Gyakorlat – Fenyegetések keresése a Microsoft Sentinel használatával
A Contoso biztonsági mérnökeként nemrég észrevette, hogy jelentős számú virtuális gépet töröltek az Azure-előfizetéséből. Egy törölt virtuális gépet szeretne szimulálni, elemezni ezt az előfordulást, és megérteni a Microsoft Sentinel potenciális fenyegetésének főbb elemeit.
Ebben a gyakorlatban töröl egy virtuális gépet, kezeli a fenyegetéskeresési lekérdezéseket, és könyvjelzőkkel menti a legfontosabb megállapításokat.
Megjegyzés:
A gyakorlatot akkor tudja elvégezni, ha a modul korábbi szakaszában elvégezte az előkészítő gyakorlatot. Ha még nem tette meg, kérjük, tegye meg most.
Virtuális gép törlése
Ebben a feladatban töröl egy virtuális gépet a szabályészlelés és az incidenslétrehozás teszteléséhez.
- Az Azure Portalon keresse meg és válassza a Virtuális gépek lehetőséget.
- A Virtuális gépek oldalon jelölje be a simple-vm címkéjű virtuális gép melletti jelölőnégyzetet, majd válassza az eszköztár Törlés elemét.
- Az Erőforrások törlése panelen erősítse meg a törlést, majd válassza a Törlés lehetőséget.
A Microsoft Sentinel fenyegetéskeresési lekérdezéseinek kezelése
Ebben a feladatban fenyegetéskeresési lekérdezéseket hozhat létre és kezelhet az előző feladat virtuális gépének törlésével kapcsolatos események áttekintéséhez. A virtuális gép törlése után akár 5 percig is eltarthat, amíg az esemény megjelenik a Microsoft Sentinelben.
Az Azure Portalon keresse meg és válassza ki a Microsoft Sentinelt, majd válassza ki a korábban létrehozott Sentinel-munkaterületet.
A Microsoft Sentinel lap menüsávjának Fenyegetéskezelés szakaszában válassza a Vadászat lehetőséget.
A Vadászat lapon válassza a Lekérdezések lapot. Ezután válassza az Új lekérdezés lehetőséget.
Az Egyéni lekérdezés létrehozása lapon adja meg a következő bemeneteket, majd válassza a Létrehozás lehetőséget.
Név: Adja meg a törölt virtuális gépeket.
Leírás: Adjon meg egy részletes leírást, amely segít más biztonsági elemzőknek megérteni a szabályt.
Egyéni lekérdezés: Adja meg a következő kódot.
AzureActivity | where OperationName == 'Delete Virtual Machine' | where ActivityStatus == 'Accepted' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddress
Taktikák: Válassza ki az Érintett elemet.
A Hunting oldal Lekérdezések lapján írja be a Törölt virtuális gépek kifejezést a Keresési lekérdezések mezőbe.
A lekérdezések listájában válassza a Törölt virtuális gépek melletti csillag ikont a lekérdezés kedvencként való megjelöléséhez.
Válassza ki a Törölt virtuális gépek lekérdezést . A részletek panelen válassza az Eredmények megtekintése lehetőséget.
Megjegyzés:
A törölt virtuálisgép-esemény a Microsoft Sentinelnek való elküldése akár 15 percet is igénybe vehet. Ha a virtuális gép törlési eseménye nem jelenik meg, rendszeresen futtathatja a lekérdezést az Eredmények lapon.
A Naplók lapon, az Eredmények szakaszban válassza ki a felsorolt eseményt. Az Engedélyezés oszlopban kell lennie
"action": "Microsoft.Compute/virtualMachines/delete"
. Ez az Azure-tevékenységnaplóból származó esemény, amely azt jelzi, hogy a virtuális gépet törölték.Maradjon ezen az oldalon a következő feladatig.
A fontosabb eredmények mentése könyvjelzőkkel
Ebben a feladatban könyvjelzőkkel mentheti az eseményeket, és további kereséseket hajthat végre.
- A Naplók lapon az Eredmények szakaszban jelölje be a jelölőnégyzetet a felsorolt esemény mellett. Ezután válassza a Könyvjelző hozzáadása lehetőséget.
- A Könyvjelző hozzáadása panelen válassza a Létrehozás lehetőséget.
- A lap tetején válassza a Microsoft Sentinel elemet a nyomvonalon.
- A Vadászat lapon válassza a Könyvjelzők lapot.
- A könyvjelzők listájában válassza ki azt a könyvjelzőt, amely a törölt virtuális gépekkel kezdődik.
- A részletek lapon válassza a Vizsgálat lehetőséget.
- A Vizsgálat lapon válassza a Törölt virtuális gépek lehetőséget, és figyelje meg az incidens részleteit.
- A Vizsgálat oldalon jelölje ki a gráfban a felhasználónak megfelelő entitást. Ez a felhasználói fiókja, amely azt jelzi, hogy törölte a virtuális gépet.
EREDMÉNY
Ebben a gyakorlatban törölt egy virtuális gépet, felügyelt fenyegetéskeresési lekérdezéseket, és könyvjelzőkkel mentette a kulcsmegáltalásokat.
Azure-erőforrások tisztítása
Miután befejezte a gyakorlatban létrehozott Azure-erőforrások használatát, törölje őket a költségek elkerülése érdekében:
- Az Azure Portalon keressen rá az Erőforráscsoportok elemre.
- Válassza ki az erőforráscsoportot.
- A fejlécsávban válassza az Erőforráscsoport törlése lehetőséget.
- Az ERŐFORRÁSCSOPORT NEVE mezőbe írja be az erőforráscsoport nevét, és válassza a Törlés lehetőséget.