Exercice – Chasser les menaces en utilisant Microsoft Sentinel

  • 20 minutes

En tant qu’ingénieur sécurité travaillant pour Contoso, vous avez récemment remarqué qu’un nombre important de machines virtuelles ont été supprimées de votre abonnement Azure. Vous souhaitez simuler une machine virtuelle supprimée, analyser cette occurrence et comprendre les éléments clés de la menace potentielle dans Microsoft Sentinel.

Dans cet exercice, supprimez une machine virtuelle, gérez les requêtes de chasse aux menaces et enregistrez les résultats clés avec des signets.

Notes

Pour effectuer cet exercice, vous devez avoir terminé l’exercice de configuration préalable présenté précédemment dans le module. Si vous ne l’avez pas fait, terminez cet exercice maintenant.

Supprimer une machine virtuelle

Dans cette tâche, supprimez une machine virtuelle pour tester la détection de la règle et la création d’un incident.

  1. Dans le portail Azure, recherchez et sélectionnez Machines virtuelles.
  2. Dans la page Machines virtuelles, cochez la case située en regard de la machine virtuelle étiquetée simple-vm, puis sélectionnez Supprimer dans la barre d’outils.
  3. Dans le volet Supprimer des ressources, confirmez la suppression, puis sélectionnez Supprimer.

Gérer les requêtes de repérage des menaces de Microsoft Sentinel

Dans cette tâche, créez et gérez des requêtes de chasse aux menaces afin d’examiner les événements liés à la suppression de la machine virtuelle dans la tâche précédente. Il peut se passer jusqu’à 5 minutes avant que l’événement n’apparaisse dans Microsoft Sentinel une fois que vous avez supprimé la machine virtuelle.

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel, puis sélectionnez l’espace de travail Sentinel créé précédemment.

  2. Dans la page Microsoft Sentinel, dans la barre de menus, dans la section Gestion des menaces, sélectionnez Repérage.

  3. Dans la page Chasse, sélectionnez l’onglet Requêtes. Choisissez ensuite Nouvelle requête.

  4. Dans la page Créer une requête personnalisée, fournissez les entrées suivantes, puis sélectionnez Créer.

    • Nom : entrez Machines virtuelles supprimées.

    • Description : entrez une description détaillée pour aider les autres analystes de la sécurité à comprendre ce que fait la règle.

    • Requête personnalisée : entrez le code suivant.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • Tactique : Sélectionnez Impact.

  5. Dans la page Chasse, sous l’onglet Requêtes, entrez Machines virtuelles supprimées dans le champ Requêtes de recherche.

  6. Dans la liste des requêtes, sélectionnez l’icône en forme d’étoile en regard de Machines virtuelles supprimées pour marquer la requête en tant que favori.

  7. Sélectionnez la requête Machines virtuelles supprimées. Dans le volet d’informations, sélectionnez Afficher les résultats.

    Notes

    L’envoi de l’événement de suppression de machine virtuelle à Microsoft Sentinel peut prendre jusqu’à 15 minutes. Vous pouvez opter pour une exécution périodique de la requête sous l’onglet Résultats si l’événement de suppression de machine virtuelle n’apparaît pas.

  8. Dans la page Journaux, dans la section Résultats, sélectionnez l’événement listé. Il doit présenter "action": "Microsoft.Compute/virtualMachines/delete" dans la colonne Autorisation. Il s’agit de l’événement du journal d’activité Azure qui indique que la machine virtuelle a été supprimée.

  9. Restez dans cette page pour la tâche suivante.

Enregistrer les résultats clés avec des signets

Dans cette tâche, utilisez des signets pour enregistrer des événements et poursuivre la chasse.

  1. Dans la page Journaux, dans la section Résultats, cochez la case à côté de l’événement listé. Sélectionnez ensuite Ajouter un signet.
  2. Dans le volet Ajouter un signet, sélectionnez Créer.
  3. En haut de la page, sélectionnez Microsoft Sentinel dans le cheminement de navigation.
  4. Dans la page Chasse, sélectionnez l’onglet Signets.
  5. Dans la liste des signets, sélectionnez le signet qui commence par Machines virtuelles supprimées.
  6. Dans la page d’informations, sélectionnez Investiguer.
  7. Dans la page Investigation, sélectionnez Machines virtuelles supprimées et examinez les détails de l’incident.
  8. Dans la page Investigation, sélectionnez l’entité sur le graphe qui représente un utilisateur. Il s’agit de votre compte d’utilisateur, ce qui indique que c’est vous qui avez supprimé la machine virtuelle.

Résultats

Dans cet exercice, vous avez supprimé une machine virtuelle, géré les requêtes de chasse aux menaces et enregistré les résultats clés avec des signets.

Nettoyage des ressources Azure

Une fois que vous avez fini d’utiliser les ressources Azure que vous avez créées dans cet exercice, supprimez-les pour éviter d’engendrer des frais :

  1. Dans le portail Azure, recherchez Groupes de ressources.
  2. Sélectionnez votre groupe de ressources.
  3. Dans la barre d’en-tête, sélectionnez Supprimer le groupe de ressources.
  4. Dans le champ TAPEZ LE NOM DU GROUPE DE RESSOURCES, entrez le nom du groupe de ressources, puis sélectionnez Supprimer.