Gyakorlat – Fenyegetések észlelése a Microsoft Sentinel-elemzéssel
A Contoso biztonsági mérnökeként nemrég észrevette, hogy jelentős számú virtuális gépet töröltek az Azure-előfizetéséből. Elemezni szeretné ezt a jelenséget, és szeretne riasztást kapni a jövőben végzett hasonló tevékenységekről. Úgy dönt, hogy implementál egy elemzési szabályt, amely incidenst hoz létre, ha valaki töröl egy meglévő virtuális gépet.
Gyakorlat: Fenyegetésészlelés a Microsoft Sentinel Analyticsszel
Ebben a gyakorlatban egy Microsoft Sentinel-elemzési szabályt ismerhet meg, és a következő feladatokat hajthatja végre:
- Incidensszabály létrehozása meglévő sablonból.
- Incidens meghívása és az ahhoz tartozó műveletek áttekintése.
- Elemzési szabály létrehozása szabálysablonból.
Megjegyzés:
A gyakorlat elvégzéséhez be kell fejeznie a 2. leckében található Gyakorlatbeállítási egységet . Ha ezt még nem tette meg, teljesítse most, majd haladjon tovább a gyakorlat lépéseivel.
1. feladat: Elemzési szabály létrehozása az elemzési szabály varázslóból
Az Azure Portalon keresse meg és válassza ki a Microsoft Sentinelt, majd válassza ki a korábban létrehozott Microsoft Sentinel-munkaterületet.
A Microsoft Sentinel menü Konfiguráció területén válassza az Elemzés lehetőséget.
A Microsoft Sentinelen | Elemzés fejlécsávja, válassza a Létrehozás , majd az Ütemezett lekérdezési szabály lehetőséget.
Az Általános lapon adja meg a bemeneti értékeket a következő táblázatban, majd válassza a Tovább: Szabálylogika beállítása lehetőséget
Név Azure-beli virtuális gép törlése. Leírás Egyszerű észlelés, amely riasztást küld, ha valaki törli az Azure-beli virtuális gépet. Taktika A Taktika legördülő menüben válassza az Érintettség lehetőséget. Súlyosság Válassza a Súlyosság legördülő menü Közepes lehetőséget. Állapot Győződjön meg arról, hogy az állapot engedélyezve van. A Letiltva lehetőséget választva letilthat egy szabályt, ha nagy számú hamis pozitív értéket hoz létre. A Szabálylogikabeállítása lapon másolja és illessze be a következő kódot a Szabály lekérdezése szövegmezőbe:
AzureActivity | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE" | where ActivityStatusValue == "Success"
Az Eredmények szimuláció panelen válassza a Tesztelés az aktuális adatokkal lehetőséget, majd figyelje meg az eredményeket.
Az Entitásleképezés alatti Riasztások fejlesztése szakaszban képezheti le a lekérdezési szabály részeként visszaadott entitásokat, és amelyeket részletes elemzéshez használhat.
A Lekérdezésütemezés szakaszban konfigurálja, hogy milyen gyakran fusson a lekérdezés, és milyen messze legyen az előzmények között a keresés. Válassza ki az 5 percenként futtatandó lekérdezést, és fogadja el az 5 óra alapértelmezett előzményeit.
A Riasztás küszöbértéke szakaszban adja meg a szabályhoz a riasztás létrehozása előtt visszaadható pozitív eredmények számát. Fogadja el az alapértelmezett értékeket.
Az Eseménycsoportozás szakaszban fogadja el az összes esemény egyetlen riasztásba való csoportosításának alapértelmezett elemét.
A Letiltás szakaszban állítsa be a lekérdezés futtatásának leállítását a riasztás Be értékre történő létrehozása után.
Fogadja el az alapértelmezett 5 órás értékeket, majd válassza a Tovább: Incidens beállítás (előzetes verzió) lehetőséget.
Az Incidens beállítása lapon győződjön meg arról, hogy az Engedélyezve lehetőség van kiválasztva az ezen elemzési szabály által aktivált riasztásokból származó incidensek létrehozásához.
A Riasztások csoportosítása szakaszban Engedélyezze az összefüggő riasztások incidensekbe csoportosítását, ellenőrizze, hogy a Riasztások egyetlen incidensbe csoportosítása, ha az összes entitás megegyezik (ajánlott) lehetőség be van jelölve.
Győződjön meg arról, hogy a bezárt egyező incidensek újbóli megnyitása le van tiltva, majd válassza a Tovább: Automatikus válasz lehetőséget.
Az Automatikus válasz panelen válasszon ki egy forgatókönyvet, amely automatikusan fut a riasztás létrehozásakor. Csak a Logic App Microsoft Sentinel-összekötőt tartalmazó forgatókönyvek jelennek meg.
Válassza a Következő: Véleményezés lehetőséget.
A Véleményezés és létrehozás lapon ellenőrizze, hogy az ellenőrzés sikeres volt-e, majd válassza a Mentés lehetőséget.
2. feladat: Incidens meghívása és a kapcsolódó műveletek áttekintése
- Az Azure Portalon válassza a Kezdőlap lehetőséget, majd a Keresés omniboxban adja meg a virtuális gépeket, majd válassza az Enter lehetőséget.
- A Virtuális gépek lapon keresse meg és válassza ki a gyakorlat erőforráscsoportjában létrehozott egyszerű virtuális gépet, majd a fejlécsávon válassza a Törlés lehetőséget. A Virtuális gép törlése párbeszédpanelen válassza az Igen lehetőséget.
- A Virtuális gép törlése párbeszédpanelen kattintson az OK gombra a virtuális gép törléséhez.
Megjegyzés:
Ez a tevékenység egy incidenst hoz létre az 1. feladatban létrehozott elemzési szabály alapján. Az incidens létrehozása 15 percet is igénybe vehet. Addig továbbhaladhat ennek a leckének a lépéseivel, és később megfigyelheti az eredményt.
3. feladat: Elemzési szabály létrehozása meglévő sablonból
Az Azure Portalon válassza a Kezdőlap, a Microsoft Sentinel, majd a modul 2. leckéjében létrehozott Microsoft Sentinel-munkaterületet.
Nyissa meg a Microsoft Sentinelt, majd a Konfiguráció menü bal oldali menüjében válassza az Elemzés lehetőséget.
Az Elemzés panelen válassza a Szabálysablonok lapot.
A keresőmezőbe írja be az Incidensek létrehozása Felhőhöz készült Microsoft Defender alapján, majd válassza ki a szabálysablont.
A részleteket tartalmazó panelen válassza a Szabály létrehozása elemet.
Az Általános panelen figyelje meg az elemzési szabály nevét, és ellenőrizze, hogy a szabály ÁllapotaEngedélyezve.
Az Elemzési szabály logikai szakaszában ellenőrizze, hogy a Microsoft biztonsági szolgáltatás Felhőhöz készült Microsoft Defender van-e kiválasztva.
A Szűrés súlyosság szerint szakaszban válassza az Egyéni lehetőséget, majd válassza a legördülő menü Magas és Közepes elemét.
Ha további szűrőket szeretne a Felhőhöz készült Microsoft Defender riasztásaihoz, felvehet szöveget az Adott riasztások belefoglalása és adott riasztások kizárása mezőbe.
Válassza a Tovább: Automatikus válasz lehetőséget , majd válassza a Tovább: Véleményezés lehetőséget.
A Véleményezés és létrehozás lapon válassza a Létrehozás lehetőséget.
EREDMÉNY
A gyakorlat elvégzése után létrehozott egy incidensszabályt egy meglévő sablonból, és létrehozott egy ütemezett lekérdezési szabályt saját lekérdezési kóddal.
Miután befejezte a gyakorlatot, törölnie kell az erőforrásokat a költségek elkerülése érdekében.
Az erőforrások eltávolítása
- Az Azure Portalon keressen rá az Erőforráscsoportok elemre.
- Válassza az azure-sentinel-rg elemet.
- A fejlécsávon válassza az Erőforráscsoport törlése lehetőséget.
- Az ÍRJA BE AZ ERŐFORRÁSCSOPORT NEVÉT: mezőbe írja be az azure-sentinel-rg erőforráscsoport-nevet, majd válassza a Törlés lehetőséget.