Alıştırma - Microsoft Sentinel playbook'u oluşturma

  • 30 dakika

Contoso için çalışan bir Güvenlik İşlemleri Analisti olarak yakın zamanda birisi bir sanal makineyi sildiğinde önemli sayıda uyarı oluşturulduğunu fark edeceksiniz. Gelecekte bu gibi durumları çözümlemek ve hatalı pozitif oluşumlar için verilen uyarıları azaltmak istiyorsunuz.

Alıştırma: Microsoft Sentinel playbook'larını kullanarak tehdit yanıtı

Bir olaya verilen yanıtları otomatikleştirmek için bir Microsoft Sentinel playbook'u uygulamaya karar verirsiniz.

Bu alıştırmada, aşağıdaki görevleri gerçekleştirerek Microsoft Sentinel playbook'larını keşfedeceksiniz:

  • Microsoft Sentinel Playbook izinlerini yapılandırın.

  • Olaylara yanıt vermek için bir eylemi otomatikleştirmek üzere bir playbook oluşturma.

  • Bir olayı çağırarak playbook'unuzu test edin.

Dekont

Bu alıştırmayı tamamlayabilmek için Alıştırma Kurulum birimini tamamlamış olmanız gerekir. Bunu yapmadıysanız şimdi tamamlayın ve daha sonra alıştırma adımlarına geçin.

Görev 1: Microsoft Sentinel Playbook izinlerini yapılandırma

  1. Azure portalında Microsoft Sentinel'i arayıp seçin ve daha önce oluşturulmuş Microsoft Sentinel çalışma alanını seçin.

  2. Microsoft Sentinel sayfasındaki menü çubuğundaki Yapılandırma bölümünde Ayarlar'ı seçin.

  3. Ayarlar sayfasında Ayarlar sekmesini seçin, ekranı aşağı kaydırın ve Playbook izinlerini genişletin

  4. Playbook izinleri bölümünde İzinleri yapılandır düğmesini seçin.

    Screenshot of the Microsoft Sentinel Playbook permissions.

  5. Gözat sekmesinin altındaki İzinleri yönet sayfasında, Microsoft Sentinel çalışma alanınızın ait olduğu kaynak grubunu seçin. Uygula’yı seçin.

    Screenshot of the Microsoft Sentinel Playbook Manage permissions page.

  6. İzin ekleme tamamlandı iletisini görmeniz gerekir.

Görev 2: Microsoft Sentinel playbook'larıyla çalışma

  1. Azure portalında Microsoft Sentinel'i arayıp seçin ve daha önce oluşturulmuş Microsoft Sentinel çalışma alanını seçin.

  2. Microsoft Sentinel sayfasındaki menü çubuğundaki Yapılandırma bölümünde Otomasyon'u seçin.

  3. Üstteki menüde Olay tetikleyicisi ile Oluştur ve Playbook'u seçin.

  4. Playbook Oluştur sayfasının Temel Bilgiler sekmesinde aşağıdaki ayarları belirtin:

    Ayarlar Değer
    Abonelik Azure aboneliği seçin.
    Kaynak grubu Microsoft Sentinel hizmetinizin kaynak grubunu seçin.
    Playbook adı ClosingIncident(herhangi bir ad seçebilirsiniz)
    Bölge Microsoft Sentinel'in konumuyla aynı konumu seçin.
    Log Analytics çalışma alanı Tanılama günlüklerini etkinleştirme

  5. İleri:Bağlan ions >öğesini ve ardından İleri: Gözden Geçir ve Oluştur'u seçin >

  6. Oluştur'u seçin ve tasarımcıya devam edin

    Dekont

    Dağıtımın tamamlanmasını bekleyin. Dağıtımın en fazla 1 dakika içinde tamamlanması gerekir. Çalışmaya devam ederse sayfayı yenilemeniz gerekebilir.

  7. Logic Apps Tasarım Aracı bölmesinde Microsoft Sentinel olayının (önizleme) görüntülendiğini görmeniz gerekir.

    Screenshot of the Microsoft Sentinel trigger.

  8. Microsoft Sentinel olayı (önizleme) sayfasında Bağlantıyı değiştir bağlantısını seçin.

  9. Bağlan ions sayfasında Yeni ekle'yi seçin.

  10. Microsoft Sentinel sayfasında Oturum aç'ı seçin.

    Screenshot of the authorizing API connection.

  11. Hesabınızda oturum açın sayfasında Azure aboneliğinizin kimlik bilgilerini sağlayın.

  12. Microsoft Sentinel olayı (önizleme) sayfasına döndüğünüzde hesabınıza bağlı olduğunuzu görmeniz gerekir. + Yeni adım'ı seçin.

  13. İşlem seçin penceresindeki arama alanına Microsoft Sentinel yazın.

  14. Microsoft Sentinel Simgesi'ni seçin.

  15. Eylemler sekmesinde Olay al (Önizleme) öğesini bulun ve seçin.

  16. Olay Al (Önizleme) penceresinde Olay ARM Kimliği alanını seçin. Dinamik içerik ekle penceresi açılır.

    Bahşiş

    Bir alan seçtiğinizde, bu alanları dinamik içerikle doldurmanıza yardımcı olmak için yeni bir pencere açılır.

  17. Dinamik içerik sekmesindeki arama kutusuna Olay ARM'sini girmeye başlayabilir ve aşağıdaki ekran görüntüsünde gösterildiği gibi listeden girdiyi seçebilirsiniz.

    Screenshot of Get Incident.

  18. + Yeni adım'ı seçin.

  19. İşlem seçin penceresindeki arama alanına Microsoft Sentinel yazın.

    Bahşiş

    Sizin için sekmesinde, Son seçimler Microsoft Sentinel Simgesi'ni göstermelidir.

  20. Microsoft Sentinel Simgesi'ni seçin.

  21. Eylemler sekmesinde Olayı güncelleştir (Önizleme) öğesini bulun ve seçin.

  22. Olayı güncelleştir (Önizleme) penceresinde aşağıdaki girişleri sağlayın:

    Ayarlar Değerler
    Olay ARM kimliğini belirtin Olay ARM Kimliği
    Sahip Nesne Kimliğini / UPN'yi Belirtin Olay Sahibi Nesne Kimliği
    Atama/Atamayı Kaldırma sahibini belirtin Açılan menüden Atamayı Kaldır'ı seçin
    Önem Varsayılan Olay önem derecesini bırakabilirsiniz
    Durum Belirt Açılan menüden Kapatıldı’yı seçin.
    Sınıflandırma nedenini belirtin Açılan menüden Belirsiz gibi bir girdi seçin veya Özel değer girin'i ve ardından IncidentClassification Dinamik içeriği'ni seçin.
    Kapatma nedeni metni Açıklayıcı metin yazın.

    Screenshot of the Get Incident status.

  23. Olay ARM Kimliği alanını seçin. Dinamik içerik ekle penceresi açılır ve arama kutusuna Olay ARM'sini girmeye başlayabilirsiniz. Olay ARM Kimliği'nive ardından Sahip Nesne Kimliği / UPN alanını seçin.

  24. Dinamik içerik ekle penceresi açılır ve arama kutusuna Olay sahibi girmeye başlayabilirsiniz. Olay Sahibi Nesne Kimliği'ni seçin ve tablo girdilerini kullanarak kalan alanları doldurun.

  25. İşiniz bittiğinde, Logic Apps Tasarım Aracı menü çubuğundan Kaydet'i seçin ve ardından Logic Apps Tasarım Aracı kapatın.

3. Görev: Olay çağırma ve ilişkili eylemleri gözden geçirme

  1. Azure portalında Kaynak, hizmet ve belge ara metin kutusuna sanal makineler yazın ve enter tuşuna basın.

  2. Sanal makineler sayfasında simple-vm adlı sanal makineyi bulup seçin ve ardından başlık çubuğundan Sil'i seçin.

  3. Basit vm'yi sil sayfasında hem işletim sistemi diski hem de Ağ Arabirimi için VM ile sil'i seçin.

  4. Bu sanal makinenin ve seçili kaynakların silineceğini okuduğum ve anladığımı kabul etmek için kutuyu seçin, ardından sil'i seçerek sanal makineyi silin.

    Screenshot of the Delete simple-vm page.

    Dekont

    Bu görev, alıştırma kurulum ünitesinde oluşturduğunuz analiz kuralını temel alan bir güvenlik olayı oluşturur. Olayın oluşturulması 15 dakikayı bulabilir. Sonraki adıma geçmeden önce tamamlanmasını bekleyin.

Görev 4: Playbook'u mevcut bir olaya atama

  1. Azure portalında Microsoft Sentinel'i arayıp seçin ve ardından daha önce oluşturulmuş Microsoft Sentinel çalışma alanını seçin.

  2. Microsoft Sentinel'de | Genel bakış sayfasının menü çubuğundaki Tehdit yönetimi bölümünde Olaylar'ı seçin.

    Dekont

    Önceki notta belirtildiği gibi olay oluşturma işlemi 15 dakika kadar sürebilir. Olaylar sayfasında olay görünene kadar sayfayı yenileyin.

  3. Microsoft Sentinel'de | Olaylar sayfasında, sanal makinenin silinmesine bağlı olarak oluşturulmuş bir olayı seçin.

  4. Ayrıntılar bölmesinde Eylemler ve Playbook'u çalıştır (Önizleme) seçeneğini belirleyin.

    Screenshot of the Incident detail pane actions to run playbook.

  5. Olaydaki playbook'u çalıştır sayfasındaki Playbook'lar sekmesinde ClosingIncident playbook'unu görmeniz ve Çalıştır'ı seçmeniz gerekir.

  6. Playbook başarıyla tetiklendi iletisini aldığınızı doğrulayın.

  7. Microsoft Sentinel'e dönmek için Olay sayfasında playbook'u çalıştır sayfasını kapatın | Olaylar sayfası.

  8. Microsoft Sentinel'de | Olaylar sayfasında, üst bilgi çubuğunda Yenile'yi seçin. Olayın bölmeden kaybolduğunu fark edeceksiniz. Durum menüsünde Kapalı’yı seçin ve ardından Tamam’ı seçin.

    Dekont

    Uyarıların Kapalı olarak gösterilmesi 5 dakikaya kadar sürebilir

    Screenshot of the header bar.

  9. Olayın yeniden görüntülendiğini doğrulayın ve Kapalı olup olmadığını denetlemek için Durum sütununa dikkat edin.

Kaynakları temizleme

  1. Azure portalında Kaynak grupları’nı arayın.

  2. azure-sentinel-rg girişini seçin.

  3. Başlık çubuğunda Kaynak grubunu sil'i seçin.

  4. KAYNAK GRUBUNUN ADINI YAZIN: alanına kaynak grubunun adını (azure-sentinel-rg) yazıp Sil'i seçin.