Übung: Suchen nach Bedrohungen mithilfe von Microsoft Sentinel

  • 20 Minuten

Als technische Fachkraft für Sicherheit bei Contoso haben Sie erst kürzlich bemerkt, dass eine beträchtliche Anzahl von virtuellen Computern (VMs) aus Ihrem Azure-Abonnement gelöscht wurde. Sie möchten eine gelöschte VM simulieren, dieses Auftreten analysieren und die wichtigsten Elemente der potenziellen Bedrohung in Microsoft Sentinel verstehen.

In dieser Übung löschen Sie einen virtuellen Computer, verwalten Huntingabfragen für Bedrohungen und speichern wichtige Ergebnisse mit Lesezeichen.

Hinweis

Zum Abschließen dieser Übung müssen Sie die Einrichtungsübung früher im Modul abgeschlossen haben. Wenn Sie dies noch nicht getan haben, tun Sie dies jetzt.

Löschen einer VM

In dieser Aufgabe löschen Sie eine VM (virtueller Computer), um die Regelerkennung und die Erstellung von Incidents zu testen.

  1. Suchen Sie im Azure-Portal nach Virtuelle Computer, und klicken Sie darauf.
  2. Aktivieren Sie auf der Seite Virtuelle Computer das Kontrollkästchen neben dem virtuellen Computer mit der Bezeichnung simple-vm, und klicken Sie dann in der Symbolleiste auf Löschen.
  3. Bestätigen Sie im Bereich Ressourcen löschen den Löschvorgang, und wählen Sie dann Löschen aus.

Verwalten von Microsoft Sentinel-Abfragen zur Bedrohungssuche

In dieser Aufgabe erstellen und verwalten Sie Huntingabfragen für Bedrohungen, um Ereignisse im Zusammenhang mit der VM in der vorherigen Aufgabe zu überprüfen. Nach dem Löschen der VM kann es bis zu fünf Minuten dauern, bis das Ereignis in Microsoft Sentinel angezeigt wird.

  1. Suchen Sie im Azure-Portal nach Microsoft Sentinel, klicken Sie auf diese Option, und wählen Sie dann den zuvor erstellten Sentinel-Arbeitsbereich aus.

  2. Klicken Sie auf der Seite Microsoft Sentinel auf der Menüleiste im Abschnitt Bedrohungsmanagement auf Hunting.

  3. Wählen Sie auf der Seite Hunting die Registerkarte Abfragen aus. Wählen Sie dann Neue Abfrage aus.

  4. Stellen Sie auf der Seite Create custom query (Benutzerdefinierte Abfrage erstellen) die folgenden Eingaben bereit, und klicken Sie dann auf Erstellen.

    • Name: Geben Sie Gelöschte VMs ein.

    • Beschreibung: Geben Sie eine ausführliche Beschreibung ein, die anderen Sicherheitsanalysten hilft, den Funktionsumfang der Regel zu verstehen.

    • Benutzerdefinierte Abfrage: Geben Sie den folgenden Code ein.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • Taktiken: Wählen Sie Auswirkung aus.

  5. Geben Sie auf der Seite Hunting auf der Registerkarte AbfragenDeleted VMs (Gelöschte VMs) im Feld Search queries (Suchabfragen) ein.

  6. Klicken Sie in der Liste der Abfragen auf das Sternsymbol neben Gelöschte VMs, um die Abfrage als Favorit zu markieren.

  7. Wählen Sie die Abfrage Deleted VMs (Gelöschte VMs) aus. Wählen Sie dann im Detailbereich Ergebnisse anzeigen aus.

    Hinweis

    Es kann bis zu 15 Minuten dauern, bis das gelöschte VM-Ereignis an Microsoft Sentinel gesendet wurde. Sie können die Abfrage in regelmäßigen Abständen auf der Registerkarte Ergebnisse ausführen, wenn das VM-Löschereignis nicht angezeigt wird.

  8. Wählen Sie auf der Seite Protokolle im Abschnitt Ereignisse das aufgeführte Ereignis aus. Es sollte "action": "Microsoft.Compute/virtualMachines/delete" in der Spalte Authorization (Autorisierung) aufweisen. Dies ist das Ereignis aus dem Azure-Aktivitätsprotokoll, das angibt, dass die VM gelöscht wurde.

  9. Bleiben Sie auf dieser Seite für die nächste Aufgabe.

Speichern wichtiger Ergebnisse mit Lesezeichen

In dieser Aufgabe verwenden Sie Lesezeichen, um Ereignisse zu speichern und einen größeren Huntingvorgang durchzuführen.

  1. Aktivieren Sie auf der Seite Protokolle im Abschnitt Ereignisse das Kontrollkästchen neben dem aufgeführten Ereignis. Klicken Sie dann auf Lesezeichen hinzufügen.
  2. Klicken Sie im Bereich Lesezeichen hinzufügen auf Erstellen.
  3. Klicken Sie oben auf der Seite auf der Breadcrumb-Leiste auf Microsoft Sentinel.
  4. Wählen Sie auf der Hunting-Seite die Registerkarte Lesezeichen aus.
  5. Wählen Sie in der Liste der Lesezeichen das Lesezeichen aus, das mit gelöschten VMs beginnt.
  6. Klicken Sie auf der Detailseite auf Untersuchen.
  7. Wählen Sie auf der Seite Untersuchung die Option Deleted VMs (Gelöschte VMs) aus, und sehen Sie sich die Details des Incidents an.
  8. Wählen Sie auf der Seite Untersuchung die Entität im Diagramm aus, die einen Benutzer darstellt. Dies ist Ihr Benutzerkonto, das angibt, dass Sie den virtuellen Computer gelöscht haben.

Ergebnisse

In dieser Übung haben Sie einen virtuellen Computer gelöscht, Huntingabfragen für Bedrohungen verwaltet und wichtige Ergebnisse mithilfe von Lesezeichen gespeichert.

Bereinigen von Azure-Ressourcen

Wenn Sie die in dieser Übung erstellten Azure-Ressourcen nicht mehr benötigen, löschen Sie sie, um Kosten zu vermeiden:

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen.
  2. Wählen Sie Ihre Ressourcengruppe aus.
  3. Klicken Sie in der Kopfzeile auf Ressourcengruppe löschen.
  4. Geben Sie im Feld RESSOURCENGRUPPENNAMEN EINGEBEN den Namen der Ressourcengruppe ein, und wählen Sie Löschen aus.