Latihan - Membuat playbook Microsoft Sentinel

  • 15 menit

Latihan Membuat playbook Microsoft Sentinel dalam modul ini adalah unit opsional. Namun, jika Anda ingin melakukan latihan ini, Anda memerlukan akses ke langganan Azure tempat Anda dapat membuat sumber daya Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Untuk menyebarkan prasyarat untuk latihan, lakukan tugas berikut.

Catatan

Jika Anda memilih untuk melakukan latihan dalam modul ini, ketahuilah bahwa Anda mungkin dikenakan biaya di Langganan Azure Anda. Untuk memperkirakan biaya, buka Harga Microsoft Sentinel.

Tugas 1: Menyebarkan Microsoft Sentinel

  1. Pilih tautan di bawah:

    Deploy To Azure.

    Anda diminta untuk masuk ke Azure.

  2. Pada halaman Penyebaran kustom, berikan informasi berikut ini:

    Label Deskripsi
    Langganan Pilih langganan Azure Anda.
    Grup Sumber Daya Pilih Buat baru dan berikan nama untuk grup sumber daya seperti azure-sentinel-rg.
    Wilayah Dari menu drop-down, pilih kawasan tempat Anda ingin menyebarkan Microsoft Sentinel.
    Nama ruang kerja Berikan nama unik untuk ruang kerja Microsoft Sentinel, seperti <yourName>-Sentinel, dengan <yourName> mewakili nama ruang kerja yang Anda pilih di tugas sebelumnya.
    Lokasi Terima nilai default [resourceGroup().location].
    Nama Simplevm Terima nilai default simple-vm.
    Simplevm Versi OS Windows Terima nilai default 2016-Datacenter.

    Screenshot of the custom deployment inputs for a Microsoft template.

  3. Pilih Tinjau + buat, lalu, ketika data telah divalidasi, pilih Buat.

    Catatan

    Tunggu hingga penerapan selesai. Penyebaran harus memakan waktu kurang dari lima menit.

    Screenshot of the successful custom deployment.

Tugas 2: Periksa sumber daya yang dibuat

  1. Pada halaman Ringkasan Penyebaran, pilih Buka grup sumber daya. Sumber daya untuk penyebaran kustom Anda muncul.

  2. Pilih Beranda dan di Layanan Azure, telusuri dan pilih Grup sumber daya.

  3. Pilih azure-sentinel-rg.

  4. Mengurutkan daftar sumber daya menurut Jenis.

  5. Grup sumber daya harus berisi sumber daya yang ditampilkan dalam tabel berikut.

    Nama Tipe Deskripsi
    <yourName>-Sentinel Ruang kerja Analitik Log Ruang kerja Analitik Log yang digunakan oleh Microsoft Sentinel, dengan <namaAnda> mewakili nama ruang kerja yang Anda pilih di tugas sebelumnya.
    simple-vmNetworkInterface Antarmuka jaringan Antarmuka jaringan untuk VM.
    SecurityInsights(<yourName>-Sentinel) Solution Wawasan keamanan untuk Microsoft Sentinel.
    st1<xxxxx> Akun Penyimpanan Akun penyimpanan yang digunakan oleh komputer virtual.
    simple-vm Komputer virtual Komputer virtual (VM) yang digunakan dalam demonstrasi.
    vnet1 Jaringan virtual Jaringan virtual untuk VM.

Catatan

Sumber daya yang digunakan dan langkah-langkah konfigurasi yang diselesaikan dalam latihan ini diperlukan dalam latihan berikutnya. Jika Anda bermaksud menyelesaikan latihan berikutnya, jangan menghapus sumber daya dari latihan ini.

Tugas 3: Mengonfigurasikan konektor Microsoft Sentinel

  1. Di portal Microsoft Azure, cari Microsoft Sentinel, lalu pilih ruang kerja Microsoft Sentinel yang dibuat sebelumnya.

  2. Di Microsoft Azure Sentinel | Panel gambaran umum, di menu sebelah kiri, gulir ke bawah ke Manajemen Konten dan pilih Hub Konten.

  3. Di halaman Hub Konten, ketik Aktivitas Azure ke dalam formulir Pencarian , dan pilih solusi Aktivitas Azure.

  4. Di panel detail solusi Aktivitas Azure, pilih Instal.

  5. Di kolom Nama konten tengah, pilih konektor Data Aktivitas Azure.

    Catatan

    Solusi ini menginstal jenis Konten ini: 12 Aturan analitik, 14 kueri Berburu, 1 Buku Kerja, dan konektor Data Aktivitas Azure.

  6. Pilih Buka halaman konektor.

  7. Di area Instruksi/Konfigurasi, gulir ke bawah dan di bawah 2. Koneksi langganan Anda... pilih Luncurkan Wizard Penetapan Azure Policy.

  8. Di tab Dasar wizard, pilih elipsis ... di bawah Cakupan. Pada panel Cakupan , pilih langganan Anda lalu pilih Pilih.

  9. Pilih tab Parameter , dan pilih ruang kerja Microsoft Azure Sentinel Anda dari daftar drop-down ruang kerja Analitik Log Utama.

  10. Pilih tab Remediasi , dan pilih kotak centang Buat tugas remediasi. Tindakan ini menerapkan penetapan kebijakan ke sumber daya Azure yang sudah ada.

  11. Pilih tombol Tinjau + Buat untuk meninjau konfigurasi, lalu pilih Buat.

    Catatan

    Konektor untuk Aktivitas Azure menggunakan penetapan kebijakan, Anda harus memiliki izin peran yang memungkinkan Anda membuat penetapan kebijakan. Dan, biasanya perlu waktu 15 menit untuk menampilkan status Koneksi. Saat konektor disebarkan, Anda dapat terus melakukan langkah-langkah lainnya di unit ini dan unit berikutnya dalam modul ini.

    Screenshot that displays the Microsoft Sentinel Azure Activity Content Hub solution.

Tugas 4: Membuat aturan analitik

  1. Di Portal Azure, cari dan pilih Microsoft Sentinel, lalu pilih ruang kerja Microsoft Sentinel yang dibuat sebelumnya.

  2. Pada halaman Microsoft Sentinel, pada bilah menu, di bagian Konfigurasi, pilih Analitik.

  3. Di Microsoft Azure Sentinel | Halaman Analitik, pilih Buat lalu pilih Aturan Kueri NRT (Pratinjau).

  4. Pada halaman Umum, berikan input dalam tabel berikut ini, lalu pilih Berikutnya: Atur logika aturan >.

    Label Deskripsi
    Nama Berikan nama deskriptif, seperti Hapus Virtual Machines, untuk menjelaskan jenis aktivitas mencurigakan yang dideteksi oleh pemberitahuan.
    Deskripsi Masukkan deskripsi terperinci yang membantu analis keamanan lain memahami apa yang dilakukan aturan.
    Taktik dan Teknik Dari menu drop-down Taktik dan Teknik, pilih kategori Akses Awal untuk mengklasifikasikan aturan mengikuti taktik MITRE.
    Tingkat keparahan Pilih menu drop-down Tingkat Keparahan untuk mengkategorikan tingkat pentingnya peringatan sebagai salah satu dari empat opsi: Tinggi, Sedang, Rendah, atau Informasi.
    Status Tentukan status aturan. Secara default, status diaktifkan . Anda dapat memilih Dinonaktifkan untuk menonaktifkan aturan jika menghasilkan sejumlah besar positif palsu.

  5. Pada halaman Atur logika aturan, di bagian Kueri aturan, masukkan kueri berikut ini:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. Terima nilai default untuk semua pengaturan lain lalu pilih Berikutnya: Pengaturan insiden.

  7. Pada tab Pengaturan insiden, pastikan bahwa Diaktifkan dipilih untuk pembuatan insiden dari pemberitahuan yang dipicu oleh aturan analitik ini. Lalu pilih Berikutnya: Respons otomatis.

  8. Pada tab Respons otomatis, Anda dapat memilih playbook untuk berjalan secara otomatis saat peringatan dibuat. Hanya playbook berisi konektor Logic App Microsoft Sentinel yang akan ditampilkan.

  9. Pilih Berikutnya: Tinjauan.

  10. Pada halaman Tinjau dan Buat, verifikasi bahwa validasi berlalu, lalu pilih Buat.

Catatan

Anda dapat mempelajari selengkapnya tentang aturan analitik Microsoft Sentinel dalam modul "Deteksi ancaman dengan analitik Microsoft Sentinel".