Latihan - Membuat playbook Microsoft Sentinel

  • 30 menit

Sebagai Analis Operasi Keamanan yang bekerja untuk Contoso, Anda baru-baru ini melihat bahwa sejumlah besar pemberitahuan dihasilkan saat seseorang menghapus komputer virtual. Anda ingin menganalisis kejadian tersebut di masa mendatang dan mengurangi peringatan yang dihasilkan untuk kejadian positif palsu.

Latihan: Respons ancaman menggunakan playbook Microsoft Sentinel

Anda memutuskan untuk mengimplementasikan playbook Microsoft Sentinel untuk mengotomatiskan respons terhadap insiden.

Dalam latihan ini, Anda akan menjelajahi playbook Microsoft Azure Sentinel dengan melakukan tugas-tugas berikut:

  • Mengonfigurasi izin Playbook Microsoft Sentinel.

  • Buat playbook untuk mengotomatiskan tindakan untuk menanggapi insiden.

  • Uji playbook Anda dengan memanggil insiden.

Catatan

Anda harus menyelesaikan unit Penyetelan Latihan, agar dapat menyelesaikan latihan ini. Jika Anda belum melakukannya, selesaikan sekarang, dan kemudian lanjutkan dengan langkah-langkah latihan.

Tugas 1: Mengonfigurasi izin Playbook Microsoft Sentinel

  1. Di portal Microsoft Azure, cari dan pilih Microsoft Sentinel, lalu pilih ruang kerja Microsoft Sentinel yang dibuat sebelumnya.

  2. Di halaman Microsoft Azure Sentinel, pada bilah menu, di bagian Konfigurasi, pilih Pengaturan.

  3. Di halaman Pengaturan, pilih tab Pengaturan dan gulir ke bawah dan perluas izin Playbook

  4. Di Izin playbook, pilih tombol Konfigurasikan izin.

    Screenshot of the Microsoft Sentinel Playbook permissions.

  5. Di halaman Kelola izin di bawah tab Telusuri , pilih grup sumber daya tempat ruang kerja Microsoft Azure Sentinel Anda berada. Pilih Terapkan.

    Screenshot of the Microsoft Sentinel Playbook Manage permissions page.

  6. Anda akan melihat pesan Selesai menambahkan izin .

Tugas 2: Bekerja dengan playbook Microsoft Azure Sentinel

  1. Di portal Microsoft Azure, cari dan pilih Microsoft Sentinel, lalu pilih ruang kerja Microsoft Sentinel yang dibuat sebelumnya.

  2. Di halaman Microsoft Azure Sentinel , pada bilah menu, di bagian Konfigurasi , pilih Automation.

  3. Di menu atas, pilih Buat dan Playbook dengan pemicu insiden.

  4. Di halaman Buat Playbook , pada tab Dasar , tentukan pengaturan berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih grup sumber daya layanan Microsoft Sentinel Anda.
    Nama playbook ClosingIncident(Anda dapat memilih nama apa saja)
    Wilayah Pilih lokasi yang sama dengan lokasi Microsoft Sentinel.
    Ruang kerja Analitik Log Jangan aktifkan log diagnostik

  5. Pilih Berikutnya:Koneksi ions >, lalu pilih Berikutnya: Tinjau dan Buat>

  6. Pilih Buat dan lanjutkan ke perancang

    Catatan

    Tunggu hingga penerapan selesai. Penyebaran akan memakan waktu kurang dari 1 menit. Jika terus berjalan, Anda mungkin perlu me-refresh halaman.

  7. Di panel Perancang Logic Apps, Anda akan melihat insiden Microsoft Sentinel (pratinjau) ditampilkan.

    Screenshot of the Microsoft Sentinel trigger.

  8. Pada halaman insiden Microsoft Azure Sentinel (pratinjau) , pilih tautan Ubah koneksi .

  9. Pada halaman Koneksi ion, pilih Tambahkan baru.

  10. Pada halaman Microsoft Azure Sentinel, pilih Masuk.

    Screenshot of the authorizing API connection.

  11. Pada halaman Masuk ke akun Anda, berikan kredensial untuk langganan Azure Anda.

  12. Kembali ke halaman insiden Microsoft Azure Sentinel (pratinjau), Anda akan melihat Anda tersambung ke akun Anda. Pilih + Langkah baru.

  13. Di jendela Pilih operasi , di bidang pencarian, ketik Microsoft Azure Sentinel.

  14. Pilih Ikon Microsoft Azure Sentinel .

  15. Pada tab Tindakan , temukan dan pilih Dapatkan insiden (Pratinjau).

  16. Di jendela Dapatkan Insiden (Pratinjau) , pilih bidang ID ARM Insiden. Jendela Tambahkan konten dinamis terbuka.

    Tip

    Saat Anda memilih bidang, jendela baru terbuka untuk membantu Anda mengisi bidang ini dengan konten dinamis.

  17. Pada tab Konten dinamis, di kotak pencarian, Anda dapat mulai memasukkan Arm Insiden, lalu memilih entri dari daftar, saat cuplikan layar berikut ditampilkan.

    Screenshot of Get Incident.

  18. Pilih + Langkah baru.

  19. Di jendela Pilih operasi , di bidang pencarian, ketik Microsoft Azure Sentinel.

    Tip

    Di tab Untuk Anda, Pilihan terbaru harus menampilkan Ikon Microsoft Azure Sentinel.

  20. Pilih Ikon Microsoft Azure Sentinel .

  21. Dari tab Tindakan , temukan dan pilih Perbarui insiden (Pratinjau).

  22. Di jendela Perbarui insiden (Pratinjau) , berikan input berikut:

    Pengaturan Nilai
    Tentukan id ARM Insiden ID ARM Insiden
    Tentukan Id Objek Pemilik /UPN ID Objek Pemilik Insiden
    Tentukan Tetapkan/Batalkan penetapan pemilik Dari menu drop-down, pilih Batalkan penetapan
    Tingkat keparahan Anda dapat meninggalkan tingkat keparahan Insiden default
    Tentukan Status Dari menu drop-down, pilihTutup.
    Tentukan alasan Klasifikasi Dari menu drop-down, pilih entri seperti Tidak Ditentukan, atau pilih Masukkan nilai kustom, dan pilih Konten dinamis IncidentClassification.
    Tutup teks alasan Tulis teks deskriptif.

    Screenshot of the Get Incident status.

  23. Pilih bidang ID ARM Insiden. Jendela Tambahkan konten dinamis terbuka, di kotak pencarian, Anda dapat mulai memasukkan Arm Insiden. Pilih ID ARM Insiden lalu pilih bidang Id Objek Pemilik/UPN .

  24. Jendela Tambahkan konten dinamis terbuka, di kotak pencarian, Anda dapat mulai memasukkan Pemilik insiden. Pilih ID Objek Pemilik Insiden lalu isi bidang yang tersisa menggunakan entri tabel.

  25. Setelah selesai, pilih Simpan dari bilah menu Logic Apps Designer, lalu tutup Logic Apps Designer.

Tugas 3: Memanggil insiden dan meninjau tindakan terkait

  1. Di portal Azure, di kotak teks Cari sumber daya, layanan, dan dokumen, ketik komputer virtual, lalu pilih Enter.

  2. Pada halaman Komputer virtual, temukan dan pilih komputer virtual simple-vm, lalu pada bilah header, pilih Hapus.

  3. Pada halaman Hapus simple-vm , pilih Hapus dengan VM untuk Disk OS dan Antarmuka Jaringan.

  4. Pilih kotak untuk mengakui bahwa saya telah membaca dan memahami bahwa komputer virtual ini serta sumber daya yang dipilih akan dihapus, lalu pilih Hapus untuk menghapus komputer virtual.

    Screenshot of the Delete simple-vm page.

    Catatan

    Tugas ini membuat insiden berdasarkan aturan analitik yang Anda buat sebelumnya di unit penyiapan latihan. Pembuatan insiden dapat memakan waktu hingga 15 menit. Tunggu hingga selesai sebelum melanjutkan ke langkah berikutnya.

Tugas 4: Tetapkan playbook ke insiden yang sudah ada

  1. Di Portal Azure, cari dan pilih Microsoft Sentinel, lalu pilih ruang kerja Microsoft Sentinel yang dibuat sebelumnya.

  2. Di halaman Microsoft Sentinel| Ringkasan, pada bilah menu, di bagian Pengelolaan ancaman, pilih Insiden.

    Catatan

    Seperti disebutkan dalam catatan sebelumnya, Pembuatan insiden dapat memakan waktu hingga 15 menit. Refresh halaman hingga insiden muncul di halaman Insiden.

  3. Di Microsoft Azure Sentinel | Halaman insiden, pilih insiden yang telah dibuat berdasarkan penghapusan komputer virtual.

  4. Di panel detail, pilih Tindakan dan Jalankan playbook (Pratinjau).

    Screenshot of the Incident detail pane actions to run playbook.

  5. Pada halaman Jalankan playbook pada insiden , di tab Playbook, Anda akan melihat playbook ClosingIncident , pilih Jalankan.

  6. Pastikan bahwa Anda menerima pesan Playbook berhasil dipicu.

  7. Tutup halaman Jalankan playbook pada insiden, untuk kembali ke Microsoft Azure Sentinel | Halaman insiden.

  8. Di halaman Microsoft Sentinel | Insiden, pada bilah header, pilih Refresh. Anda akan melihat bahwa insiden menghilang dari panel. Pada menu Status, pilih Tutup, lalu pilih OK.

    Catatan

    Ini dapat memakan waktu hingga 5 menit agar Peringatan ditampilkan sebagai Tertutup

    Screenshot of the header bar.

  9. Verifikasi bahwa insiden ditampilkan lagi dan perhatikan kolom Status untuk memeriksa apakah itu Ditutup.

Membersihkan sumber daya

  1. Di portal Microsoft Azure, cari grup Sumber Daya.

  2. Pilih azure-sentinel-rg.

  3. Pada bilah header, pilih Hapus grup sumber daya.

  4. Pada bidang KETIK NAMA GRUP SUMBER DAYA:, masukkan nama dari grup sumber daya azure-sentinel-rg dan pilihHapus.