Cvičení – detekce hrozeb pomocí analýz Microsoft Sentinelu
Jako bezpečnostní technik pracující ve společnosti Contoso jste si nedávno všimli, že z vašeho předplatného Azure byl odstraněn velký počet virtuálních počítačů. Chcete tento výskyt analyzovat a dostat upozornění, když v budoucnu dojde k podobné aktivitě. Rozhodnete se implementovat analytické pravidlo pro vytvoření incidentu, když někdo odstraní existující virtuální počítač.
Cvičení: Detekce hrozeb pomocí Analýzy Microsoft Sentinelu
V tomto cvičení prozkoumáte analytické pravidlo Microsoft Sentinelu a provedete následující úlohy:
- Vytvoříte pravidlo incidentu z existující šablony.
- Vyvoláte incident a zkontrolujete související akce.
- Vytvoření analytického pravidla ze šablony pravidla
Poznámka:
Abyste mohli toto cvičení dokončit, musíte mít dokončenou lekci Nastavení cvičení v lekci 2. Pokud jste to ještě neudělali, vraťte se k ní a potom pokračujte v krocích tohoto cvičení.
Úkol 1: Vytvoření analytického pravidla z průvodce analytickým pravidlem
Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.
V nabídce Microsoft Sentinel v části Konfigurace vyberte Analýza.
V Microsoft Sentinelu | Záhlaví analýzy , vyberte Vytvořit a pak vyberte Pravidlo naplánovaného dotazu.
Na kartě Obecné zadejte vstupní hodnoty v následující tabulce a pak vyberte Další: Nastavit logiku pravidla.
Název Odstranění virtuálního počítače Azure Popis Jednoduchá detekce, která vás upozorní, když někdo odstraní virtuální počítač Azure. Taktika V rozevírací nabídce Taktika vyberte Dopad. Závažnost Vyberte rozevírací nabídku Závažnost a vyberte Střední. Stav Ujistěte se, že je stav Povoleno. Pokud pravidlo vygeneruje velký počet falešně pozitivních výsledků, můžete pravidlo zakázat výběrem možnosti Zakázáno . Na kartě Nastavit logikupravidla zkopírujte a vložte následující kód do textového pole Dotazu pravidla:
AzureActivity | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE" | where ActivityStatusValue == "Success"
V podokně Simulace výsledků vyberte Test s aktuálními daty a sledujte výsledky.
V části Vylepšení výstrahy v části Mapování entit namapujte entity, které se vrátí jako součást pravidla dotazu a které můžete použít k provádění hloubkové analýzy.
V části Plánování dotazů nakonfigurujte, jak často se má dotaz spouštět a jak daleko je v historii hledání. Vyberte dotaz, který se má spustit každých 5 minut, a přijměte výchozí historii 5 hodin.
V části Prahová hodnota výstrahy zadejte počet pozitivních výsledků, které lze vrátit pro pravidlo před vygenerování výstrahy. Přijměte výchozí hodnoty.
V části Seskupování událostí přijměte výchozí seskupení všech událostí do jediné výstrahy.
V části Potlačení nastavte možnost Zastavit spuštění dotazu po vygenerování výstrahy na Zapnuto.
Přijměte výchozí hodnoty 5 hodin a pak vyberte Další: Nastavení incidentu (Preview).
Na kartě Nastavení incidentu se ujistěte, že je pro vytváření incidentů z výstrah aktivovaných tímto analytickým pravidlem vybraná možnost Povoleno.
V části Seskupení upozornění vyberte Povoleno, aby se související výstrahy seskupovaly do incidentů, a vyberte Seskupení upozornění do jednoho incidentu, pokud se shodují všechny entity (doporučeno).
Ujistěte se, že je zakázané znovu otevřít zavřené odpovídající incidenty, a pak vyberte Další: Automatizovaná odpověď.
V podokně Automatizované odpovědi vyberte playbook, který se automaticky spustí při vygenerování výstrahy. Zobrazí se jenom playbooky, které obsahují konektor Microsoft Sentinel aplikace logiky.
Vyberte Další: Zkontrolovat.
Na stránce Zkontrolovat a vytvořit ověřte, že ověření proběhlo úspěšně, a pak vyberte Uložit.
Úkol 2: Vyvolání incidentu a kontrola přidružených akcí
- Na webu Azure Portal vyberte domovskou stránku a ve vyhledávacím omniboxu zadejte virtuální počítače a pak vyberte Enter.
- Na stránce Virtuální počítače vyhledejte a vyberte virtuální počítač simple-vm, který jste vytvořili ve skupině prostředků pro toto cvičení, a pak na panelu záhlaví vyberte Odstranit. Na příkazovém řádku Odstranit virtuální počítač vyberte Ano.
- Na příkazovém řádku Odstranit virtuální počítač vyberte OK a odstraňte virtuální počítač.
Poznámka:
Při tomto úkolu se vytvoří incident na základě analytického pravidla, které jste vytvořili v úkolu 1. Může trvat až 15 minut, než se incident vytvoří. Můžete pokračovat ve zbývajících krocích této lekce a pak se na výsledky podívat později.
Úkol 3: Vytvoření analytického pravidla z existující šablony
Na webu Azure Portal vyberte Domovská stránka, vyberte Microsoft Sentinel a pak vyberte pracovní prostor Microsoft Sentinelu, který jste vytvořili v lekci 2 tohoto modulu.
Otevřete Microsoft Sentinel v nabídce vlevo v části Konfigurace a vyberte Analýza.
V podokně Analýza vyberte kartu Šablony pravidel.
Do vyhledávacího pole zadejte Vytvořit incidenty založené na programu Microsoft Defender for Cloud a pak tuto šablonu pravidla vyberte.
V podokně podrobností vyberte Vytvořit pravidlo.
V podokně Obecné si všimněte názvu analytického pravidla a ověřte, že je ve stavuPovoleno.
V části Logika pravidla analýzy ověřte, že je vybraná služba zabezpečení Microsoft Defenderu pro cloud.
V části Filtrovat podle závažnosti vyberte Vlastní a pak v rozevírací nabídce vyberte Vysoká a Střední.
Pokud chcete další filtry pro výstrahy z programu Microsoft Defender for Cloud, můžete přidat text v části Zahrnout konkrétní výstrahy a vyloučit konkrétní výstrahy.
Vyberte Další: Automatizovaná odpověď a pak vyberte Další: Zkontrolovat.
Na stránce Zkontrolovat a vytvořit vyberte Vytvořit.
Výsledky
Po dokončení tohoto cvičení jste vytvořili pravidlo incidentu z existující šablony a vytvořili jste naplánované pravidlo dotazu pomocí vlastního kódu dotazu.
Po dokončení cvičení byste měli odstranit prostředky, abyste se vyhnuli účtování nákladů.
Vyčištění prostředků
- Na webu Azure Portal vyhledejte Skupiny prostředků.
- Vyberte azure-sentinel-rg.
- Na panelu v záhlaví vyberte Odstranit skupinu prostředků.
- Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název azure-sentinel-rg a vyberte Odstranit.