Előző

Következő

Gyakorlat – Fenyegetések észlelése a Microsoft Sentinel-elemzéssel

Befejeződött

Ebben a modulban a Microsoft Sentinel Analytics fenyegetésészlelése nem kötelező egység. Ha mégis el szeretné végezni ezt a gyakorlatot, olyan Azure-előfizetésre van szüksége, amelyben létrehozhat Azure-erőforrásokat. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A gyakorlat előfeltételeit az alábbi feladatok elvégzésével teremtheti meg.

Megjegyzés:

Ha a modulban szereplő gyakorlat elvégzése mellett dönt, tudnia kell, hogy ezzel kapcsolatban költségek merülhetnek fel az Azure-előfizetésében. A költségek becsléséhez tekintse meg a Microsoft Sentinel díjszabását.

1. feladat: A Microsoft Sentinel üzembe helyezése ARM-sablonnal

1. Válassza az alábbi hivatkozást:

   

   A rendszer az Azure-ba történő bejelentkezésre szólítja fel. Megjelenik az Egyéni üzembe helyezés panel.

2. Az Alapszintű beállítások lapon adja meg az alábbi értékeket minden beállításhoz.

   Beállítás	Value
   Projekt részletei
   Subscription	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válassza az Új létrehozása lehetőséget, és adja meg az erőforráscsoport nevét, például azure-sentinel-rg.
   Példány részletei
   Régió	A legördülő listában válassza ki azt a helyet, ahol telepíteni szeretné a Microsoft Sentinelt.
   Munkaterület neve	Adjon meg egy egyedi nevet a Microsoft Sentinel-munkaterületnek, például <yourName>-sentinelahol <az Ön Neve> az előző feladatban kiválasztott munkaterületnevet jelöli.
   Hely	Fogadja el a [resourceGroup().location] alapértelmezett értékét.
   Egyszerű virtuálisgép-név	Fogadja el az alapértelmezett simple-vm értéket.
   Egyszerű virtuális gép Windows operációsrendszer-verziója	Fogadja el az alapértelmezett 2016-Datacenter értéket.

3. Válassza a Véleményezés + létrehozás lehetőséget. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.

   

   Megjegyzés:

   Wait for the deployment to complete. Az üzembe helyezés általában öt percnél kevesebbet vesz igénybe.

2. feladat: A létrehozott erőforrások ellenőrzése

1. Az Azure Portalon keressen rá az Erőforráscsoportok elemre.

2. Válassza az azure-sentinel-rg elemet.

3. Rendezze az erőforrások listáját típus szerint.

   Az erőforráscsoportnak tartalmaznia kell az alábbi táblázatban felsorolt erőforrásokat.

   Name	Type	Description
   <yourName>-sentinel	Log Analytics-munkaterület	A Microsoft Sentinel által használt Log Analytics-munkaterület, ahol <a YourName> az előző feladatban kiválasztott munkaterületnevet jelöli.
   simple-vmNetworkInterface	Hálózati adapter	A virtuális gép hálózati adaptere.
   SecurityInsights(<yourName>-sentinel)	Megoldás	Biztonsági megállapítások a Microsoft Sentinelhez.
   simple-vm	Virtual machine	A bemutatóhoz használt virtuális gép.
   st1<xxxxx>	Storage account	A virtuális gép által használt tárfiók, ahol <az xxxxx> egy véletlenszerű sztringet jelöl, amely egy egyedi tárfióknév létrehozásához jön létre.
   vnet1	Virtuális hálózat	Virtuális hálózat a virtuális géphez.

Megjegyzés:

Az ebben a gyakorlatban üzembe helyezett erőforrásokra és az elvégzett konfigurációs lépésekre a következő gyakorlatban is szükség lesz. Ha a következő gyakorlatot szeretné elvégezni, ne törölje az erőforrásokat ebből a gyakorlatból.

3. feladat: Microsoft Sentinel-adatösszekötők konfigurálása

Ebben a feladatban üzembe helyez egy Microsoft Sentinel-adatösszekötőt az Azure-tevékenység észleléséhez.

1. Az Azure Portalon válassza a Kezdőlap lehetőséget, majd keresse meg és válassza a Microsoft Sentinelt.

2. A Sentinel-munkaterületek listában válassza ki a 2. feladatban létrehozott Microsoft Sentinel-munkaterületet. Megjelenik a Sentinel-munkaterület Áttekintés panelje.

3. A menüpanel Tartalomkezelés területén válassza a Tartalomközpont lehetőséget. Megjelenik a Tartalomközpont panel.

4. A Keresőmezőben keresse meg és válassza ki az Azure Activity Solutiont. Az Azure Tevékenység részletei panelen válassza a Telepítés lehetőséget.

5. Várja meg, amíg a telepítés befejeződik, és válassza a Kezelés lehetőséget.

6. A Keresőmezőben keresse meg és válassza ki az Azure Activity Data-összekötőt.

7. Az Azure Tevékenység részletei panelen válassza az Összekötő megnyitása lapot.

8. Az Utasítások lap Konfiguráció területén görgessen le és a "2" alatt. előfizetések Csatlakozás..." válassza az Azure Policy-hozzárendelés indítása varázslót>.

9. Az Alapszintű beállítások lapon válassza a Hatókör alatt található három pont (...) gombot, majd válassza ki az "Azure-előfizetést" a legördülő listából, és válassza a Kiválasztás lehetőséget.

10. Válassza a Paraméterek lapot, és válassza ki aName-sentinelmunkaterületet az Elsődleges Log Analytics-munkaterület legördülő listájából.

11. Jelölje be a Szervizelés lapot, és jelölje be a Szervizelési feladat létrehozása jelölőnégyzetet. Ez a művelet az előfizetés konfigurációját alkalmazza az információk Log Analytics-munkaterületre való elküldéséhez.

    Megjegyzés:

    Ha a szabályzatot a meglévő erőforrásokra szeretné alkalmazni, létre kell hoznia egy szervizelési feladatot.

12. A konfiguráció áttekintéséhez válassza a Véleményezés + Létrehozás gombot.

13. A befejezéshez válassza a Létrehozás lehetőséget .

14. Az üzembe helyezés befejezése után a Konfiguráció/Adatösszekötők panelen megjelenik az Azure-tevékenység-összekötő Csatlakozás állapota (zöld sáv).

Megjegyzés:

Az Azure-tevékenység összekötője 15 percig is eltarthat, amíg megjelenik a Microsoft Sentinelben Csatlakozás. Addig továbbhaladhat a többi lépéssel és a modul többi leckéjével.

Folytatás