Übung: Erkennen von Bedrohungen mit Microsoft Sentinel Analytics

  • 20 Minuten

Die Übung „Bedrohungserkennung mit Microsoft Sentinel Analytics“ in diesem Modul ist eine optionale Lerneinheit. Wenn Sie diese Übung durchführen möchten, benötigen Sie jedoch Zugriff auf ein Azure-Abonnement, in dem Sie Azure-Ressourcen erstellen können. Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

Führen Sie die folgenden Aufgaben aus, um die Voraussetzungen für die Übung zu erfüllen.

Hinweis

Wenn Sie sich entscheiden, die Übung in diesem Modul durchzuführen, bedenken Sie, dass in Ihrem Azure-Abonnement Kosten anfallen können. Informationen zum Schätzen der Kosten finden Sie unter Microsoft Sentinel – Preise.

Aufgabe 1: Bereitstellen von Microsoft Sentinel mithilfe einer ARM-Vorlage

  1. Wählen Sie den folgenden Link aus:

    Deploy To Azure.

    Sie werden aufgefordert, sich bei Azure anzumelden. Der Bereich Benutzerdefinierte Bereitstellung wird angezeigt.

  2. Füllen Sie auf der Registerkarte Grundlagen die folgenden Felder für jede Einstellung aus.

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource group Wählen Sie Neu erstellen aus, und geben Sie einen Namen wie azure-sentinel-rg für die neue Ressourcengruppe an.
    Instanzendetails
    Region Wählen Sie in der Dropdownliste den Ort aus, an dem Sie Microsoft Sentinel bereitstellen möchten.
    Name des Arbeitsbereichs Geben Sie einen eindeutigen Namen (z. B. <yourName>-sentinel) für den Microsoft Sentinel-Arbeitsbereich an, wobei <yourName> den von Ihnen in der vorherigen Aufgabe ausgewählten Arbeitsbereichsnamen darstellt.
    Standort Übernehmen Sie den Standardwert [resourceGroup().location].
    Simplevm-Name Übernehmen Sie den Standardwert simple-vm.
    Simplevm: Windows-Betriebssystemversion Übernehmen Sie den Standardwert 2016-Datacenter.

  3. Wählen Sie Überprüfen + erstellen aus. Klicken Sie nach der Validierung auf Erstellen.

    Screenshot of the Custom Deployment page.

    Hinweis

    Warten Sie, bis die Bereitstellung abgeschlossen ist. Die Bereitstellung sollte weniger als fünf Minuten dauern.

Aufgabe 2: Überprüfen der erstellten Ressourcen

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen.

  2. Wählen Sie azure-sentinel-rg aus.

  3. Sortieren Sie die Liste der Ressourcen nach Typ.

    Die Ressourcengruppe muss die in der folgenden Tabelle aufgeführten Ressourcen enthalten.

    Name Typ BESCHREIBUNG
    <yourName>-sentinel Log Analytics-Arbeitsbereich Dies ist der Log Analytics-Arbeitsbereich, der von Microsoft Sentinel verwendet wird. Dabei stellt <yourName> den von Ihnen in der vorherigen Aufgabe ausgewählten Arbeitsbereichsnamen dar.
    simple-vmNetworkInterface Netzwerkschnittstelle Die Netzwerkschnittstelle für die VM.
    SecurityInsights(<yourName>-sentinel) Lösung Sicherheitserkenntnisse für Microsoft Sentinel
    simple-vm Virtueller Computer Dies ist ein virtueller Computer (VM), der in der Demonstration verwendet wird.
    st1<xxxxx> Speicherkonto Dies ist das von der VM verwendete Speicherkonto, wobei <xxxxx> eine zufällige Zeichenfolge darstellt, die zum Erstellen eines eindeutigen Speicherkontonamens generiert wird.
    vnet1 Virtuelles Netzwerk Das virtuelle Netzwerk der VM.

Hinweis

Die in dieser Übung bereitgestellten Ressourcen und die in dieser Übung abgeschlossenen Konfigurationsschritte sind in der nächsten Übung erforderlich. Wenn Sie beabsichtigen, die nächste Übung zu absolvieren, löschen Sie nicht die Ressourcen aus dieser Übung.

Aufgabe 3: Konfigurieren von Microsoft Sentinel-Connectors

In dieser Aufgabe stellen Sie einen Microsoft Sentinel-Connector für die Azure-Aktivität bereit.

  1. Wählen Sie im Azure-Portal Start aus, suchen Sie dann nach Microsoft Sentinel, und wählen Sie diesen Eintrag aus.

  2. Wählen Sie in der Liste der Sentinel-Arbeitsbereichsnamen den Microsoft Sentinel-Arbeitsbereich aus, den Sie in Aufgabe 2 erstellt haben. Der Bereich Übersicht für Ihren Sentinel-Arbeitsbereich wird angezeigt.

  3. Wählen Sie im Menübereich unter InhaltsverwaltungInhaltshub aus. Der Bereich Inhaltshub wird angezeigt.

  4. Suchen Sie im Suchfeld nach der Azure-Aktivitätslösung und wählen Sie sie aus. Wählen Sie im Detailbereich Azure ActivityInstallieren aus.

  5. Warten Sie, bis die Installation abgeschlossen ist und wählen Sie Verwalten aus.

  6. Suchen Sie im Suchfeld nach dem Azure Activity Data Connector und wählen Sie ihn aus.

  7. Wählen Sie im Detailbereich Azure Activity die Option Connector öffnen aus.

  8. Scrollen Sie auf der Registerkarte Anweisungen im Konfigurationsbereich nach unten und unter „2. Ihre Abonnements verbinden…" Azure Policy-Zuweisungs-Assistenten starten> aus.

  9. Wählen Sie auf der Registerkarte Grundlagen unter Bereich die Schaltfläche mit den Auslassungspunkten (…) aus, wählen Sie in der Dropdownliste Ihr „Azure-Abonnement“ aus, und wählen Sie dann Auswählen aus.

  10. Wählen Sie auf der Registerkarte Parameter Ihren Workspace yourName-sentinel aus der Dropdownliste Primärer Log Analytics-Arbeitsbereich aus.

  11. Wählen Sie die Registerkarte Wartung aus, und aktivieren Sie dann das Kontrollkästchen Korrekturtask erstellen. Mit dieser Aktion wird die Abonnementkonfiguration angewendet, um die Informationen an den Log Analytics-Arbeitsbereich zu senden.

    Hinweis

    Um die Richtlinie auf Ihre vorhandenen Ressourcen anzuwenden, müssen Sie einen Wartungstask erstellen.

  12. Wählen Sie die Schaltfläche Überprüfen + erstellen aus, um die Konfiguration zu überprüfen.

  13. Wählen Sie Erstellen aus, um den Vorgang abzuschließen.

  14. Sobald die Bereitstellung abgeschlossen ist, wird der Status Verbunden (grüne Leiste) für den Azure Activity-Connector im Bereich Konfigurations-/Datenconnectors angezeigt.

Screenshot of the Microsoft Sentinel connector.

Hinweis

Es kann 15 Minuten dauern, bis der Connector der Azure-Aktivität Verbunden in Microsoft Sentinel anzeigt. Sie können mit den restlichen Schritten und anderen Lerneinheiten dieses Moduls fortfahren.