Vorige

Volgende

Oefening: bedreigingen opsporen met behulp van Microsoft Sentinel

Voltooid

Als beveiligingstechnicus die voor Contoso werkt, hebt u onlangs opgemerkt dat een aanzienlijk aantal virtuele machines (VM's) uit uw Azure-abonnement is verwijderd. U wilt een verwijderde VM simuleren, deze gebeurtenis analyseren en inzicht krijgen in de belangrijkste elementen van de mogelijke bedreiging in Microsoft Sentinel.

In deze oefening verwijdert u een VIRTUELE machine, beheert u query's voor het opsporen van bedreigingen en slaat u belangrijke bevindingen op met bladwijzers.

Notitie

Als u deze oefening wilt uitvoeren, moet u de installatieoefening eerder in de module hebben voltooid. Als u dit nog niet hebt gedaan, doet u dit nu.

Een VM verwijderen

In deze taak verwijdert u een VIRTUELE machine om de detectie van regels en het maken van incidenten te testen.

1. Ga naar Azure Portal, en zoek en selecteer Virtuele machines.
2. Schakel op de pagina Virtuele machines het selectievakje in naast de virtuele machine met het label simple-vm en selecteer vervolgens Verwijderen in de werkbalk.
3. Bevestig de verwijdering in het deelvenster Resources verwijderen en selecteer Vervolgens Verwijderen.

Microsoft Sentinel-query's voor het opsporen van bedreigingen beheren

In deze taak maakt en beheert u query's voor het opsporen van bedreigingen om gebeurtenissen te controleren die betrekking hebben op het verwijderen van de VIRTUELE machine in de vorige taak. Het kan tot vijf minuten duren voordat de gebeurtenis wordt weergegeven in Microsoft Sentinel nadat u de VIRTUELE machine hebt verwijderd.

1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer vervolgens de eerder gemaakte Sentinel-werkruimte.

2. Selecteer Opsporing op de microsoft Sentinel-pagina in de menubalk in de sectie Bedreigingsbeheer.

3. Selecteer op de pagina Opsporing het tabblad Query's . Kies vervolgens Nieuwe query.

4. Geef op de pagina Aangepaste query maken de volgende invoer op en selecteer Vervolgens Maken.

   • Naam: Voer verwijderde VM's in.

   • Beschrijving: Voer een gedetailleerde beschrijving in waarmee andere beveiligingsanalisten begrijpen wat de regel doet.

   • Aangepaste query: voer de volgende code in.

       AzureActivity
       | where OperationName == 'Delete Virtual Machine'
       | where ActivityStatus == 'Accepted'
       | extend AccountCustomEntity = Caller
       | extend IPCustomEntity = CallerIpAddress
     

   • Tactieken: Impact selecteren.

5. Geef op de pagina Opsporing op het tabblad Query'sverwijderde VM's op in het veld Query's zoeken.

6. Selecteer in de lijst met query's het sterpictogram naast verwijderde VM's om de query als favoriet te markeren.

7. Selecteer de query verwijderde VM's . Selecteer Resultaten weergeven in het detailvenster.

   Notitie

   Het kan tot 15 minuten duren voordat de verwijderde VM-gebeurtenis naar Microsoft Sentinel is verzonden. U kunt er regelmatig voor kiezen om de query uit te voeren op het tabblad Resultaten als de vm-verwijderings gebeurtenis niet wordt weergegeven.

8. Selecteer op de pagina Logboeken in de sectie Resultaten de vermelde gebeurtenis. Deze moet zich in de kolom Autorisatie hebben"action": "Microsoft.Compute/virtualMachines/delete". Dit is de gebeurtenis uit het Azure-activiteitenlogboek dat aangeeft dat de VIRTUELE machine is verwijderd.

9. Blijf op deze pagina voor de volgende taak.

Belangrijke bevindingen opslaan met bladwijzers

In deze taak gebruikt u bladwijzers om gebeurtenissen op te slaan en meer opsporing uit te voeren.

1. Schakel op de pagina Logboeken in de sectie Resultaten het selectievakje naast de vermelde gebeurtenis in. Selecteer vervolgens Bladwijzer toevoegen.
2. Selecteer Maken in het deelvenster Bladwijzer toevoegen.
3. Selecteer Boven aan de pagina Microsoft Sentinel op het breadcrumb-pad.
4. Selecteer op de pagina Opsporing het tabblad Bladwijzers .
5. Selecteer in de lijst met bladwijzers de bladwijzer die begint met Verwijderde VM's.
6. Selecteer Onderzoeken op de pagina Details.
7. Selecteer verwijderde VM's op de pagina Onderzoek en bekijk de details van het incident.
8. Selecteer op de pagina Onderzoek de entiteit in de grafiek die een gebruiker weergeeft. Dit is uw gebruikersaccount, wat aangeeft dat u de VIRTUELE machine hebt verwijderd.

Resultaten

In deze oefening hebt u een VM, beheerde opsporingsquery's voor bedreigingen verwijderd en belangrijke bevindingen met bladwijzers opgeslagen.

Azure-resources opschonen

Nadat u klaar bent met het gebruik van de Azure-resources die u in deze oefening hebt gemaakt, verwijdert u deze om kosten te voorkomen:

1. Zoek in Azure Portal naar Resourcegroepen.
2. Selecteer uw resourcegroep.
3. Selecteer in de headerbalk Resourcegroep verwijderen.
4. Voer in het veld TYP DE NAAM VAN DE RESOURCEGROEP de naam van de resourcegroep in en selecteer Verwijderen.

Doorgaan