Anterior

Siguientes

Ejercicio: Búsqueda de amenazas mediante Microsoft Sentinel

Completado

Como ingeniero de seguridad que trabaja para Contoso, recientemente ha observado que se ha eliminado un número considerable de máquinas virtuales (VM) de la suscripción de Azure. Quiere simular una máquina virtual eliminada, analizar esta incidencia y entender los elementos clave de la amenaza potencial en Microsoft Sentinel.

En este ejercicio, elimina una máquina virtual, administra consultas de búsqueda de amenazas y guarda los hallazgos importantes con marcadores.

Nota:

Para realizar este ejercicio, debe haber completado el ejercicio de configuración anteriormente en el módulo. Si no lo ha hecho, hágalo ahora.

Eliminación de una máquina virtual

En esta tarea elimina una máquina virtual para probar la detección de reglas y la creación de incidentes.

1. En Azure Portal, busque y seleccione Máquinas virtuales.
2. En la página Máquinas virtuales, active la casilla situada junto a la máquina virtual con la etiqueta simple-vm y luego seleccione Eliminar en la barra de herramientas.
3. En el panel Eliminar recursos, confirme la eliminación y seleccione Eliminar.

Administración de consultas de búsqueda de amenazas de Microsoft Sentinel

En esta tarea, crea y administra consultas de búsqueda de amenazas para revisar eventos relacionados con la eliminación de la máquina virtual de la tarea anterior. El evento puede tardar hasta 5 minutos en aparecer en Microsoft Sentinel tras la eliminación de la máquina virtual.

1. En Azure Portal, busque y seleccione Microsoft Sentinel, y luego seleccione el área de trabajo de Sentinel que ha creado antes.

2. En la página Microsoft Sentinel, en la barra de menús de la sección Administración de amenazas, seleccione Búsqueda.

3. En la página Búsqueda, seleccione la pestaña Consultas. A continuación, elija Nueva consulta.

4. En la página Crear consulta personalizada, proporcione las entradas siguientes y luego seleccione Crear.

   • Nombre: escriba Máquinas virtuales eliminadas.

   • Descripción: escriba una descripción detallada que ayude a otros analistas de seguridad a entender lo que hace la regla.

   • Consulta personalizada: escriba el código siguiente.

       AzureActivity
       | where OperationName == 'Delete Virtual Machine'
       | where ActivityStatus == 'Accepted'
       | extend AccountCustomEntity = Caller
       | extend IPCustomEntity = CallerIpAddress
     

   • Tácticas: seleccione Impacto.

5. En la página Búsqueda, en la pestaña Consultas, escriba Deleted VMs en el campo Consultas de búsqueda.

6. En la lista de consultas, seleccione el icono de estrella situado junto a Deleted VMs para marcar la consulta como favorita.

7. Seleccione la consulta Deleted VMs. Después, en el panel de detalles, seleccione Ver resultados.

   Nota:

   El evento de máquina virtual eliminada puede tardar hasta 15 minutos en enviarse a Microsoft Sentinel. Puede elegir periódicamente ejecutar la consulta en la pestaña Resultados si el evento de eliminación de la máquina virtual no aparece.

8. En la página Registros, en la sección Resultados, seleccione el evento que se muestra. Debe tener "action": "Microsoft.Compute/virtualMachines/delete" en la columna Autorización. Este es el evento del registro de actividad de Azure que indica que se ha eliminado la máquina virtual.

9. Siga en esta página para la tarea siguiente.

Conservación de hallazgos importantes con marcadores

En esta tarea va a usar marcadores para guardar eventos y realizar más búsquedas.

1. En la página Registros, en la sección Resultados, active la casilla situada junto al evento que se muestra. Después, seleccione Agregar marcador.
2. En el panel Agregar marcador, seleccione Crear.
3. En la parte superior de la página, seleccione Microsoft Sentinel en el rastro de la ruta de navegación.
4. En la página Búsqueda, seleccione la pestaña Marcadores.
5. En la lista de marcadores, seleccione el marcador que comienza por Deleted VMs.
6. En la página de detalles, seleccione Investigar.
7. En la página Investigación, seleccione Deleted VMs y observe los detalles del incidente.
8. En la página Investigación, seleccione la entidad en el grafo que representa a un usuario. Esta es la cuenta de usuario, que indica que ha eliminado la máquina virtual.

Results

En este ejercicio, ha eliminado una máquina virtual, ha administrado consultas de búsqueda de amenazas y ha guardado los hallazgos importantes con marcadores.

Limpieza de los recursos de Azure

Cuando haya terminado con los recursos de Azure que ha creado en este ejercicio, elimínelos para evitar que se generen costos:

1. En Azure Portal, busque los Grupos de recursos.
2. Seleccione el grupo de recursos que necesite.
3. En la barra de encabezado, seleccione Eliminar grupo de recursos.
4. En el campo ESCRIBIR EL NOMBRE DEL GRUPO DE RECURSOS, escriba el nombre del grupo de recursos y seleccione Eliminar.

Continuar