vás upozorní, když někdo odstraní virtuální počítač Azure.
    Taktika V rozevírací nabídce Taktika vyberte Dopad.
    Závažnost Vyberte rozevírací nabídku Závažnost a vyberte Střední.
    Stav Ujistěte se, že je stav Povoleno. Pokud pravidlo vygeneruje velký počet falešně pozitivních výsledků, můžete pravidlo zakázat výběrem možnosti Zakázáno .

    Screenshot Analytics Rule wizard-Create new rule.

  5. Na kartě Nastavit logikupravidla zkopírujte a vložte následující kód do textového pole Dotazu pravidla:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. V podokně Simulace výsledků vyberte Test s aktuálními daty a sledujte výsledky.

    Screenshot of Analytics Rule Set Logic tab.

  7. V části Vylepšení výstrahy v části Mapování entit namapujte entity, které se vrátí jako součást pravidla dotazu a které můžete použít k provádění hloubkové analýzy.

  8. V části Plánování dotazů nakonfigurujte, jak často se má dotaz spouštět a jak daleko je v historii hledání. Vyberte dotaz, který se má spustit každých 5 minut, a přijměte výchozí historii 5 hodin.

  9. V části Prahová hodnota výstrahy zadejte počet pozitivních výsledků, které lze vrátit pro pravidlo před vygenerování výstrahy. Přijměte výchozí hodnoty.

  10. V části Seskupování událostí přijměte výchozí seskupení všech událostí do jediné výstrahy.

  11. V části Potlačení nastavte možnost Zastavit spuštění dotazu po vygenerování výstrahy na Zapnuto.

  12. Přijměte výchozí hodnoty 5 hodin a pak vyberte Další: Nastavení incidentu (Preview).

  13. Na kartě Nastavení incidentu se ujistěte, že je pro vytváření incidentů z výstrah aktivovaných tímto analytickým pravidlem vybraná možnost Povoleno.

  14. V části Seskupení upozornění vyberte Povoleno, aby se související výstrahy seskupovaly do incidentů, a vyberte Seskupení upozornění do jednoho incidentu, pokud se shodují všechny entity (doporučeno).

  15. Ujistěte se, že je zakázané znovu otevřít zavřené odpovídající incidenty, a pak vyberte Další: Automatizovaná odpověď.

    Screenshot Analytics Incident Settings.

  16. V podokně Automatizované odpovědi vyberte playbook, který se automaticky spustí při vygenerování výstrahy. Zobrazí se jenom playbooky, které obsahují konektor Microsoft Sentinel aplikace logiky.

  17. Vyberte Další: Zkontrolovat.

  18. Na stránce Zkontrolovat a vytvořit ověřte, že ověření proběhlo úspěšně, a pak vyberte Uložit.

Úkol 2: Vyvolání incidentu a kontrola přidružených akcí

  1. Na webu Azure Portal vyberte domovskou stránku a ve vyhledávacím omniboxu zadejte virtuální počítače a pak vyberte Enter.
  2. Na stránce Virtuální počítače vyhledejte a vyberte virtuální počítač simple-vm, který jste vytvořili ve skupině prostředků pro toto cvičení, a pak na panelu záhlaví vyberte Odstranit. Na příkazovém řádku Odstranit virtuální počítač vyberte Ano.
  3. Na příkazovém řádku Odstranit virtuální počítač vyberte OK a odstraňte virtuální počítač.

Poznámka:

Při tomto úkolu se vytvoří incident na základě analytického pravidla, které jste vytvořili v úkolu 1. Může trvat až 15 minut, než se incident vytvoří. Můžete pokračovat ve zbývajících krocích této lekce a pak se na výsledky podívat později.

Úkol 3: Vytvoření analytického pravidla z existující šablony

  1. Na webu Azure Portal vyberte Domovská stránka, vyberte Microsoft Sentinel a pak vyberte pracovní prostor Microsoft Sentinelu, který jste vytvořili v lekci 2 tohoto modulu.

  2. Otevřete Microsoft Sentinel v nabídce vlevo v části Konfigurace a vyberte Analýza.

  3. V podokně Analýza vyberte kartu Šablony pravidel.

  4. Do vyhledávacího pole zadejte Vytvořit incidenty založené na programu Microsoft Defender for Cloud a pak tuto šablonu pravidla vyberte.

  5. V podokně podrobností vyberte Vytvořit pravidlo.

  6. V podokně Obecné si všimněte názvu analytického pravidla a ověřte, že je ve stavuPovoleno.

  7. V části Logika pravidla analýzy ověřte, že je vybraná služba zabezpečení Microsoft Defenderu pro cloud.

  8. V části Filtrovat podle závažnosti vyberte Vlastní a pak v rozevírací nabídce vyberte Vysoká a Střední.

  9. Pokud chcete další filtry pro výstrahy z programu Microsoft Defender for Cloud, můžete přidat text v části Zahrnout konkrétní výstrahy a vyloučit konkrétní výstrahy.

  10. Vyberte Další: Automatizovaná odpověď a pak vyberte Další: Zkontrolovat.

  11. Na stránce Zkontrolovat a vytvořit vyberte Vytvořit.

Výsledky

Po dokončení tohoto cvičení jste vytvořili pravidlo incidentu z existující šablony a vytvořili jste naplánované pravidlo dotazu pomocí vlastního kódu dotazu.

Po dokončení cvičení byste měli odstranit prostředky, abyste se vyhnuli účtování nákladů.

Vyčištění prostředků

  1. Na webu Azure Portal vyhledejte Skupiny prostředků.
  2. Vyberte azure-sentinel-rg.
  3. Na panelu v záhlaví vyberte Odstranit skupinu prostředků.
  4. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název azure-sentinel-rg a vyberte Odstranit.