Cvičení – detekce hrozeb pomocí analýz Microsoft Sentinelu
Detekce hrozeb pomocí cvičení Analýzy Microsoft Sentinelu v tomto modulu je volitelná jednotka. Pokud ho budete chtít absolvovat, potřebujete přístup k předplatnému Azure, v němž můžete vytvářet prostředky Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
K nasazení požadavků pro toto cvičení proveďte následující úkoly.
Poznámka:
Upozorňujeme, že pokud se rozhodnete provádět cvičení v tomto modulu, můžou vám v předplatném Azure nabíhat poplatky. Pokud chcete odhadnout náklady, přečtěte si informace o cenách služby Microsoft Sentinel.
Úloha 1: Nasazení Služby Microsoft Sentinel pomocí šablony ARM
Vyberte následující odkaz:
Zobrazí se výzva k přihlášení do Azure. Zobrazí se podokno Vlastní nasazení .
Na kartě Základy zadejte pro každé nastavení následující hodnoty.
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina zdrojů Vyberte Vytvořit nový a zadejte název skupiny prostředků, například azure-sentinel-rg
.Podrobnosti o instanci Oblast V rozevíracím seznamu vyberte umístění, kam chcete nasadit Microsoft Sentinel. Název pracovního prostoru Zadejte jedinečný název pracovního prostoru služby Microsoft Sentinel, například <yourName>-sentinel
, kde <název vašeho názvu> představuje název pracovního prostoru, který jste zvolili v předchozím úkolu.Poloha Přijměte výchozí hodnotu [resourceGroup().location]. Název virtuálního počítače simplevm Přijměte výchozí hodnotu simple-vm. Verze operačního systému virtuálního počítače simplevm Přijměte výchozí hodnotu 2016-Datacenter. Vyberte zkontrolovat a vytvořit. Po úspěšném ověření vyberte Vytvořit.
Poznámka:
Počkejte, až se nasazení dokončí. Nasazení by nemělo trvat déle než pět minut.
Úkol 2: Kontrola vytvořených prostředků
Na webu Azure Portal vyhledejte Skupiny prostředků.
Vyberte azure-sentinel-rg.
Seznam prostředků seřaďte podle typu.
Skupina prostředků by měla obsahovat prostředky uvedené v této tabulce.
Name Typ Popis <yourName>-sentinel
Pracovní prostor služby Log Analytics Pracovní prostor služby Log Analytics používaný službou Microsoft Sentinel, kde <název vašeho názvu> představuje název pracovního prostoru, který jste zvolili v předchozím úkolu. simple-vmNetworkInterface
Síťové rozhraní Síťové rozhraní pro virtuální počítač SecurityInsights(<yourName>-sentinel)
Řešení Přehledy zabezpečení pro Microsoft Sentinel simple-vm
Virtuální počítač Virtuální počítač použitý v ukázce st1<xxxxx>
Storage account Účet úložiště používaný virtuálním počítačem, kde <xxxxx> představuje náhodný řetězec vygenerovaný k vytvoření jedinečného názvu účtu úložiště. vnet1
Virtuální síť Virtuální síť pro virtuální počítač
Poznámka:
Prostředky nasazené v tomto cvičení i provedené konfigurační kroky se vyžadují v dalším cvičení. Pokud jste chtěli dokončit další cvičení, neodstraňovat prostředky z tohoto cvičení.
Úkol 3: Konfigurace datových konektorů Microsoft Sentinelu
V této úloze nasadíte datový konektor Microsoft Sentinelu pro detekci aktivity Azure.
Na webu Azure Portal vyberte Domovská stránka a pak vyhledejte a vyberte Microsoft Sentinel.
V seznamu názvů pracovních prostorů služby Sentinel vyberte pracovní prostor Microsoft Sentinelu, který jste vytvořili v úloze 2. Zobrazí se podokno Přehled pracovního prostoru služby Sentinel.
V podokně nabídek v části Správa obsahu vyberte Centrum obsahu. Zobrazí se podokno Centra obsahu.
Do vyhledávacího pole vyhledejte a vyberte řešení aktivit Azure. V podokně Podrobností o aktivitě Azure vyberte Nainstalovat.
Počkejte na dokončení instalace a vyberte Spravovat.
Do vyhledávacího pole vyhledejte a vyberte datový konektor aktivit Azure.
V podokně Podrobností o aktivitě Azure vyberte otevřít stránku konektoru.
Na kartě Pokyny v oblasti Konfigurace se posuňte dolů a pod položkou 2. Připojení předplatných..." vyberte Spustit Průvodce> přiřazením služby Azure Policy.
Na kartě Základy vyberte tlačítko se třemi tečkami (...) v části Obor a v rozevíracím seznamu vyberte své předplatné Azure a vyberte Vybrat.
Vyberte kartu Parametry a v rozevíracím seznamu primárního pracovního prostoru služby Log Analytics zvolte pracovní prostor službyName-sentinel.
Vyberte kartu Náprava a zaškrtněte políčko Vytvořit úlohu nápravy. Tato akce použije konfiguraci předplatného k odeslání informací do pracovního prostoru služby Log Analytics.
Poznámka:
Pokud chcete zásadu použít u stávajících prostředků, musíte vytvořit úlohu nápravy.
Výběrem tlačítka Zkontrolovat a vytvořit zkontrolujte konfiguraci.
Dokončete výběr možnosti Vytvořit .
Po dokončení nasazení se v podokně Konektory konfigurace a dat zobrazí stav Připojení (zelený pruh) konektoru aktivit Azure.
Poznámka:
Zobrazení Připojení v Microsoft Sentinelu může trvat 15 minut konektoru pro aktivitu Azure. Můžete pokračovat ve zbývajících krocích a v dalších lekcích tohoto modulu.