Oefening: een incident onderzoeken

  • 20 minuten

Als Contoso-beveiligingstechnicus moet u de verwijderingen van virtuele machines (VM's) uit het Contoso Azure-abonnement analyseren en worden gewaarschuwd wanneer er in de toekomst een vergelijkbare activiteit plaatsvindt. U besluit een analyseregel te implementeren om een incident te maken wanneer iemand een bestaande virtuele machine verwijdert. Vervolgens kunt u het incident onderzoeken om de details te bepalen en het incident sluiten wanneer u klaar bent.

In deze oefening maakt u een Analyseregel voor Microsoft Sentinel om te detecteren wanneer een VIRTUELE machine wordt verwijderd. Vervolgens verwijdert u de VM die u aan het begin van deze module hebt gemaakt, en onderzoekt en lost u het incident op dat door de regel is gemaakt.

Als u deze oefening wilt voltooien, moet u ervoor zorgen dat u de installatieoefening aan het begin van de module hebt voltooid en dat de Azure-activiteitsconnector nu de status van Verbinding maken ed heeft.

Een analyseregel maken met behulp van de wizard

Maak een analyseregel waarmee een incident wordt gemaakt wanneer een VIRTUELE machine wordt verwijderd in het Azure-abonnement van Contoso.

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer vervolgens de Microsoft Sentinel-werkruimte die u hebt gemaakt.
  2. Selecteer op uw Microsoft Sentinel-pagina Analyse onder Configuratie in het linkermenu.
  3. Selecteer Op de pagina Analyse de optie Geplande queryregel maken>.

Tabblad Algemeen

  1. Geef op het tabblad Algemeen van de wizard de volgende informatie op.

    • Naam: Voer verwijderde VM's in.
    • Beschrijving: Voer een beschrijving in om anderen te helpen begrijpen wat de regel doet.
    • Tactieken en technieken: Eerste toegang selecteren.
    • Ernst: Selecteer normaal.
    • Status: Selecteer Ingeschakeld.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. Selecteer Volgende: Regellogica instellen.

Tabblad Regellogica instellen

  1. Voer op het tabblad Regellogica instellen in de sectie Regelquery de volgende query in:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Schuif omlaag om de volgende configuratieopties weer te geven of in te stellen:

    • Vouw de sectie Entiteitstoewijzing uit om de entiteiten te definiëren die worden geretourneerd als onderdeel van de queryregel, die u kunt gebruiken voor uitgebreide analyse. Gebruik voor deze oefening de standaardwaarden.
    • Configureer in de sectie Queryplanning hoe vaak de query moet worden uitgevoerd en hoe ver terug in de geschiedenis moet worden gezien. Stel Query uitvoeren elke in op 5 minuten.
    • In de sectie Waarschuwingsdrempel kunt u het aantal positieve resultaten opgeven dat voor de regel kan worden geretourneerd voordat een waarschuwing wordt gegenereerd. Gebruik de standaardwaarde van groter dan 0.
    • Accepteer in de sectie Gebeurtenis groeperen de standaardselectie Alle gebeurtenissen in één waarschuwing groeperen.
    • Laat in de sectie Onderdrukking, voor Stoppen met het uitvoeren van de query nadat de waarschuwing is gegenereerd, de standaardwaarde Uitgeschakeld.
    • Selecteer Testen met huidige gegevens in de sectie Resultatensimulatie en bekijk de resultaten.

  3. Selecteer Volgende: Incidentinstellingen.

Tabblad Incidentinstellingen

  1. Controleer op het tabblad Incidentinstellingen of Incidenten maken op basis van waarschuwingen die door deze analyseregel worden geactiveerd, is ingesteld op Ingeschakeld.
  2. Selecteer in de sectie Waarschuwingen groeperen de optie Inschakelen om gerelateerde waarschuwingen te groeperen in incidenten. Zorg ervoor dat Waarschuwingen groeperen in één incident als alle entiteiten overeenkomen (aanbevolen) is geselecteerd.
  3. Zorg ervoor dat gesloten overeenkomende incidenten opnieuw openen is uitgeschakeld.
  4. Selecteer Volgende: Geautomatiseerd antwoord.

Controleren en maken

  1. Selecteer Volgende: Controleren.
  2. Wanneer de validatie is geslaagd, selecteert u Maken op het tabblad Controleren en maken.

Een VM verwijderen

Als u de detectie van regels en het maken van incidenten wilt testen, verwijdert u de VM die u tijdens de installatie hebt gemaakt.

  1. Ga naar Azure Portal, en zoek en selecteer Virtuele machines.
  2. Schakel op de pagina Virtuele machines het selectievakje naast simple-vm in en selecteer Vervolgens Verwijderen op de werkbalk.
  3. Voer in het deelvenster Resources verwijderen in het veld Verwijderen invoeren om het verwijderingsveld te bevestigen en selecteer Vervolgens Verwijderen.
  4. Selecteer Verwijderen opnieuw.

Geef de bewerking enkele minuten om te voltooien voordat u verdergaat met de volgende stap.

Het incident onderzoeken

In deze stap onderzoekt u het incident dat Microsoft Sentinel heeft gemaakt toen u de VIRTUELE machine hebt verwijderd. Het kan tot 30 minuten duren voordat het incident wordt weergegeven in Microsoft Sentinel.

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer vervolgens uw Microsoft Sentinel-werkruimte.
  2. Selecteer op uw Microsoft Sentinel-pagina Incidenten onder Bedreigingsbeheer in de linkernavigatiebalk.
  3. Selecteer op de pagina Incidenten het incident met de titel Verwijderde VM's.
  4. Bekijk in het detailvenster verwijderde VM's aan de rechterkant de details van het incident, waaronder Eigenaar, Status en Ernst. Pas de volgende updates toe:
    • Selecteer Eigenaar>Toewijzen aan mij>Toepassen.
    • Selecteer Status>Actief>Toepassen.
  5. Selecteer Volledige details weergeven.
  6. Bekijk in het linkerdeelvenster van de pagina Incident de totalen voor gebeurtenissen, waarschuwingen en bladwijzers in de sectie Bewijs.
  7. Selecteer Onderzoeken onder aan het deelvenster.
  8. Selecteer op de pagina Onderzoek de volgende items in de onderzoeksgrafiek:
    • Het incidentitem Verwijderde VM's in het midden van de pagina met de details van het incident.
    • De gebruikersentiteit die uw gebruikersaccount vertegenwoordigt, waarmee wordt aangegeven dat u de virtuele machine hebt verwijderd.
  9. Selecteer Status>gesloten boven aan de pagina Onderzoeken.
  10. Selecteer in de vervolgkeuzelijst Classificatie selecteren de optie Goedaardig positief - Verdacht maar verwacht.
  11. Voer in het veld OpmerkingHet maken van het incident en de stappen voor de oplossing testen in en selecteer Toepassen.
  12. Selecteer de pictogrammen sluiten om de pagina's Onderzoeken en Incidenten te sluiten.
  13. Op de pagina Incidenten ziet u dat open incidenten en actieve incidenten nu de waarden 0 hebben.

U hebt een Analyseregel voor Microsoft Sentinel gemaakt, een VIRTUELE machine verwijderd om een incident te maken en het incident dat door de regel is gemaakt, onderzocht en gesloten.

Resources opschonen

Als u kosten wilt voorkomen, verwijdert u de Azure-resources die u in deze module hebt gemaakt wanneer u klaar bent met deze resources. Voer de volgende stappen uit om de resources te verwijderen:

  1. Zoek in Azure Portal naar Resourcegroepen.
  2. Selecteer azure-sentinel-rg op de pagina Resourcegroepen.
  3. Selecteer op de pagina azure-sentinel-rg de optie Resourcegroep verwijderen in de bovenste menubalk.
  4. Voer op de pagina Een resourcegroep verwijderen, onder Naam van de resourcegroep invoeren om het verwijderen te bevestigen, azure-sentinel-rg in.
  5. Selecteer Verwijderen en selecteer vervolgens Opnieuw verwijderen .