व्यायाम - Microsoft Sentinel विश्लेषण के साथ खतरों का पता लगाएं

  • 20 मिनट्स

इस मॉड्यूल में Microsoft Sentinel Analytics अभ्यास के साथ खतरे का पता लगाना एक वैकल्पिक इकाई है। हालाँकि, यदि आप यह अभ्यास करना चाहते हैं, तो आपको Azure सदस्यता तक पहुँच की आवश्यकता होती है जहाँ आप Azure संसाधन बना सकते हैं. यदि आपके पास Azure सदस्यता नहीं है, तो प्रारंभ करने से पहले निःशुल्क खाता बनाएँ.

अभ्यास के लिए आवश्यक शर्तें तैनात करने के लिए, निम्नलिखित कार्य करें।

नोट

यदि आप इस मॉड्यूल में अभ्यास करना चुनते हैं, तो ध्यान रखें कि आपको अपनी Azure सदस्यता में लागतें लग सकती हैं। लागत का अनुमान लगाने के लिए, Microsoft Sentinel मूल्य निर्धारण देखें।

कार्य 1: Microsoft Sentinel ARM टेम्पलेट का उपयोग कर परिनियोजित करें

  1. निम्न लिंक का चयन करें:

    Azure में परिनियोजित करें।

    आपको Azure में साइन इन करने का संकेत दिया जाता है. कस्टम परिनियोजन फलक प्रकट होता है.

  2. मूलभूत टैब पर, प्रत्येक सेटिंग के लिए निम्न मान दर्ज करें.

    सेटिंग मूल्य
    परियोजना विवरण
    सदस्यता अपनी Azure सदस्यता का चयन करें.
    संसाधन समूह नया बनाएँ का चयन करें और संसाधन समूह के लिए एक नाम प्रदान करें, जैसे azure-sentinel-rg.
    इंस्टेंस विवरण
    क्षेत्र ड्रॉपडाउन सूची से, उस स्थान का चयन करें जहाँ आप Microsoft Sentinel को परिनियोजित करना चाहते हैं.
    कार्यस्थान का नाम Microsoft Sentinel कार्यस्थान के लिए एक अद्वितीय नाम प्रदान करें जैसे <yourName>-sentinel, जहाँ <yourName> उस कार्यस्थान नाम का प्रतिनिधित्व करता है जिसे आपने पिछले कार्य में चुना था.
    स्थान [resourceGroup().location] का डिफ़ॉल्ट मान स्वीकार करें.
    सरलवीएम नाम simple-vm का डिफ़ॉल्ट मान स्वीकार करें.
    Simplevm विंडोज ओएस संस्करण 2022-डेटासेंटर का डिफ़ॉल्ट मान स्वीकार करें।

  3. समीक्षा + बनाएं चुनें. जब सत्यापन पास हो जाता है, तो बनाएं चुनें.

    कस्टम परिनियोजन पृष्ठ का स्क्रीनशॉट.

    नोट

    परिनियोजन पूर्ण होने तक प्रतीक्षा करें. तैनाती में पांच मिनट से भी कम समय लगना चाहिए।

कार्य 2: बनाए गए संसाधनों की जाँच करें

  1. Azure पोर्टल में, संसाधन समूहखोजें.

  2. azure-sentinel-rg चुनें.

  3. संसाधनों की सूची को प्रकार के अनुसार सॉर्ट करें.

    संसाधन समूह में निम्न तालिका में सूचीबद्ध संसाधन होने चाहिए.

    नाम प्रकार या क़िस्‍म
    <yourName>-sentinel लॉग एनालिटिक्स कार्यस्थान लॉग Analytics कार्यस्थान का उपयोग Microsoft Sentinel द्वारा किया जाता है, जहाँ <yourName> उस कार्यस्थान नाम का प्रतिनिधित्व करता है, जिसे आपने पिछले कार्य में चुना था.
    simple-vmNetworkInterface नेटवर्क इंटरफ़ेस VM के लिए नेटवर्क इंटरफ़ेस।
    SecurityInsights(<yourName>-sentinel) विलयन Microsoft Sentinel के लिए सुरक्षा अंतर्दृष्टि.
    simple-vm वर्चुअल मशीन प्रदर्शन में प्रयुक्त वर्चुअल मशीन (VM)।
    st1<xxxxx> भंडारण खाता VM द्वारा उपयोग किया जाने वाला संग्रहण खाता, जहाँ <xxxxx> एक अद्वितीय संग्रहण खाता नाम बनाने के लिए उत्पन्न एक यादृच्छिक स्ट्रिंग का प्रतिनिधित्व करता है।
    vnet1 वर्चुअल नेटवर्क VM के लिए वर्चुअल नेटवर्क।

नोट

इस अभ्यास में तैनात संसाधनों और पूरे किए गए कॉन्फ़िगरेशन चरणों की आवश्यकता अगले अभ्यास में है। यदि आप अगला अभ्यास पूरा करना चाहते हैं, तो इस अभ्यास से संसाधनों को न हटाएं।

कार्य 3: Microsoft Sentinel डेटा कनेक्टर्स कॉन्फ़िगर करें

इस कार्य में, आप Azure गतिविधि का पता लगाने के लिए Microsoft Sentinel डेटा कनेक्टर लागू करें।

  1. Azure पोर्टल में, मुख पृष्ठ का चयन करें और उसके बाद Microsoft Sentinel खोजें और चुनें.

  2. Sentinel कार्यस्थान नामों की सूची में, उस Microsoft Sentinel कार्यस्थान का चयन करें जिसे आपने कार्य 2 में बनाया था. आपके Sentinel कार्यस्थान का अवलोकन फलक प्रकट होता है.

  3. मेनू फलक में, सामग्री प्रबंधन के अंतर्गत, सामग्री हब का चयन करें. सामग्री हब फलक प्रकट होता है।

  4. खोज बॉक्स में, Azure गतिविधि समाधान खोजें और चुनें. Azure गतिविधि विवरण फलक पर, स्थापित करें का चयन करें.

  5. स्थापना पूर्ण होने तक प्रतीक्षा करें और फिर प्रबंधित करें चुनें.

  6. खोज बॉक्स में, Azure गतिविधि डेटा कनेक्टर खोजें और चुनें.

  7. Azure गतिविधि विवरण फलक पर, खोलें कनेक्टर पृष्ठ का चयन करें.

  8. निर्देश टैब में, कॉन्फ़िगरेशन क्षेत्र, नीचे स्क्रॉल करें और "2" के तहत। अपनी सदस्यताएँ कनेक्ट करें..." Azure Policy Assignment Wizard> लॉन्च करें चुनें.

  9. मूलभूत बातें टैब में, क्षेत्र के अंतर्गत दीर्घवृत्त बटन (...) का चयन करें और ड्रॉप-डाउन सूची से अपनी "Azure सदस्यता" का चयन करें और चयन करें का चयन करें.

  10. पैरामीटर टैब चुनें, प्राथमिक लॉग Analytics कार्यस्थान ड्रॉप-डाउन सूची से अपना अपना नाम-प्रहरी कार्यस्थान चुनें.

  11. उपचार टैब का चयन करें और एक उपचार कार्य बनाएँ चेकबॉक्स का चयन करें। यह क्रिया लॉग Analytics कार्यस्थान पर जानकारी भेजने के लिए सदस्यता कॉन्फ़िगरेशन लागू करती है.

    नोट

    अपने मौजूदा संसाधनों पर नीति लागू करने के लिए, आपको एक उपचारात्मक कार्य बनाने की आवश्यकता है।

  12. कॉन्फ़िगरेशन की समीक्षा करने के लिए समीक्षा + बनाएँ बटन चुनें.

  13. समाप्त करने के लिए बनाएँ का चयन करें।

  14. परिनियोजन पूर्ण होने के बाद, आप कॉन्फ़िगरेशन/डेटा कनेक्टर फलक में Azure गतिविधि कनेक्टर के लिए कनेक्टेड स्थिति (हरी पट्टी) देखते हैं.

Microsoft Sentinel कनेक्टर का स्क्रीनशॉट

नोट

Azure गतिविधि के लिए कनेक्टर कनेक्टेड Microsoft Sentinel में दिखाने के लिए 15 मिनट लग सकता है। आप बाकी चरणों और इस मॉड्यूल की अन्य इकाइयों के साथ आगे बढ़ सकते हैं।