Exercice : Créer un playbook Microsoft Sentinel

  • 15 minutes

L’exercice Créer un playbook Microsoft Sentinel dans ce module est facultatif. Toutefois, si vous voulez faire cet exercice, vous devez avoir accès à un abonnement Azure dans lequel vous pouvez créer des ressources Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Pour déployer les prérequis de l’exercice, effectuez les tâches suivantes.

Notes

Si vous choisissez d’effectuer l’exercice dans ce module, sachez que des frais peuvent s’appliquer dans votre abonnement Azure. Pour estimer le coût, consultez les tarifs de Microsoft Sentinel.

Tâche 1 : Déployer Microsoft Sentinel

  1. Sélectionnez le lien suivant :

    Deploy To Azure.

    Vous êtes invité à vous connecter à Azure.

  2. Dans la page Déploiement personnalisé, fournissez les informations suivantes :

    Étiquette Description
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez Créer et fournissez le nom du nouveau groupe de ressources, par exemple, azure-sentinel-rg.
    Région Dans le menu déroulant, sélectionnez la région où déployer Microsoft Sentinel.
    Nom de l’espace de travail Spécifiez un nom unique pour l’espace de travail Microsoft Sentinel, par exemple <yourName>-Sentinel, où <yourName> représente le nom de l’espace de travail que vous avez choisi dans la tâche précédente.
    Emplacement Acceptez la valeur par défaut [resourceGroup().location].
    Nom de machine virtuelle simple Acceptez la valeur par défaut simple-vm.
    Version du système d’exploitation Windows de machine virtuelle simple Acceptez la valeur par défaut 2016-Datacenter.

    Screenshot of the custom deployment inputs for a Microsoft template.

  3. Sélectionnez Vérifier + créer, puis quand les données ont été validées, sélectionnez Créer.

    Notes

    Attendez la fin du déploiement. Le déploiement doit prendre moins de cinq minutes.

    Screenshot of the successful custom deployment.

Tâche 2 : Vérifier les ressources créées

  1. Dans la page Vue d’ensemble du déploiement, sélectionnez Accéder au groupe de ressources. Les ressources de votre déploiement personnalisé s’affichent.

  2. Sélectionnez Accueil, puis sous Services Azure, recherchez et sélectionnez Groupes de ressources.

  3. Sélectionnez azure-sentinel-rg.

  4. Triez la liste des ressources par type.

  5. Le groupe de ressources doit contenir les ressources affichées dans le tableau suivant.

    Nom Type Description
    <yourName>-Sentinel Espace de travail Log Analytics Espace de travail Log Analytics utilisé par Microsoft Sentinel, où <yourName> représente le nom de l’espace de travail que vous avez choisi dans la tâche précédente.
    simple-vmNetworkInterface interface réseau Interface réseau de la machine virtuelle.
    SecurityInsights(<yourName>-Sentinel) Solution Insights de sécurité pour Microsoft Sentinel.
    st1<xxxxx> Compte de stockage Compte de stockage utilisé par la machine virtuelle.
    simple-vm Machine virtuelle Machine virtuelle utilisée dans la démonstration.
    vnet1 Réseau virtuel Réseau virtuel de la machine virtuelle.

Notes

Les ressources déployées et les étapes de configuration effectuées dans le cadre de cet exercice sont requises dans l’exercice suivant. Si vous avez prévu d’effectuer l’exercice suivant, ne supprimez pas les ressources de cet exercice.

Tâche 3 : Configurer les connecteurs Microsoft Sentinel

  1. Dans le portail Azure, recherchez Microsoft Sentinel et sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé précédemment.

  2. Dans le volet Microsoft Sentinel | Vue d’ensemble, dans le menu de gauche, faites défiler jusqu’à Gestion de contenu et sélectionnez Hub de contenu.

  3. Dans la page Hub de contenu, tapez Activité Azure dans le formulaire Recherche, puis sélectionnez la solution Activité Azure.

  4. Dans le volet détails de la solution Activité Azure, sélectionnez Installer.

  5. Dans la colonne centrale Nom du contenu, sélectionnez le connecteur de données Activité Azure.

    Remarque

    Cette solution installe les types de contenu suivants : 12 règles analytiques, 14 requêtes de chasse, 1 classeur et le connecteur de données Activité Azure.

  6. Sélectionnez Ouvrir la page du connecteur.

  7. Dans la zone Instructions/Configuration, faites défiler vers le bas et sous 2. Connecter vos abonnements, sélectionnez Lancer l’Assistant Attribution Azure Policy.

  8. Sous l’onglet Informations de base de l’Assistant, sélectionnez les points de suspension ... sous Étendue. Dans le volet Étendues, sélectionnez votre abonnement, puis sélectionnez Sélectionner.

  9. Sélectionnez l’onglet Paramètres et choisissez votre espace de travail Microsoft Sentinel dans la liste déroulante Espace de travail Log Analytics principal.

  10. Sélectionnez l’onglet Correction et cochez la case Créer une tâche de correction. Cette action applique l’attribution de stratégie aux ressources Azure déjà existantes.

  11. Sélectionnez le bouton Vérifier + créer pour passer en revue la configuration, puis sélectionnez Créer.

    Notes

    Comme le connecteur pour l’activité Azure utilise des attributions de stratégie, vous devez avoir des autorisations de rôle qui vous permettent de créer des attributions de stratégie. Il faut compter généralement 15 minutes pour que l’état Connecté s’affiche. Pendant le déploiement du connecteur, vous pouvez continuer à effectuer le reste des étapes de cette unité et des unités suivantes de ce module.

    Screenshot that displays the Microsoft Sentinel Azure Activity Content Hub solution.

Tâche 4 : Créer une règle analytique

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Sentinel, puis sélectionnez l’espace de travail Microsoft Sentinel que vous avez créé précédemment.

  2. Dans la page Microsoft Sentinel, dans la barre de menus, dans la section Configuration, sélectionnez Analytique.

  3. Dans la page Microsoft Sentinel | Analytique, sélectionnez Créer, puis Règle de requête NRT (préversion).

  4. Dans la page Général, fournissez les entrées du tableau suivant, puis sélectionnez Suivant : Définir la logique de la règle >.

    Étiquette Description
    Nom Fournissez un nom descriptif comme Supprimer les machines virtuelles pour expliquer le type d’activité suspecte détecté par l’alerte.
    Description Entrez une description détaillée pour aider les autres analystes de la sécurité à comprendre ce que fait la règle.
    Tactiques et techniques Dans le menu déroulant Tactiques et techniques, choisissez la catégorie Accès initial pour classer la règle en suivant la tactique MITRE.
    Gravité Sélectionnez le menu déroulant Gravité pour catégoriser le niveau d’importance de l’alerte selon l’une des quatre options suivantes : Élevé, moyen, faible ou informatif.
    Statut Spécifie l’état de la règle. Par défaut, l’état est Activé. Vous pouvez sélectionner Désactivé pour désactiver la règle si elle génère un grand nombre de faux positifs.

  5. Dans la page Définir la logique de la règle, dans la section Requête de règle, entrez la requête suivante :

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. Acceptez les valeurs par défaut de tous les autres paramètres, puis sélectionnez Suivant : Paramètre d’incident.

  7. Sous l’onglet Paramètre d’incident, vérifiez que l’option Activé est sélectionnée pour créer des incidents à partir d’alertes déclenchées par cette règle analytique. Ensuite, sélectionnez Suivant : Réponse automatisée.

  8. Sous l’onglet Réponse automatisée, vous pouvez sélectionner un playbook à exécuter automatiquement quand l’alerte est générée. Seuls les playbooks qui contiennent un connecteur Logic Apps Microsoft Sentinel sont affichés.

  9. Sélectionnez Suivant : Vérification).

  10. Dans la page Vérifier et créer, vérifiez que la validation a réussi, puis sélectionnez Créer.

Notes

Plus d’informations sur les règles analytiques Microsoft Sentinel sont disponibles dans le module « Détection des menaces avec l’analytique Microsoft Sentinel ».