Ćwiczenie — Badanie incydentu

  • 20 min

Jako inżynier ds. zabezpieczeń firmy Contoso należy przeanalizować usunięcia maszyn wirtualnych z subskrypcji platformy Azure firmy Contoso i otrzymywać alerty w przypadku wystąpienia podobnej aktywności w przyszłości. Decydujesz się wdrożyć regułę analizy, aby utworzyć incydent, gdy ktoś usunie istniejącą maszynę wirtualną. Następnie będzie można zbadać zdarzenie, aby określić jego szczegóły, i zamknąć je po zakończeniu.

W tym ćwiczeniu utworzysz regułę analizy usługi Microsoft Sentinel, aby wykryć, kiedy maszyna wirtualna zostanie usunięta. Następnie usuniesz maszynę wirtualną utworzoną na początku tego modułu i zbadasz i rozwiążesz zdarzenie utworzone przez regułę.

Aby ukończyć to ćwiczenie, upewnij się, że ćwiczenie konfiguracji zostało ukończone na początku modułu, a łącznik aktywności platformy Azure zawiera teraz stan Połączono.

Tworzenie reguły analizy na podstawie kreatora

Utwórz regułę analizy, która tworzy zdarzenie po usunięciu maszyny wirtualnej w subskrypcji platformy Azure firmy Contoso.

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony obszar roboczy usługi Microsoft Sentinel.
  2. Na stronie usługi Microsoft Sentinel wybierz pozycję Analiza w obszarze Konfiguracja w menu po lewej stronie.
  3. Na stronie Analiza wybierz pozycję Utwórz>regułę zaplanowanego zapytania.

Karta Ogólne

  1. Na karcie Ogólne kreatora podaj następujące informacje.

    • Nazwa: wprowadź usunięte maszyny wirtualne.
    • Opis: wprowadź opis, aby ułatwić innym osobom zrozumienie, co robi reguła.
    • Taktyka i techniki: wybierz pozycję Dostęp początkowy.
    • Ważność: Wybierz pozycję Średnia.
    • Stan: wybierz pozycję Włączone.

    Zrzut ekranu przedstawiający stronę tworzenia nowej reguły w kreatorze reguły analizy.

  2. Wybierz pozycję Dalej: ustaw logikę reguły.

Ustawianie karty logiki reguły

  1. Na karcie Ustaw logikę reguły w sekcji Zapytanie reguły wprowadź następujące zapytanie:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Przewiń w dół, aby wyświetlić lub ustawić następujące opcje konfiguracji:

    • Rozwiń sekcję Mapowanie jednostek , aby zdefiniować jednostki zwracane w ramach reguły zapytania, której można użyć do szczegółowej analizy. W tym ćwiczeniu użyj wartości domyślnych.
    • W sekcji Planowanie zapytań skonfiguruj częstotliwość uruchamiania zapytania oraz sposób obserwowania z powrotem w historii. Dla opcji Uruchom zapytanie co ustaw wartość 5 minut.
    • W sekcji Próg alertu można określić liczbę dodatnich wyników, które mogą być zwracane dla reguły przed wygenerowaniem alertu. Użyj wartości domyślnej wartości większa niż 0.
    • W sekcji Grupowanie zdarzeń zaakceptuj wybór domyślny Grupuj wszystkie zdarzenia w jeden alert.
    • W sekcji Pomijanie dla opcji Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu pozostaw wartość domyślną Wył.
    • W sekcji Symulacja wyników wybierz pozycję Testuj z bieżącymi danymi i obserwuj wyniki.

  3. Wybierz pozycję Dalej: Ustawienia zdarzenia.

Karta Ustawienia zdarzenia

  1. Na karcie Ustawienia zdarzenia upewnij się, że dla opcji Tworzenie zdarzeń z alertów wyzwalanych przez tę regułę analizy jest ustawiona wartość Włączone.
  2. W sekcji Grupowanie alertów wybierz pozycję Włączone, aby pogrupować powiązane alerty w zdarzenia. Upewnij się, że wybrano pozycję Grupowanie alertów w pojedynczym zdarzeniu, jeśli wszystkie jednostki są zgodne (zalecane).
  3. Upewnij się, że ponowne otwarcie zamkniętych pasujących zdarzeń jest wyłączone.
  4. Wybierz pozycję Dalej: Automatyczna odpowiedź.

Przegląd i tworzenie

  1. Wybierz opcję Dalej: Review (Dalej: przegląd).
  2. Na karcie Przeglądanie i tworzenie po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz.

Usuwanie maszyny wirtualnej

Aby przetestować wykrywanie reguł i tworzenie zdarzeń, usuń maszynę wirtualną utworzoną podczas instalacji.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.
  2. Na stronie Maszyny wirtualne zaznacz pole wyboru obok pozycji simple-vm, a następnie wybierz pozycję Usuń na pasku narzędzi.
  3. W okienku Usuń zasoby wprowadź usuń w polu Wprowadź "usuń", aby potwierdzić usunięcie , a następnie wybierz pozycję Usuń.
  4. Ponownie wybierz pozycję Usuń .

Przed przejściem do następnego kroku należy wykonać operację kilka minut.

Badanie incydentu

W tym kroku zbadasz zdarzenie utworzone przez usługę Microsoft Sentinel po usunięciu maszyny wirtualnej. Wyświetlenie zdarzenia w usłudze Microsoft Sentinel może potrwać do 30 minut.

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz obszar roboczy usługi Microsoft Sentinel.
  2. Na stronie usługi Microsoft Sentinel wybierz pozycję Incydenty w obszarze Zarządzanie zagrożeniami w obszarze Zarządzanie zagrożeniami w obszarze nawigacji po lewej stronie.
  3. Na stronie Zdarzenia wybierz zdarzenie z tytułem Usunięte maszyny wirtualne.
  4. W okienku Szczegóły usunięte maszyny wirtualne po prawej stronie obserwuj szczegóły zdarzenia, w tym właściciela, stanu i ważności. Zastosuj następujące aktualizacje:
    • Wybierz pozycję Właściciel>Przypisz do mnie>Zastosuj.
    • Wybierz pozycję Stan>Aktywne>Zastosuj.
  5. Wybierz pozycję Wyświetl pełne szczegóły.
  6. W okienku po lewej stronie Zdarzenia zwróć uwagę na sumy zdarzeń, alertów i zakładek w sekcji Dowody .
  7. W dolnej części okienka wybierz pozycję Zbadaj.
  8. Na stronie Badanie wybierz następujące elementy na wykresie badania:
    • Element zdarzenia Usunięte maszyny wirtualne w środku strony przedstawiający szczegóły zdarzenia.
    • Jednostka użytkownika reprezentująca konto użytkownika wskazująca, że maszyna wirtualna została usunięta.
  9. W górnej części strony Zbadaj wybierz pozycję Stan>zamknięty.
  10. W menu rozwijanym Wybierz klasyfikację wybierz pozycję Łagodny pozytywny — podejrzany, ale oczekiwano.
  11. W polu Komentarz wpisz Testowanie tworzenia incydentu i kroków rozwiązywania, a następnie wybierz pozycję Zastosuj.
  12. Wybierz ikony zamknięcia, aby zamknąć strony Zbadaj i Zdarzenia .
  13. Na stronie Zdarzenia zwróć uwagę, że zdarzenia otwarte i aktywne zdarzenia mają teraz wartości 0.

Pomyślnie utworzono regułę analizy usługi Microsoft Sentinel, usunięto maszynę wirtualną w celu utworzenia zdarzenia oraz zbadano i zamknięto zdarzenie utworzone przez regułę.

Czyszczenie zasobów

Aby uniknąć ponoszenia kosztów, usuń zasoby platformy Azure utworzone w tym module po zakończeniu pracy z nimi. Aby usunąć zasoby, wykonaj następujące kroki:

  1. W witrynie Azure Portal wyszukaj Grupy zasobów.
  2. Na stronie Grupy zasobów wybierz pozycję azure-sentinel-rg.
  3. Na stronie azure-sentinel-rg wybierz pozycję Usuń grupę zasobów na górnym pasku menu.
  4. Na stronie Usuwanie grupy zasobów w obszarze Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, wprowadź wartość azure-sentinel-rg.
  5. Wybierz pozycję Usuń, a następnie ponownie wybierz pozycję Usuń .