Gyakorlat – Fenyegetések észlelése a Microsoft Sentinel-elemzéssel

  • 20 perc

Ebben a modulban a Microsoft Sentinel Analytics fenyegetésészlelése nem kötelező egység. Ha mégis el szeretné végezni ezt a gyakorlatot, olyan Azure-előfizetésre van szüksége, amelyben létrehozhat Azure-erőforrásokat. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A gyakorlat előfeltételeit az alábbi feladatok elvégzésével teremtheti meg.

Megjegyzés:

Ha a modulban szereplő gyakorlat elvégzése mellett dönt, tudnia kell, hogy ezzel kapcsolatban költségek merülhetnek fel az Azure-előfizetésében. A költségek becsléséhez tekintse meg a Microsoft Sentinel díjszabását.

1. feladat: A Microsoft Sentinel üzembe helyezése ARM-sablonnal

  1. Válassza az alábbi hivatkozást:

    Deploy To Azure.

    A rendszer az Azure-ba történő bejelentkezésre szólítja fel. Megjelenik az Egyéni üzembe helyezés panel.

  2. Az Alapszintű beállítások lapon adja meg az alábbi értékeket minden beállításhoz.

    Beállítás Value
    Projekt részletei
    Subscription Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza az Új létrehozása lehetőséget, és adja meg az erőforráscsoport nevét, például azure-sentinel-rg.
    Példány részletei
    Régió A legördülő listában válassza ki azt a helyet, ahol telepíteni szeretné a Microsoft Sentinelt.
    Munkaterület neve Adjon meg egy egyedi nevet a Microsoft Sentinel-munkaterületnek, például <yourName>-sentinelahol <az Ön Neve> az előző feladatban kiválasztott munkaterületnevet jelöli.
    Hely Fogadja el a [resourceGroup().location] alapértelmezett értékét.
    Egyszerű virtuálisgép-név Fogadja el az alapértelmezett simple-vm értéket.
    Egyszerű virtuális gép Windows operációsrendszer-verziója Fogadja el az alapértelmezett 2016-Datacenter értéket.

  3. Válassza a Véleményezés + létrehozás lehetőséget. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.

    Screenshot of the Custom Deployment page.

    Megjegyzés:

    Wait for the deployment to complete. Az üzembe helyezés általában öt percnél kevesebbet vesz igénybe.

2. feladat: A létrehozott erőforrások ellenőrzése

  1. Az Azure Portalon keressen rá az Erőforráscsoportok elemre.

  2. Válassza az azure-sentinel-rg elemet.

  3. Rendezze az erőforrások listáját típus szerint.

    Az erőforráscsoportnak tartalmaznia kell az alábbi táblázatban felsorolt erőforrásokat.

    Name Type Description
    <yourName>-sentinel Log Analytics-munkaterület A Microsoft Sentinel által használt Log Analytics-munkaterület, ahol <a YourName> az előző feladatban kiválasztott munkaterületnevet jelöli.
    simple-vmNetworkInterface Hálózati adapter A virtuális gép hálózati adaptere.
    SecurityInsights(<yourName>-sentinel) Megoldás Biztonsági megállapítások a Microsoft Sentinelhez.
    simple-vm Virtual machine A bemutatóhoz használt virtuális gép.
    st1<xxxxx> Storage account A virtuális gép által használt tárfiók, ahol <az xxxxx> egy véletlenszerű sztringet jelöl, amely egy egyedi tárfióknév létrehozásához jön létre.
    vnet1 Virtuális hálózat Virtuális hálózat a virtuális géphez.

Megjegyzés:

Az ebben a gyakorlatban üzembe helyezett erőforrásokra és az elvégzett konfigurációs lépésekre a következő gyakorlatban is szükség lesz. Ha a következő gyakorlatot szeretné elvégezni, ne törölje az erőforrásokat ebből a gyakorlatból.

3. feladat: Microsoft Sentinel-adatösszekötők konfigurálása

Ebben a feladatban üzembe helyez egy Microsoft Sentinel-adatösszekötőt az Azure-tevékenység észleléséhez.

  1. Az Azure Portalon válassza a Kezdőlap lehetőséget, majd keresse meg és válassza a Microsoft Sentinelt.

  2. A Sentinel-munkaterületek listában válassza ki a 2. feladatban létrehozott Microsoft Sentinel-munkaterületet. Megjelenik a Sentinel-munkaterület Áttekintés panelje.

  3. A menüpanel Tartalomkezelés területén válassza a Tartalomközpont lehetőséget. Megjelenik a Tartalomközpont panel.

  4. A Keresőmezőben keresse meg és válassza ki az Azure Activity Solutiont. Az Azure Tevékenység részletei panelen válassza a Telepítés lehetőséget.

  5. Várja meg, amíg a telepítés befejeződik, és válassza a Kezelés lehetőséget.

  6. A Keresőmezőben keresse meg és válassza ki az Azure Activity Data-összekötőt.

  7. Az Azure Tevékenység részletei panelen válassza az Összekötő megnyitása lapot.

  8. Az Utasítások lap Konfiguráció területén görgessen le és a "2" alatt. előfizetések Csatlakozás..." válassza az Azure Policy-hozzárendelés indítása varázslót>.

  9. Az Alapszintű beállítások lapon válassza a Hatókör alatt található három pont (...) gombot, majd válassza ki az "Azure-előfizetést" a legördülő listából, és válassza a Kiválasztás lehetőséget.

  10. Válassza a Paraméterek lapot, és válassza ki aName-sentinel munkaterületet az Elsődleges Log Analytics-munkaterület legördülő listájából.

  11. Jelölje be a Szervizelés lapot, és jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet. Ez a művelet az előfizetés konfigurációját alkalmazza az információk Log Analytics-munkaterületre való elküldéséhez.

    Megjegyzés:

    Ha a szabályzatot a meglévő erőforrásokra szeretné alkalmazni, létre kell hoznia egy szervizelési feladatot.

  12. A konfiguráció áttekintéséhez válassza a Véleményezés + Létrehozás gombot.

  13. A befejezéshez válassza a Létrehozás lehetőséget .

  14. Az üzembe helyezés befejezése után a Konfiguráció/Adatösszekötők panelen megjelenik az Azure-tevékenység-összekötő Csatlakozás állapota (zöld sáv).

Screenshot of the Microsoft Sentinel connector.

Megjegyzés:

Az Azure-tevékenység összekötője 15 percig is eltarthat, amíg megjelenik a Microsoft Sentinelben Csatlakozás. Addig továbbhaladhat a többi lépéssel és a modul többi leckéjével.