Ejercicio: Investigación de un incidente

  • 20 minutos

Como ingeniero de seguridad de Contoso, debe analizar las eliminaciones de máquinas virtuales (VM) de la suscripción de Azure de Contoso y recibir una alerta cuando se produzca una actividad similar en el futuro. Decide implementar una regla analítica para crear un incidente cuando alguien elimine una máquina virtual existente. Después, puede investigar el incidente para determinar los detalles y cerrarlo cuando haya terminado.

En este ejercicio, creará una regla de análisis de Microsoft Sentinel para detectar cuándo se elimina una máquina virtual. A continuación, elimine la máquina virtual que creó al principio de este módulo e investigue y resuelva el incidente creado por la regla.

Para completar este ejercicio, asegúrese de haber completado el ejercicio de configuración al principio del módulo y de que el estado actual del conector de actividad de Azure es Conectado.

Creación de una regla analítica desde el asistente

Cree una regla de análisis que cree un incidente cuando se elimine una máquina virtual en la suscripción de Azure de Contoso.

  1. En Azure Portal, busque y seleccione Microsoft Sentinel y, luego, seleccione el área de trabajo de Microsoft Sentinel que ha creado.
  2. En la página Microsoft Sentinel, seleccione Análisis en Configuración en el menú de la izquierda.
  3. En la página Análisis, seleccione Crear>Regla de consulta programada.

Pestaña General

  1. En la pestaña General del asistente, proporcione la siguiente información.

    • Nombre: escriba Máquinas virtuales eliminadas.
    • Descripción: incluya una descripción para ayudar a otros usuarios a comprender qué hace la regla.
    • Tácticas y técnicas: seleccione Acceso inicial.
    • Gravedad: seleccione Media.
    • Estado: seleccione Habilitado.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. Seleccione Siguiente: Establecer la lógica de la regla.

Pestaña Set rule logic (Establecer la lógica de la regla)

  1. En la pestaña Establecer la lógica de la regla, en la sección Consulta de regla, escriba la siguiente consulta:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Desplácese hacia abajo para ver o establecer las siguientes opciones de configuración:

    • Expanda la sección Asignación de entidades para definir las entidades que se devuelven como parte de la regla de consulta y que puede usar para realizar un análisis en profundidad. Para este ejercicio, use los valores predeterminados.
    • En la sección Programación de consultas, puede configurar la frecuencia con la que debe ejecutarse la consulta y hasta dónde debe llegar el historial. Establezca Ejecutar consulta cada en 5 minutos.
    • En la sección Umbral de alerta, puede especificar el número de resultados positivos que puede devolver para la regla antes de que se genere una alerta. Use el valor predeterminado de es mayor que 0.
    • En la sección Agrupación de eventos, acepte la selección predeterminada Agrupar todos los eventos en una misma alerta.
    • En la sección Supresión, en Dejar de ejecutar la consulta después de que se genere la alerta, deje el valor predeterminado, Desactivado.
    • En la secciónSimulación de resultados, seleccione Probar con los datos actuales y observe los resultados.

  3. Seleccione Siguiente: Configuración de incidentes.

Pestaña Configuración de incidentes

  1. En la pestaña Configuración de incidentes, asegúrese de que Crear incidentes a partir de las alertas desencadenadas por esta regla de análisis esté establecida en Habilitado.
  2. En la sección Alert grouping (Agrupación de alertas), seleccione Habilitado para agrupar las alertas relacionadas en incidentes. Asegúrese de que Grouping alerts into a single incident if all the entities match (recommended) (Agrupar las alertas en un solo incidente si todas las entidades coinciden [recomendado]) esté seleccionada.
  3. Asegúrese de que Volver a abrir los incidentes coincidentes cerrados esté Deshabilitado.
  4. Seleccione Siguiente: Respuesta automatizada.

Revisar y crear

  1. Seleccione Siguiente: Review (Siguiente: revisar).
  2. En la pestaña Revisar y crear, cuando la validación se realice correctamente, seleccione Crear.

Eliminación de una máquina virtual

Para probar la detección de reglas y la creación de incidentes, elimine la máquina virtual que creó durante la instalación.

  1. En Azure Portal, busque y seleccione Máquinas virtuales.
  2. En la página Máquinas virtuales, active la casilla situada junto a simple-vm y luego seleccione Eliminar en la barra de herramientas.
  3. En el panel Eliminar recursos, escriba eliminar en el campo Escribir "eliminar" para confirmar eliminación y luego seleccione Eliminar.
  4. Vuelva a seleccionar Eliminar.

Deje que la operación se complete durante varios minutos antes de continuar con el paso siguiente.

Investigación del incidente

En este paso, investigará el incidente creado por Microsoft Sentinel al eliminar la máquina virtual. El incidente puede tardar hasta 30 minutos en mostrarse en Microsoft Sentinel.

  1. En Azure Portal, busque y seleccione Microsoft Sentinel y, luego, seleccione el área de trabajo de Microsoft Sentinel.
  2. En la página Microsoft Sentinel, seleccione Incidentes en Administración de amenazas en el panel de navegación izquierdo.
  3. En la página Incidentes, seleccione el incidente con el título Deleted VMs(Máquinas virtuales eliminadas).
  4. En el panel de detalles Máquinas virtuales eliminadas situado a la derecha, observe los detalles del incidente, incluidos el Propietario, el Estado y la Gravedad. Aplique las actualizaciones siguientes:
    • Seleccione Propietario>Assign to me (Asignarme a mí) >Aplicar.
    • Seleccione Estado>Activo>Aplicar.
  5. Seleccione View full details (Ver detalles completos).
  6. En el panel izquierdo de la página Incidente, observe los totales de Eventos, Alertas y Marcadores en la sección Evidencia.
  7. En la parte inferior del panel, seleccione Investigar.
  8. En la página Investigación, seleccione los elementos siguientes en el grafo de investigación:
    • El incidente Máquinas virtuales eliminadas en el centro de la página que muestra los detalles del incidente.
    • Entidad de usuario que representa la cuenta de usuario, que indica que ha eliminado la máquina virtual.
  9. En la parte superior de la página Investigar, seleccione Estado>Cerrado.
  10. En el menú desplegable Seleccionar clasificación, seleccione Positivo benigno: sospechosa, pero esperada.
  11. En el campo Comentario, escriba Prueba de los pasos de creación y resolución de incidentes y seleccione Aplicar.
  12. Seleccione los iconos de cierre para cerrar las páginas Investigar e Incidente.
  13. En la página Incidentes, observe que ahora el valor de Incidentes abiertos y de Incidentes activos es 0.

Ha creado correctamente una regla de análisis de Microsoft Sentinel, eliminado una máquina virtual para crear un incidente e investigado y cerrado el incidente creado por la regla.

Limpieza de recursos

Para evitar que se generen costos, elimine los recursos de Azure que ha creado en este módulo cuando haya terminado con ellos. Para eliminar los recursos, siga estos pasos:

  1. En Azure Portal, busque los Grupos de recursos.
  2. En la página Grupos de recursos, seleccione azure-sentinel-rg.
  3. En la página azure-sentinel-rg, seleccione Eliminar grupo de recursos en la barra de menús superior.
  4. En la página Eliminar un grupo de recursos, en Escribir nombre del grupo de recursos para confirmar eliminación, escriba azure-sentinel-rg.
  5. Seleccione Eliminar y, luego, Eliminar de nuevo.