Latihan - Menyelidiki insiden

  • 20 menit

Sebagai teknisi keamanan Contoso, Anda perlu menganalisis penghapusan komputer virtual (VM) dari langganan Contoso Azure, dan diberi tahu ketika aktivitas serupa terjadi di masa mendatang. Anda memutuskan untuk menerapkan aturan analitik untuk membuat insiden saat seseorang menghapus VM yang ada. Anda kemudian dapat menyelidiki insiden untuk menentukan detailnya, dan menutup insiden ketika Anda selesai.

Dalam latihan ini, Anda membuat aturan analitik Microsoft Azure Sentinel untuk mendeteksi kapan VM dihapus. Anda kemudian menghapus VM yang Anda buat di awal modul ini, dan menyelidiki dan menyelesaikan insiden yang dibuat aturan.

Untuk menyelesaikan latihan ini, pastikan Anda menyelesaikan latihan penyiapan di awal modul dan konektor Aktivitas Azure sekarang menunjukkan status Koneksi.

Membuat aturan analitik dari wizard

Buat aturan analitik yang membuat insiden saat VM dihapus di langganan Contoso Azure.

  1. Di portal Azure, cari dan pilih Microsoft Azure Sentinel, lalu pilih ruang kerja Microsoft Azure Sentinel yang Anda buat.
  2. Pada halaman Microsoft Azure Sentinel Anda, pilih Analitik di bawah Konfigurasi di menu sebelah kiri.
  3. Pada halaman Analitik , pilih Buat>aturan kueri Terjadwal.

Tab Umum

  1. Pada tab Umum wizard, berikan informasi berikut ini.

    • Nama: Masukkan VM yang Dihapus.
    • Deskripsi: Masukkan deskripsi untuk membantu orang lain memahami apa yang dilakukan aturan.
    • Taktik dan teknik: Pilih Akses Awal.
    • Tingkat keparahan: Pilih Sedang.
    • Status: Pilih Diaktifkan.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. Pilih Berikutnya: Setel logika aturan >.

Mengatur tab logika aturan

  1. Pada tab Atur logika aturan, di bagian Kueri aturan , masukkan kueri berikut ini:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Gulir ke bawah untuk melihat atau mengatur opsi konfigurasi berikut:

    • Perluas bagian Pemetaan entitas untuk menentukan entitas yang kembali sebagai bagian dari aturan kueri, yang dapat Anda gunakan untuk analisis mendalam. Untuk latihan ini, gunakan nilai default.
    • Di bagian Penjadwalan kueri, konfigurasikan seberapa sering kueri harus berjalan, dan seberapa jauh ke belakang dalam riwayat untuk diamati. Atur Jalankan kueri setiap hingga 5 menit.
    • Di bagian Ambang pemberitahuan , Anda dapat menentukan jumlah hasil positif yang dapat mengembalikan aturan sebelum pemberitahuan dibuat. Gunakan nilai default lebih besar dari 0.
    • Di bagian Pengelompokan peristiwa, terima pilihan default Kelompokkan semua peristiwa menjadi satu peringatan.
    • Di bagian Supresi , untuk Berhenti menjalankan kueri setelah pemberitahuan dibuat, biarkan default Nonaktif.
    • Di bagian Simulasi hasil, pilih Uji dengan data saat ini, dan amati hasilnya.

  3. Pilih Berikutnya: Pengaturan insiden.

Tab pengaturan insiden

  1. Pada tab Pengaturan insiden, pastikan bahwa Buat insiden dari pemberitahuan yang dipicu oleh aturan analitik ini diatur ke Diaktifkan.
  2. Di bagian Pengelompokan pemberitahuan, pilih Diaktifkan untuk mengelompokkan pemberitahuan terkait ke dalam insiden. Pastikan bahwa Mengelompokkan pemberitahuan menjadi satu insiden jika semua entitas cocok (disarankan) dipilih.
  3. Pastikan bahwa Buka kembali insiden pencocokan tertutup dinonaktifkan.
  4. Pilih Berikutnya: Respons otomatis.

Meninjau dan membuat

  1. Pilih Berikutnya: Tinjauan.
  2. Pada tab Tinjau dan buat , saat validasi berhasil, pilih Buat.

Menghapus VM

Untuk menguji deteksi aturan dan pembuatan insiden, hapus VM yang Anda buat selama penyiapan.

  1. Di portal Microsoft Azure, cari dan pilih Komputer virtual.
  2. Pada halaman Komputer virtual, pilih kotak centang di samping simple-vm, lalu pilih Hapus dari toolbar.
  3. Pada panel Hapus Sumber Daya , masukkan hapus di bidang Masukkan "hapus" untuk mengonfirmasi penghapusan , lalu pilih Hapus.
  4. Pilih Hapus lagi.

Berikan operasi beberapa menit untuk diselesaikan sebelum Anda melanjutkan ke langkah berikutnya.

Menyelidiki insiden

Dalam langkah ini, Anda menyelidiki insiden yang dibuat Microsoft Azure Sentinel saat menghapus VM. Mungkin perlu waktu hingga 30 menit agar insiden muncul di Microsoft Azure Sentinel.

  1. Di portal Azure, cari dan pilih Microsoft Azure Sentinel, lalu pilih ruang kerja Microsoft Azure Sentinel Anda.
  2. Pada halaman Microsoft Azure Sentinel Anda, pilih Insiden di bawah Manajemen ancaman di navigasi kiri.
  3. Di halaman Insiden, pilih insiden dengan judul VM yang Dihapus.
  4. Di panel Detail VM yang Dihapus di sebelah kanan, amati detail insiden, termasuk Pemilik, Status, dan Tingkat Keparahan. Terapkan pembaruan berikut:
    • Pilih Pemilik>Tetapkan kepada saya>Terapkan.
    • Pilih Status>Aktif>Terapkan.
  5. Pilih Tampilkan detail lengkap.
  6. Di panel kiri halaman Insiden , amati total untuk Peristiwa, Pemberitahuan, dan Marka Buku di bagian Bukti .
  7. Di bagian bawah panel, pilih Selidiki.
  8. Pada halaman Investigasi , pilih item berikut dalam grafik investigasi:
    • Item insiden VM yang Dihapus di tengah halaman memperlihatkan detail insiden.
    • Entitas pengguna yang mewakili akun pengguna Anda, menunjukkan bahwa Anda menghapus VM.
  9. Di bagian atas halaman Selidiki, pilih Status>Ditutup.
  10. Di menu drop-down Pilih klasifikasi, pilih Positif Jinak - Mencurigakan tetapi diharapkan.
  11. Di bidang Komentar, masukkan Pengujian langkah-langkah pembuatan dan resolusi insiden, lalu pilih Terapkan.
  12. Pilih ikon tutup untuk menutup halaman Selidiki dan Insiden .
  13. Pada halaman Insiden, amati bahwa Buka insiden dan Insiden Aktif sekarang memiliki nilai 0.

Anda telah berhasil membuat aturan analitik Microsoft Azure Sentinel, menghapus VM untuk membuat insiden, dan menyelidiki dan menutup insiden yang dibuat aturan.

Membersihkan sumber daya

Untuk menghindari timbulnya biaya, hapus sumber daya Azure yang Anda buat dalam modul ini saat Anda selesai dengannya. Untuk menghapus sumber daya, selesaikan langkah-langkah berikut:

  1. Di portal Microsoft Azure, cari grup Sumber Daya.
  2. Pada halaman Grup sumber daya, pilih azure-sentinel-rg.
  3. Pada halaman azure-sentinel-rg , pilih Hapus grup sumber daya dari bilah menu atas.
  4. Pada halaman Hapus grup sumber daya, di bawah Masukkan nama grup sumber daya untuk mengonfirmasi penghapusan, masukkan azure-sentinel-rg.
  5. Pilih Hapus, lalu pilih Hapus lagi.