Übung: Erkennen von Bedrohungen mit Microsoft Sentinel Analytics

  • 12 Minuten

Als Sicherheitsingenieur bei Contoso haben Sie kürzlich bemerkt, dass eine beträchtliche Anzahl von VMs aus Ihrem Azure-Abonnement gelöscht wurden. Sie möchten dieses Vorkommnis analysieren und gewarnt werden, wenn eine ähnliche Aktivität in Zukunft auftritt. Sie beschließen, eine Analyseregel so zu implementieren, dass ein Incident erstellt wird, sobald jemand eine vorhandene VM löscht.

Übung: Bedrohungserkennung mit Microsoft Sentinel Analytics

In dieser Übung erkunden Sie eine Microsoft Sentinel-Analyseregel und führen die folgenden Aufgaben aus:

  • Erstellen einer Incidentregel anhand einer vorhandenen Vorlage
  • Aufrufen eines Incidents und Überprüfen der zugehörigen Aktionen
  • Erstellen Sie eine Analyseregel anhand einer Regelvorlage.

Hinweis

Um diese Übung abzuschließen, müssen Sie die Lerneinheit Übungseinrichtung in Lerneinheit 2 abgeschlossen haben. Falls noch nicht geschehen, schließen Sie sie jetzt ab, und fahren Sie dann mit den Übungsschritten fort.

Aufgabe 1: Erstellen einer Analyseregel mit dem Analyseregel-Assistenten

  1. Suchen Sie im Azure-Portal nach Microsoft Sentinel, wählen Sie diese Option aus, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.

  2. Wählen Sie im Menü Microsoft Sentinel unter Konfiguration die Option Analysen aus.

  3. Wählen Sie in der Kopfzeile Microsoft Sentinel | Analysen die Option Erstellen aus, und wählen Sie dann Geplante Abfrageregel aus.

  4. Geben Sie auf der Registerkarte Allgemein die Eingabewerte aus der folgenden Tabelle ein, und wählen Sie dann Weiter: Regellogik festlegen aus.

    Name Azure-VM-Löschung.
    BESCHREIBUNG Eine einfache Erkennung, die benachrichtigt, wenn jemand einen virtuellen Azure-Computer löscht.
    Taktik Wählen Sie im Dropdownmenü Taktiken die Option „Auswirkung“ aus.
    severity Wählen Sie im Dropdownmenü Schweregrad die Option „Mittel“ aus.
    Status Stellen Sie sicher, dass der Status Aktiviert lautet. Sie können Deaktivieren auswählen, um eine Regel zu deaktivieren, wenn sie eine große Anzahl falsch positiver Ergebnisse generiert.

    Screenshot Analytics Rule wizard-Create new rule.

  5. Kopieren Sie auf der Registerkarte Regellogik festlegen den folgenden Code, und fügen Sie ihn in das Textfeld Regelabfrage ein:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. Wählen Sie im Abschnitt Ergebnissimulation die Option Mit aktuellen Daten testen aus, und beobachten Sie dann die Ergebnisse.

    Screenshot of Analytics Rule Set Logic tab.

  7. Ordnen Sie im Abschnitt Warnungserweiterung unter Entitätszuordnung die Entitäten zu, die als Teil der Abfrageregel zurückgegeben werden und mit denen Sie eine detaillierte Analyse durchführen können.

  8. Im Abschnitt Abfrageplanung können Sie konfigurieren, wie oft die Abfrage ausgeführt und wie weit zurück im Verlauf gesucht werden soll. Wählen Sie aus, dass die Abfrage alle 5 Minuten ausgeführt wird, und übernehmen Sie den Standardverlauf von 5 Stunden.

  9. Im Abschnitt Warnungsschwellenwert können Sie die Anzahl positiver Ergebnisse angeben, die für die Regel zurückgegeben werden kann, ehe sie eine Warnung generiert. Übernehmen Sie die Standardwerte.

  10. Übernehmen Sie im Abschnitt Ereignisgruppierung die Standardoption Alle Ereignisse in einer einzelnen Warnung gruppieren.

  11. Legen Sie Stop running the Query after the alert is generated (Ausführung der Abfrage beenden, wenn eine Warnung generiert wurde) im Abschnitt Unterdrückung auf Ein fest.

  12. Übernehmen Sie die Standardwerte von 5 Stunden, und wählen Sie dann Weiter: Incidenteinstellung (Vorschau) aus.

  13. Vergewissern Sie sich, dass auf der Registerkarte Vorfalleinstellung die Option Aktiviert für die Erstellung von Vorfalls anhand von Warnungen ausgewählt ist, die von dieser Analyseregel ausgelöst werden.

  14. Wählen Sie im Abschnitt Warnungsgruppierung die Option Aktiviert aus, um verwandte Warnungen in Incidents zu gruppieren. Vergewissern Sie sich, dass Gruppieren von Warnungen in einem einzigen Incident, wenn alle Entitäten übereinstimmen (empfohlen) ausgewählt ist.

  15. Stellen Sie sicher, dass Geschlossene übereinstimmende Incidents erneut öffnen auf Deaktiviert festgelegt ist, und klicken Sie dann auf Weiter: Automatisierte Antwort.

    Screenshot Analytics Incident Settings.

  16. Im Bereich Automatisierte Antwort können Sie ein Playbook auswählen, das bei Generierung der Warnung automatisch ausgeführt werden soll. Es werden nur die Playbooks angezeigt, die den Microsoft Sentinel-Connector für Logik-Apps enthalten.

  17. Klicken Sie auf Weiter: Review (Weiter: Überprüfen).

  18. Überprüfen Sie auf der Seite Überprüfen und erstellen, ob die Validierung erfolgreich war, und wählen Sie dann Speichern aus.

Aufgabe 2: Aufrufen eines Incidents und Überprüfen der zugehörigen Aktionen

  1. Wählen Sie im Azure-Portal Start aus, geben Sie im Suchen-Omnibox den Wert Virtuelle Computer ein, und wählen Sie dann die EINGABETASTE aus.
  2. Suchen Sie auf der Seite Virtuelle Computer den virtuellen Computer simple-vm, den Sie in der Ressourcengruppe für diese Übung erstellt haben, wählen Sie ihn aus, und wählen Sie dann in der Kopfzeile Löschen aus. Wählen Sie in der Aufforderung Virtuellen Computer löschen die Option Ja aus.
  3. Wählen Sie in der Aufforderung Virtuellen Computer löschen die Option OK aus, um den virtuellen Computer zu löschen.

Hinweis

In dieser Aufgabe wird ein Incident auf Grundlage der Analyseregel erstellt, die Sie in Aufgabe 1 erstellt haben. Die Erstellung von Incidents kann bis zu 15 Minuten dauern. Sie können mit den restlichen Schritten dieser Einheit fortfahren und sich die Ergebnisse zu einem späteren Zeitpunkt ansehen.

Aufgabe 3: Erstellen einer Analyseregel anhand einer vorhandenen Vorlage

  1. Wählen Sie im Azure-Portal Home aus,wählen Sie „Microsoft Sentinel“ aus, und wählen Sie dann den Microsoft Sentinel-Arbeitsbereich aus, den Sie in Lerneinheit 2 dieses Moduls erstellt haben.

  2. Öffnen Sie Microsoft Sentinel, und wählen Sie im linken Menü unter Konfiguration die Option Analysen aus.

  3. Wählen Sie im Bereich Analytics die Registerkarte Regelvorlagen aus.

  4. Geben Sie im Suchfeld Vorfälle basierend auf Microsoft Defender für Cloud erstellen ein, und wählen Sie dann diese Regelvorlage aus.

  5. Wählen Sie im Detailbereich Regel erstellen aus.

  6. Sehen Sie sich im Bereich Allgemein den Namen der Analyseregel an, und prüfen Sie, ob der Status der Regel Aktiviert ist.

  7. Bestätigen Sie im Abschnitt Logik der Analyseregel, dass im Microsoft-Sicherheitsdienst Microsoft Defender für Cloud als ausgewählt angezeigt wird.

  8. Wählen Sie im Abschnitt Filter nach Schweregrad die Option Benutzerdefiniert und dann im Dropdownmenü Hoch und Mittel aus.

  9. Wenn Sie zusätzliche Filter für die Warnungen aus Microsoft Defender für Cloud wünschen, können Sie in Bestimmte Warnungen einbeziehen und in Bestimmte Warnungen ausschließen Text hinzufügen.

  10. Wählen Sie Weiter: Automatisierte Antwort und dann Weiter: Überprüfen aus.

  11. Wählen Sie auf der Seite Überprüfen und Erstellen die Option Erstellen aus.

Ergebnisse

Nach Abschluss dieser Übung haben Sie eine Ereignisregel anhand einer vorhandenen Vorlage erstellt und eine geplante Abfrageregel unter Verwendung Ihres eigenen Abfragecodes erstellt.

Löschen Sie nach Abschluss der Übung die Ressourcen, um Kosten zu vermeiden.

Bereinigen der Ressourcen

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen.
  2. Wählen Sie azure-sentinel-rg aus.
  3. Wählen Sie in der Kopfzeile Ressourcengruppe löschen aus.
  4. Geben Sie im Feld TYPE THE RESOURCE GROUP NAME: (Ressourcengruppennamen eingeben) den Namen der Ressourcengruppe ein (azure-sentinel-rg), und klicken Sie auf Löschen.