Latihan - Mendeteksi ancaman dengan analitik Microsoft Sentinel

  • 12 menit

Sebagai teknisi keamanan yang bekerja untuk Contoso, Anda baru-baru ini melihat bahwa sejumlah besar VM telah dihapus dari langganan Azure Anda. Anda ingin menganalisis kejadian ini dan waspada ketika aktivitas serupa terjadi di masa depan. Anda memutuskan untuk menerapkan aturan analitik untuk membuat insiden saat seseorang menghapus VM yang ada.

Latihan: Deteksi ancaman dengan Analitik Microsoft Sentinel

Dalam latihan ini, Anda akan menjelajahi aturan analitik Microsoft Sentinel dan melakukan tugas berikut:

  • Membuat aturan insiden dari templat yang sudah ada.
  • Panggil insiden dan tinjau tindakan terkait.
  • Buat aturan analitik dari template aturan.

Catatan

Untuk menyelesaikan latihan ini, Anda harus menyelesaikan unit Pengaturan Latihan di Unit 2. Jika Anda belum melakukannya, selesaikan sekarang, dan kemudian lanjutkan dengan langkah-langkah latihan.

Tugas 1: Membuat aturan analitik dari wizard aturan analitik

  1. Di Portal Azure, cari dan pilih Microsoft Sentinel, lalu pilih ruang kerja Microsoft Sentinel yang dibuat sebelumnya.

  2. Pada menu Microsoft Sentinel, di bagian Konfigurasi, pilih Analitik.

  3. Pada bilah header Microsoft Sentinel | Analitik, pilih Buat lalu pilh Aturan kueri terjadwal.

  4. Pada tab Umum, masukkan nilai input dalam tabel berikut, lalu pilih Berikutnya: Atur logika aturan

    Nama Penghapusan Microsoft Azure VM.
    Deskripsi Deteksi sederhana untuk pemberitahuan ketika pengguna menghapus Microsoft Azure Virtual Machine.
    Taktik Dari menu turun Taktik, pilih Dampak.
    Tingkat keparahan Pilih menu turun Tingkat keparahan, lalu pilih Sedang.
    Status Pastikan status Aktif. Anda dapat memilih Nonaktif untuk menonaktifkan aturan jika membuat banyak positif palsu.

    Screenshot Analytics Rule wizard-Create new rule.

  5. Pada tab Atur logika aturan, salin dan tempel kode berikut ini ke dalam kotak Kueri aturan:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. Di panel Simulasi hasil, pilih Uji dengan data saat ini, lalu amati hasilnya.

    Screenshot of Analytics Rule Set Logic tab.

  7. Di bagian Peningkatan pemberitahuan di bawah Pemetaan Entitas, petakan entitas yang dikembalikan sebagai bagian dari aturan kueri dan yang dapat Anda gunakan untuk melakukan analisis mendalam.

  8. Di bagian Penjadwalan Kueri, Anda dapat mengonfigurasi waktu pengoperasian kueri, dan seberapa jauh riwayat untuk dicari. Pilih kueri untuk dijalankan setiap 5 menit, dan terima riwayat default 5 jam.

  9. Di bagian Ambang batas pemberitahuan, tentukan jumlah hasil positif yang dapat dihasilkan untuk aturan sebelum pemberitahuan dibuat. Menerima nilai default.

  10. Di bagian Pengelompokan kejadian, terima pilihan default Kelompokkan semua kejadian ke dalam satu peringatan.

  11. Di bagian Penekanan, atur Berhenti menjalankan Kueri setelah peringatan dibuat ke Aktif.

  12. Terima nilai default 5 jam lalu pilih Berikutnya: Pengaturan insiden (Pratinjau).

  13. Di tab Pengaturan insiden, pastikan bahwa Diaktifkan dipilih untuk pembuatan insiden dari pemberitahuan yang dipicu oleh aturan analitik ini.

  14. Di bagian Pengelompokan pemberitahuan, pilih Diaktifkan untuk mengelompokkan pemberitahuan terkait ke dalam insiden, dan pastikan bahwa Pengelompokan akan menjadi satu insiden jika semua entitas cocok (disarankan) dipilih.

  15. Pastikan bahwa Buka kembali insiden pencocokan tertutupDinonaktifkan, lalu pilih Berikutnya: Respons otomatis.

    Screenshot Analytics Incident Settings.

  16. Di panel Respons otomatis, pilih buku pedoman untuk dijalankan secara otomatis saat peringatan dibuat. Hanya playbook berisi konektor Microsoft Sentinel Aplikasi Logika yang akan ditampilkan.

  17. Pilih Berikutnya: Tinjauan.

  18. Di halaman Tinjau dan buat , verifikasi bahwa validasi berhasil, lalu pilih Simpan.

Tugas 2: Memanggil insiden dan meninjau tindakan terkait

  1. Di portal Microsoft Azure, pilih Beranda dan di omnibox Pencarian, masukkan komputer virtual, lalu pilih Masukkan.
  2. Pada halaman Komputer virtual, temukan dan pilih komputer virtual simple-vm yang dibuat di grup sumber daya untuk latihan ini, lalu pada bilah header, pilih Hapus. Di perintah Hapus komputer virtual, pilih Ya.
  3. Di permintaan Hapus komputer virtual, pilih OK untuk menghapus komputer virtual.

Catatan

Tugas ini membuat insiden berdasarkan aturan analitik yang Anda buat di Tugas 1. Pembuatan insiden dapat memakan waktu hingga 15 menit. Anda dapat melanjutkan dengan langkah-langkah lain dari unit ini dan kemudian mengamati hasilnya di lain waktu.

Tugas 3: Membuat aturan analitik dari templat yang sudah ada

  1. Di portal Microsoft Azure, pilih Beranda, pilih Microsoft Sentinel, kemudian pilih ruang kerja Microsoft Sentinel yang Anda buat di Unit 2 pada modul ini.

  2. Buka Microsoft Sentinel, pada menu kiri di bagian Konfigurasi, pilih Analitik.

  3. Pada panel Analitik, pilih tab Templat aturan.

  4. Di bidang pencarian, masukkan Buat insiden berdasarkan Microsoft Defender untuk Cloud lalu pilih template aturan tersebut.

  5. Di panel detail, pilih Buat aturan.

  6. Di panel Umum, amati nama aturan analitik, dan verifikasi bahwa Status aturan Diaktifkan.

  7. Di bagian Logika aturan analitik, verifikasi bahwa layanan keamanan Microsoft yang menampilkan Pertahanan Microsoft untuk Cloud dipilih.

  8. Di bagian Filter menurut tingkat keparahan, pilih Kustom, lalu di menu pilihan, pilih Tinggi dan Sedang.

  9. Jika ingin filter tambahan untuk peringatan dari Pertahanan Microsoft untuk Cloud, Anda bisa menambahkan teks pada Sertakan peringatan tertentu dan Kecualikan peringatan tertentu.

  10. Pilih Berikutnya: Respons otomatis lalu pilih Berikutnya: Tinjau.

  11. Pada halaman Tinjau dan Buat, pilih Buat.

Hasil

Setelah menyelesaikan latihan ini, Anda akan membuat aturan insiden dari templat yang sudah ada dan membuat aturan kueri terjadwal dengan menggunakan kode kueri Anda sendiri.

Setelah selesai latihan, Anda harus menghapus sumber daya untuk menghindari biaya.

Membersihkan sumber daya

  1. Di portal Microsoft Azure, cari grup Sumber Daya.
  2. Pilih azure-sentinel-rg.
  3. Pada bilah header, pilih Hapus grup sumber daya.
  4. Pada bidang KETIK NAMA GRUP SUMBER DAYA:, masukkan nama dari grup sumber daya azure-sentinel-rg dan pilihHapus.