Gyakorlat – Fenyegetések észlelése a Microsoft Sentinel-elemzéssel

  • 12 perc

A Contoso biztonsági mérnökeként nemrég észrevette, hogy jelentős számú virtuális gépet töröltek az Azure-előfizetéséből. Elemezni szeretné ezt a jelenséget, és szeretne riasztást kapni a jövőben végzett hasonló tevékenységekről. Úgy dönt, hogy implementál egy elemzési szabályt, amely incidenst hoz létre, ha valaki töröl egy meglévő virtuális gépet.

Gyakorlat: Fenyegetésészlelés a Microsoft Sentinel Analyticsszel

Ebben a gyakorlatban egy Microsoft Sentinel-elemzési szabályt ismerhet meg, és a következő feladatokat hajthatja végre:

  • Incidensszabály létrehozása meglévő sablonból.
  • Incidens meghívása és az ahhoz tartozó műveletek áttekintése.
  • Elemzési szabály létrehozása szabálysablonból.

Megjegyzés:

A gyakorlat elvégzéséhez be kell fejeznie a 2. leckében található Gyakorlatbeállítási egységet . Ha ezt még nem tette meg, teljesítse most, majd haladjon tovább a gyakorlat lépéseivel.

1. feladat: Elemzési szabály létrehozása az elemzési szabály varázslóból

  1. Az Azure Portalon keresse meg és válassza ki a Microsoft Sentinelt, majd válassza ki a korábban létrehozott Microsoft Sentinel-munkaterületet.

  2. A Microsoft Sentinel menü Konfiguráció területén válassza az Elemzés lehetőséget.

  3. A Microsoft Sentinelen | Elemzés fejlécsávja, válassza a Létrehozás , majd az Ütemezett lekérdezési szabály lehetőséget.

  4. Az Általános lapon adja meg a bemeneti értékeket a következő táblázatban, majd válassza a Tovább: Szabálylogika beállítása lehetőséget

    Név Azure-beli virtuális gép törlése.
    Leírás Egyszerű észlelés, amely riasztást küld, ha valaki törli az Azure-beli virtuális gépet.
    Taktika A Taktika legördülő menüben válassza az Érintettség lehetőséget.
    Súlyosság Válassza a Súlyosság legördülő menü Közepes lehetőséget.
    Állapot Győződjön meg arról, hogy az állapot engedélyezve van. A Letiltva lehetőséget választva letilthat egy szabályt, ha nagy számú hamis pozitív értéket hoz létre.

    Screenshot Analytics Rule wizard-Create new rule.

  5. A Szabálylogikabeállítása lapon másolja és illessze be a következő kódot a Szabály lekérdezése szövegmezőbe:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. Az Eredmények szimuláció panelen válassza a Tesztelés az aktuális adatokkal lehetőséget, majd figyelje meg az eredményeket.

    Screenshot of Analytics Rule Set Logic tab.

  7. Az Entitásleképezés alatti Riasztások fejlesztése szakaszban képezheti le a lekérdezési szabály részeként visszaadott entitásokat, és amelyeket részletes elemzéshez használhat.

  8. A Lekérdezésütemezés szakaszban konfigurálja, hogy milyen gyakran fusson a lekérdezés, és milyen messze legyen az előzmények között a keresés. Válassza ki az 5 percenként futtatandó lekérdezést, és fogadja el az 5 óra alapértelmezett előzményeit.

  9. A Riasztás küszöbértéke szakaszban adja meg a szabályhoz a riasztás létrehozása előtt visszaadható pozitív eredmények számát. Fogadja el az alapértelmezett értékeket.

  10. Az Eseménycsoportozás szakaszban fogadja el az összes esemény egyetlen riasztásba való csoportosításának alapértelmezett elemét.

  11. A Letiltás szakaszban állítsa be a lekérdezés futtatásának leállítását a riasztás Be értékre történő létrehozása után.

  12. Fogadja el az alapértelmezett 5 órás értékeket, majd válassza a Tovább: Incidens beállítás (előzetes verzió) lehetőséget.

  13. Az Incidens beállítása lapon győződjön meg arról, hogy az Engedélyezve lehetőség van kiválasztva az ezen elemzési szabály által aktivált riasztásokból származó incidensek létrehozásához.

  14. A Riasztások csoportosítása szakaszban Engedélyezze az összefüggő riasztások incidensekbe csoportosítását, ellenőrizze, hogy a Riasztások egyetlen incidensbe csoportosítása, ha az összes entitás megegyezik (ajánlott) lehetőség be van jelölve.

  15. Győződjön meg arról, hogy a bezárt egyező incidensek újbóli megnyitása le van tiltva, majd válassza a Tovább: Automatikus válasz lehetőséget.

    Screenshot Analytics Incident Settings.

  16. Az Automatikus válasz panelen válasszon ki egy forgatókönyvet, amely automatikusan fut a riasztás létrehozásakor. Csak a Logic App Microsoft Sentinel-összekötőt tartalmazó forgatókönyvek jelennek meg.

  17. Válassza a Következő: Véleményezés lehetőséget.

  18. A Véleményezés és létrehozás lapon ellenőrizze, hogy az ellenőrzés sikeres volt-e, majd válassza a Mentés lehetőséget.

2. feladat: Incidens meghívása és a kapcsolódó műveletek áttekintése

  1. Az Azure Portalon válassza a Kezdőlap lehetőséget, majd a Keresés omniboxban adja meg a virtuális gépeket, majd válassza az Enter lehetőséget.
  2. A Virtuális gépek lapon keresse meg és válassza ki a gyakorlat erőforráscsoportjában létrehozott egyszerű virtuális gépet, majd a fejlécsávon válassza a Törlés lehetőséget. A Virtuális gép törlése párbeszédpanelen válassza az Igen lehetőséget.
  3. A Virtuális gép törlése párbeszédpanelen kattintson az OK gombra a virtuális gép törléséhez.

Megjegyzés:

Ez a tevékenység egy incidenst hoz létre az 1. feladatban létrehozott elemzési szabály alapján. Az incidens létrehozása 15 percet is igénybe vehet. Addig továbbhaladhat ennek a leckének a lépéseivel, és később megfigyelheti az eredményt.

3. feladat: Elemzési szabály létrehozása meglévő sablonból

  1. Az Azure Portalon válassza a Kezdőlap, a Microsoft Sentinel, majd a modul 2. leckéjében létrehozott Microsoft Sentinel-munkaterületet.

  2. Nyissa meg a Microsoft Sentinelt, majd a Konfiguráció menü bal oldali menüjében válassza az Elemzés lehetőséget.

  3. Az Elemzés panelen válassza a Szabálysablonok lapot.

  4. A keresőmezőbe írja be az Incidensek létrehozása Felhőhöz készült Microsoft Defender alapján, majd válassza ki a szabálysablont.

  5. A részleteket tartalmazó panelen válassza a Szabály létrehozása elemet.

  6. Az Általános panelen figyelje meg az elemzési szabály nevét, és ellenőrizze, hogy a szabály ÁllapotaEngedélyezve.

  7. Az Elemzési szabály logikai szakaszában ellenőrizze, hogy a Microsoft biztonsági szolgáltatás Felhőhöz készült Microsoft Defender van-e kiválasztva.

  8. A Szűrés súlyosság szerint szakaszban válassza az Egyéni lehetőséget, majd válassza a legördülő menü Magas és Közepes elemét.

  9. Ha további szűrőket szeretne a Felhőhöz készült Microsoft Defender riasztásaihoz, felvehet szöveget az Adott riasztások belefoglalása és adott riasztások kizárása mezőbe.

  10. Válassza a Tovább: Automatikus válasz lehetőséget , majd válassza a Tovább: Véleményezés lehetőséget.

  11. A Véleményezés és létrehozás lapon válassza a Létrehozás lehetőséget.

EREDMÉNY

A gyakorlat elvégzése után létrehozott egy incidensszabályt egy meglévő sablonból, és létrehozott egy ütemezett lekérdezési szabályt saját lekérdezési kóddal.

Miután befejezte a gyakorlatot, törölnie kell az erőforrásokat a költségek elkerülése érdekében.

Az erőforrások eltávolítása

  1. Az Azure Portalon keressen rá az Erőforráscsoportok elemre.
  2. Válassza az azure-sentinel-rg elemet.
  3. A fejlécsávon válassza az Erőforráscsoport törlése lehetőséget.
  4. Az ÍRJA BE AZ ERŐFORRÁSCSOPORT NEVÉT: mezőbe írja be az azure-sentinel-rg erőforráscsoport-nevet, majd válassza a Törlés lehetőséget.