Gyakorlat – Fenyegetések keresése a Microsoft Sentinel használatával

  • 20 perc

A Contoso biztonsági mérnökeként nemrég észrevette, hogy jelentős számú virtuális gépet töröltek az Azure-előfizetéséből. Egy törölt virtuális gépet szeretne szimulálni, elemezni ezt az előfordulást, és megérteni a Microsoft Sentinel potenciális fenyegetésének főbb elemeit.

Ebben a gyakorlatban töröl egy virtuális gépet, kezeli a fenyegetéskeresési lekérdezéseket, és könyvjelzőkkel menti a legfontosabb megállapításokat.

Megjegyzés:

A gyakorlatot akkor tudja elvégezni, ha a modul korábbi szakaszában elvégezte az előkészítő gyakorlatot. Ha még nem tette meg, kérjük, tegye meg most.

Virtuális gép törlése

Ebben a feladatban töröl egy virtuális gépet a szabályészlelés és az incidenslétrehozás teszteléséhez.

  1. Az Azure Portalon keresse meg és válassza a Virtuális gépek lehetőséget.
  2. A Virtuális gépek oldalon jelölje be a simple-vm címkéjű virtuális gép melletti jelölőnégyzetet, majd válassza az eszköztár Törlés elemét.
  3. Az Erőforrások törlése panelen erősítse meg a törlést, majd válassza a Törlés lehetőséget.

A Microsoft Sentinel fenyegetéskeresési lekérdezéseinek kezelése

Ebben a feladatban fenyegetéskeresési lekérdezéseket hozhat létre és kezelhet az előző feladat virtuális gépének törlésével kapcsolatos események áttekintéséhez. A virtuális gép törlése után akár 5 percig is eltarthat, amíg az esemény megjelenik a Microsoft Sentinelben.

  1. Az Azure Portalon keresse meg és válassza ki a Microsoft Sentinelt, majd válassza ki a korábban létrehozott Sentinel-munkaterületet.

  2. A Microsoft Sentinel lap menüsávjának Fenyegetéskezelés szakaszában válassza a Vadászat lehetőséget.

  3. A Vadászat lapon válassza a Lekérdezések lapot. Ezután válassza az Új lekérdezés lehetőséget.

  4. Az Egyéni lekérdezés létrehozása lapon adja meg a következő bemeneteket, majd válassza a Létrehozás lehetőséget.

    • Név: Adja meg a törölt virtuális gépeket.

    • Leírás: Adjon meg egy részletes leírást, amely segít más biztonsági elemzőknek megérteni a szabályt.

    • Egyéni lekérdezés: Adja meg a következő kódot.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • Taktikák: Válassza ki az Érintett elemet.

  5. A Hunting oldal Lekérdezések lapján írja be a Törölt virtuális gépek kifejezést a Keresési lekérdezések mezőbe.

  6. A lekérdezések listájában válassza a Törölt virtuális gépek melletti csillag ikont a lekérdezés kedvencként való megjelöléséhez.

  7. Válassza ki a Törölt virtuális gépek lekérdezést . A részletek panelen válassza az Eredmények megtekintése lehetőséget.

    Megjegyzés:

    A törölt virtuálisgép-esemény a Microsoft Sentinelnek való elküldése akár 15 percet is igénybe vehet. Ha a virtuális gép törlési eseménye nem jelenik meg, rendszeresen futtathatja a lekérdezést az Eredmények lapon.

  8. A Naplók lapon, az Eredmények szakaszban válassza ki a felsorolt eseményt. Az Engedélyezés oszlopban kell lennie"action": "Microsoft.Compute/virtualMachines/delete". Ez az Azure-tevékenységnaplóból származó esemény, amely azt jelzi, hogy a virtuális gépet törölték.

  9. Maradjon ezen az oldalon a következő feladatig.

A fontosabb eredmények mentése könyvjelzőkkel

Ebben a feladatban könyvjelzőkkel mentheti az eseményeket, és további kereséseket hajthat végre.

  1. A Naplók lapon az Eredmények szakaszban jelölje be a jelölőnégyzetet a felsorolt esemény mellett. Ezután válassza a Könyvjelző hozzáadása lehetőséget.
  2. A Könyvjelző hozzáadása panelen válassza a Létrehozás lehetőséget.
  3. A lap tetején válassza a Microsoft Sentinel elemet a nyomvonalon.
  4. A Vadászat lapon válassza a Könyvjelzők lapot.
  5. A könyvjelzők listájában válassza ki azt a könyvjelzőt, amely a törölt virtuális gépekkel kezdődik.
  6. A részletek lapon válassza a Vizsgálat lehetőséget.
  7. A Vizsgálat lapon válassza a Törölt virtuális gépek lehetőséget, és figyelje meg az incidens részleteit.
  8. A Vizsgálat oldalon jelölje ki a gráfban a felhasználónak megfelelő entitást. Ez a felhasználói fiókja, amely azt jelzi, hogy törölte a virtuális gépet.

EREDMÉNY

Ebben a gyakorlatban törölt egy virtuális gépet, felügyelt fenyegetéskeresési lekérdezéseket, és könyvjelzőkkel mentette a kulcsmegáltalásokat.

Azure-erőforrások tisztítása

Miután befejezte a gyakorlatban létrehozott Azure-erőforrások használatát, törölje őket a költségek elkerülése érdekében:

  1. Az Azure Portalon keressen rá az Erőforráscsoportok elemre.
  2. Válassza ki az erőforráscsoportot.
  3. A fejlécsávban válassza az Erőforráscsoport törlése lehetőséget.
  4. Az ERŐFORRÁSCSOPORT NEVE mezőbe írja be az erőforráscsoport nevét, és válassza a Törlés lehetőséget.