Ćwiczenie — Badanie incydentu

Ukończone

Jako inżynier zabezpieczeń firmy Contoso należy przeanalizować usunięcia maszyn wirtualnych z subskrypcji platformy Azure firmy Contoso i otrzymywać alerty, gdy w przyszłości wystąpi podobne działanie. Decydujesz się wdrożyć regułę analizy, aby utworzyć zdarzenie, gdy ktoś usunie istniejącą maszynę wirtualną. Następnie będzie można zbadać zdarzenie, aby określić jego szczegóły, i zamknąć je po zakończeniu.

W tym ćwiczeniu utworzysz regułę analizy usługi Microsoft Sentinel, aby wykryć, kiedy maszyna wirtualna zostanie usunięta. Następnie usuniesz maszynę wirtualną utworzoną na początku tego modułu i zbadasz i rozwiążesz utworzony incydent.

Aby ukończyć to ćwiczenie, upewnij się, że ćwiczenie konfiguracji zostało ukończone na początku modułu, a łącznik aktywności platformy Azure zawiera teraz stan Połączenie ed.

Tworzenie reguły analizy z poziomu kreatora

Utwórz regułę analizy, która tworzy zdarzenie po usunięciu maszyny wirtualnej w subskrypcji platformy Azure firmy Contoso.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony obszar roboczy usługi Microsoft Sentinel.
  2. Na stronie usługi Microsoft Sentinel wybierz pozycję Analiza w obszarze Konfiguracja w menu po lewej stronie.
  3. Na stronie Analiza wybierz pozycję Utwórz>regułę zaplanowanego zapytania.

Karta Ogólne

  1. Na karcie Ogólne kreatora podaj następujące informacje.

    • Nazwa: wprowadź usunięte maszyny wirtualne.
    • Opis: wprowadź opis, aby ułatwić innym osobom zrozumienie, co robi reguła.
    • Taktyka i techniki: wybierz pozycję Dostęp początkowy.
    • Ważność: wybierz pozycję Średni.
    • Stan: wybierz pozycję Włączone.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. Wybierz pozycję Dalej: ustaw logikę reguły.

Ustawianie karty logiki reguły

  1. Na karcie Ustaw logikę reguły w sekcji Zapytanie reguły wprowadź następujące zapytanie:

    AzureActivity
    | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
    | where ActivityStatusValue == 'Success'
    | extend AccountCustomEntity = Caller
    | extend IPCustomEntity = CallerIpAddress
    
  2. Przewiń w dół, aby wyświetlić lub ustawić następujące opcje konfiguracji:

    • Rozwiń sekcję Mapowanie jednostek, aby zdefiniować jednostki, które zwracają się w ramach reguły zapytania, której można użyć do szczegółowej analizy. W tym ćwiczeniu użyj wartości domyślnych.
    • W sekcji Planowanie zapytań skonfiguruj, jak często powinno być uruchamiane zapytanie i jak daleko w historii ma być obserwowane. Dla opcji Uruchom zapytanie co ustaw wartość 5 minut.
    • W sekcji Próg alertu można określić liczbę wyników dodatnich, które mogą zwrócić regułę przed wygenerowaniem alertu. Użyj wartości domyślnej o wartości większej niż 0.
    • W sekcji Grupowanie zdarzeń zaakceptuj wybór domyślny Grupuj wszystkie zdarzenia w jeden alert.
    • W sekcji Pomijanie w polu Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu pozostaw wartość domyślną Wyłączone.
    • W sekcji Symulacja wyników wybierz pozycję Testuj z bieżącymi danymi i obserwuj wyniki.
  3. Wybierz pozycję Dalej: ustawienia zdarzenia.

Karta Ustawienia zdarzenia

  1. Na karcie Ustawienia zdarzenia upewnij się, że opcja Tworzenie zdarzeń z alertów wyzwalanych przez tę regułę analizy jest ustawiona na wartość Włączone.
  2. W sekcji Grupowanie alertów wybierz pozycję Włączone, aby pogrupować powiązane alerty w zdarzenia. Upewnij się, że wybrano pozycję Grupowanie alertów w pojedynczym zdarzeniu, jeśli wszystkie jednostki są zgodne (zalecane).
  3. Upewnij się, że zamknięte ponowne otwieranie zamkniętych zdarzeń jest wyłączone.
  4. Wybierz pozycję Dalej: Automatyczna odpowiedź.

Przeglądanie i tworzenie

  1. Wybierz pozycję Dalej: Przejrzyj.
  2. Na karcie Przeglądanie i tworzenie po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz.

Usuwanie maszyny wirtualnej

Aby przetestować wykrywanie reguł i tworzenie zdarzeń, usuń maszynę wirtualną utworzoną podczas instalacji.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.
  2. Na stronie Maszyny wirtualne zaznacz pole wyboru obok pozycji simple-vm, a następnie wybierz pozycję Usuń na pasku narzędzi.
  3. W okienku Usuń zasoby wprowadź ciąg usuń w polu Wprowadź "usuń", aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.
  4. Ponownie wybierz pozycję Usuń .

Przed przejściem do następnego kroku należy wykonać operację kilka minut.

Badanie zdarzenia

W tym kroku zbadasz zdarzenie utworzone przez usługę Microsoft Sentinel po usunięciu maszyny wirtualnej. Wyświetlenie zdarzenia w usłudze Microsoft Sentinel może potrwać do 30 minut.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz obszar roboczy usługi Microsoft Sentinel.
  2. Na stronie usługi Microsoft Sentinel wybierz pozycję Incydenty w obszarze Zarządzanie zagrożeniami w obszarze Nawigacja po lewej stronie.
  3. Na stronie Zdarzenia wybierz zdarzenie z tytułem Usunięte maszyny wirtualne.
  4. W okienku Szczegółów usuniętych maszyn wirtualnych po prawej stronie sprawdź szczegóły zdarzenia, w tym właściciela, stanu i ważności. Zastosuj następujące aktualizacje:
    • Wybierz pozycję Właściciel>Przypisz do mnie>Zastosuj.
    • Wybierz pozycję Stan>Aktywne>Zastosuj.
  5. Wybierz pozycję Wyświetl pełne szczegóły.
  6. W lewym okienku strony Incydent zwróć uwagę na sumy zdarzeń, alertów i zakładek w sekcji Dowody.
  7. W dolnej części okienka wybierz pozycję Zbadaj.
  8. Na stronie Badanie wybierz następujące elementy na wykresie badania:
    • Element zdarzenia Usunięte maszyny wirtualne w środku strony przedstawiający szczegóły zdarzenia.
    • Jednostka użytkownika reprezentująca konto użytkownika wskazująca, że maszyna wirtualna została usunięta.
  9. W górnej części strony Badanie wybierz pozycję Stan>zamknięty.
  10. Z menu rozwijanego Wybierz klasyfikację wybierz pozycję Łagodne pozytywne — podejrzane, ale oczekiwane.
  11. W polu Komentarz wpisz Testowanie tworzenia incydentu i kroków rozwiązywania, a następnie wybierz pozycję Zastosuj.
  12. Wybierz ikony zamknięcia, aby zamknąć strony Badanie i Zdarzenie .
  13. Na stronie Zdarzenia zwróć uwagę, że otwarte zdarzenia i aktywne zdarzenia mają teraz wartości 0.

Pomyślnie utworzono regułę analizy usługi Microsoft Sentinel, usunięto maszynę wirtualną w celu utworzenia zdarzenia oraz zbadano i zamknięto zdarzenie utworzone przez regułę.

Czyszczenie zasobów

Aby uniknąć ponoszenia kosztów, usuń zasoby platformy Azure utworzone w tym module po zakończeniu pracy z nimi. Aby usunąć zasoby, wykonaj następujące kroki:

  1. W witrynie Azure Portal wyszukaj Grupy zasobów.
  2. Na stronie Grupy zasobów wybierz pozycję azure-sentinel-rg.
  3. Na stronie azure-sentinel-rg wybierz pozycję Usuń grupę zasobów na górnym pasku menu.
  4. Na stronie Usuwanie grupy zasobów w obszarze Wprowadź nazwę grupy zasobów w celu potwierdzenia usunięcia wprowadź wartość azure-sentinel-rg.
  5. Wybierz pozycję Usuń, a następnie ponownie wybierz pozycję Usuń .