السابق

التالي

تمرين - إنشاء دليل مبادئ Microsoft Sentinel

مكتمل

يكون تمرين «إنشاء دليل مبادئ Microsoft Sentinel» في هذه الوحدة النمطية وحدةً اختيارية. ومع ذلك، إذا كنت ترغب في تنفيذ هذا التمرين، تحتاج إلى الوصول إلى اشتراك Azure حيث يمكنك إنشاء موارد Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

لتوزيع المتطلبات الأساسية للتمرين، قم بتنفيذ المهام التالية.

إشعار

إذا اخترت إجراء التمرين في هذه الوحدة النمطية، فربما تتحمل تكاليف في اشتراك Azure. لتقدير التكلفة، راجع أسعار Microsoft Sentinel.

مهمة 1: نشر Microsoft Sentinel

1. حدد الارتباط التالي:

   

   مطالب بتسجيل الدخول إلى Azure.

2. في صفحة «Custom deployment» يجب توفير المعلومات التالية:

   تسمية	‏‏الوصف
   الوصف	حدد اشتراك Azure الخاص بك.
   مجموعة الموارد	حدد إنشاء جديد، واختر اسم مجموعة الموارد مثل azure-sentinel-rg.
   المنطقة	حدد، من القائمة المنسدلة، المنطقة التي تريد نشر Microsoft Sentinel فيها.
   اسم مساحة العمل	أدخل اسماً فريداً لمساحة عمل Microsoft Azure Sentinel مثل <yourName>-Sentinel، حيث يمثل <yourName> اسم مساحة العمل الذي اخترته في المهمة السابقة.
   الموقع	الموافقة على القيمة الافتراضية [resourceGroup().location]
   Simplevm Name	قبول القيمة الافتراضية simple-vm.
   "Simplevm Windows OS Version"	الموافقة على القيمة الافتراضية 2016-Datacenter.

   

3. اختر Review + create ثم عندما يتم التحقق من صحة المحتوى، اختر Create.

   إشعار

   انتظر حتى يكتمل التوزيع. يجب أن يستغرق النشر أقل من خمس دقائق.

   

المهمة 2: التحقق من الموارد التي تم إنشاؤها

1. في الصفحة نظرة عامة على التوزيع، اختر الانتقال إلى مجموعة الموارد. تظهر الموارد الخاصة بالتوزيع المخصص.

2. اختر Home، ثم ضمن Azure services اختر Resource groups.

3. حدد "azure-sentinel-rg".

4. يجب فرز قائمة الموارد حسب «Type».

5. يجب أن تحتوي مجموعة الموارد على الموارد المعروضة في الجدول التالي.

   Name	كتابة	‏‏الوصف
   <yourName>-Sentinel	مساحة عمل Log Analytics	مساحة عمل Log Analytics التي يستخدمها Microsoft Sentinel، حيث يمثل <yourName> اسم مساحة العمل الذي اخترته في المهمة السابقة.
   simple-vmNetworkInterface	واجهة الشبكة	واجهة الشبكة الخاصة بالجهاز الافتراضي.
   SecurityInsights(<yourName>-Sentinel)	Solution	تحليلات الأمان لـ Microsoft Sentinel.
   st1<xxxxx>	حساب التخزين	الجهاز الظاهري المستخدم من حساب التخزين.
   simple-vm	جهاز ظاهري	يُستخدم الجهاز الافتراضي (VM) في العرض التوضيحي.
   vnet1	الشبكة الظاهرية	الشبكة الافتراضية الخاصة بالجهاز الافتراضي.

إشعار

الموارد التي تم توزيعها وخطوات التكوين المكتملة في هذه العملية مطلوبة في التمرين التالي. إذا كنت تريد إكمال التمرين التالي، فلا تحذف الموارد من هذا التمرين.

مهمة 3: تكوين موصلات Microsoft Sentinel

1. في مدخل Azure، ابحث عن Microsoft Sentinel وحدد مساحة عمل Microsoft Sentinel التي تم إنشاؤها مسبقاً.

2. على Microsoft Sentinel | جزء نظرة عامة ، في القائمة اليمنى، مرر لأسفل إلى إدارة المحتوى وحدد مركز المحتوى.

3. في صفحة مركز المحتوى، اكتب نشاط Azure في نموذج البحث ، وحدد حل نشاط Azure.

4. في جزء تفاصيل حل نشاط Azure، حدد تثبيت.

5. في العمود اسم المحتوى الأوسط، حدد موصل بيانات نشاط Azure.

   إشعار

   يقوم هذا الحل بتثبيت أنواع المحتوى هذه: 12 قاعدة تحليلية، و14 استعلامات تتبع، ومصنف 1، وموصل بيانات نشاط Azure.

6. حدد فتح صفحة الموصل.

7. في منطقة الإرشادات/التكوين، مرر لأسفل وتحت 2. الاتصال اشتراكاتك... حدد تشغيل معالج تعيين نهج Azure.

8. في علامة التبويب Basics للمعالج، حدد علامة الحذف ... ضمن Scope. في جزء Scopes ، حدد اشتراكك ثم حدد Select.

9. حدد علامة التبويب Parameters، واختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Primary Log Analytics.

10. حدد علامة التبويب المعالجة، وحدد خانة الاختيار إنشاء مهمة معالجة. يطبق هذا الإجراء تعيين النهج على موارد Azure الموجودة بالفعل.

11. حدد الزر Review + Create لمراجعة التكوين، ثم حدد Create.

    إشعار

    يستخدم موصل نشاط Azure تعيينات النهج، تحتاج إلى أذونات الدور التي تسمح لك بإنشاء تعيينات النهج. وعادة ما يستغرق الأمر 15 دقيقة لعرض حالة الاتصال. أثناء نشر الموصل، يمكنك متابعة تنفيذ بقية الخطوات في هذه الوحدة والوحدات اللاحقة في هذه الوحدة النمطية.

    

المهمة 4: إنشاء قاعدة تحليل

1. في مدخل Azure، ابحث عن Microsoft Sentinel وحدده، ثم حدد مساحة العمل Microsoft Sentinel التي تم إنشاؤها مسبقاً.

2. افتح صفحة «Microsoft Sentinel» على شريط القوائم، وفي قسم «تكوين» حدد «تحليلات».

3. على Microsoft Sentinel | صفحة التحليلات ، حدد إنشاء ثم حدد قاعدة استعلام NRT (معاينة).

4. افتح الصفحة عام، وأدخل الإدخالات في الجدول التالي، ثم حدد Next: Set rule logic>.

   تسمية	الوصف
   الاسم	اكتب اسمًا وصفيًا مثل Delete Virtual Machines لتوضيح نوع النشاط المشبوه الذي يكتشفه التنبيه.
   ‏‏الوصف	أدخل وصفا مفصلا يساعد محللي الأمان الآخرين على فهم ما تفعله القاعدة.
   التكتيكات والتقنيات	من القائمة المنسدلة التكتيكات والتقنيات، اختر فئة الوصول الأولي لتصنيف القاعدة باتباع تكتيكات MITRE.
   الأهمية	حدد القائمة المنسدلة «Severity» لتصنيف مستوى أهمية التنبيه كأحد الخيارات الأربعة: عالٍ «High» أو متوسط «Medium» أو منخفض «Low» أو معلوماتي «Informational».
   ‏الحالة	تحديد حالة القاعدة. بشكل افتراضي، تكون الحالة ممكنة. يمكنك تحديد Disabled لتعطيل القاعدة إذا كانت تنشئ عددا كبيرا من الإيجابيات الخاطئة.

5. في صفحة "Set rule logic"، في قسم "Rule query"، أدخل الاستعلام التالي:

     AzureActivity
     | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
     | where ActivityStatusValue == 'Success'
     | extend AccountCustomEntity = Caller
     | extend IPCustomEntity = CallerIpAddress
   

6. اقبل القيم الافتراضية لجميع الإعدادات الأخرى ثم حدد Next: Incident setting.

7. في علامة التبويب Incident setting ، تأكد من تحديد Enabled لإنشاء الحوادث من التنبيهات التي تم تشغيلها بواسطة قاعدة التحليلات هذه. ثم حدد «Next: Automated respons».

8. في علامة التبويب «Automated response»، يمكنك تحديد دليل المبادئ ليتم تشغيله تلقائيًا عند إنشاء التنبيه. يتم عرض أدلة المبادئ التي تحتوي على موصل Logic App Microsoft Sentinel فقط.

9. حدد «Next: Review».

10. في الصفحة «Review and Create»، تحقق من نجاح إجراء التحقق من الصحة، ثم حدد «Create».

إشعار

يمكنك معرفة المزيد حول قواعد تحليلات Microsoft Sentinel في الوحدة النمطية "الكشف عن المخاطر باستخدام تحليلات Microsoft Sentinel".

متابعة