Ćwiczenie — Badanie incydentu
Jako inżynier zabezpieczeń firmy Contoso należy przeanalizować usunięcia maszyn wirtualnych z subskrypcji platformy Azure firmy Contoso i otrzymywać alerty, gdy w przyszłości wystąpi podobne działanie. Decydujesz się wdrożyć regułę analizy, aby utworzyć zdarzenie, gdy ktoś usunie istniejącą maszynę wirtualną. Następnie będzie można zbadać zdarzenie, aby określić jego szczegóły, i zamknąć je po zakończeniu.
W tym ćwiczeniu utworzysz regułę analizy usługi Microsoft Sentinel, aby wykryć, kiedy maszyna wirtualna zostanie usunięta. Następnie usuniesz maszynę wirtualną utworzoną na początku tego modułu i zbadasz i rozwiążesz utworzony incydent.
Aby ukończyć to ćwiczenie, upewnij się, że ćwiczenie konfiguracji zostało ukończone na początku modułu, a łącznik aktywności platformy Azure zawiera teraz stan Połączenie ed.
Tworzenie reguły analizy z poziomu kreatora
Utwórz regułę analizy, która tworzy zdarzenie po usunięciu maszyny wirtualnej w subskrypcji platformy Azure firmy Contoso.
- W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony obszar roboczy usługi Microsoft Sentinel.
- Na stronie usługi Microsoft Sentinel wybierz pozycję Analiza w obszarze Konfiguracja w menu po lewej stronie.
- Na stronie Analiza wybierz pozycję Utwórz>regułę zaplanowanego zapytania.
Karta Ogólne
Na karcie Ogólne kreatora podaj następujące informacje.
- Nazwa: wprowadź usunięte maszyny wirtualne.
- Opis: wprowadź opis, aby ułatwić innym osobom zrozumienie, co robi reguła.
- Taktyka i techniki: wybierz pozycję Dostęp początkowy.
- Ważność: wybierz pozycję Średni.
- Stan: wybierz pozycję Włączone.
Wybierz pozycję Dalej: ustaw logikę reguły.
Ustawianie karty logiki reguły
Na karcie Ustaw logikę reguły w sekcji Zapytanie reguły wprowadź następujące zapytanie:
AzureActivity | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE" | where ActivityStatusValue == 'Success' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddress
Przewiń w dół, aby wyświetlić lub ustawić następujące opcje konfiguracji:
- Rozwiń sekcję Mapowanie jednostek, aby zdefiniować jednostki, które zwracają się w ramach reguły zapytania, której można użyć do szczegółowej analizy. W tym ćwiczeniu użyj wartości domyślnych.
- W sekcji Planowanie zapytań skonfiguruj, jak często powinno być uruchamiane zapytanie i jak daleko w historii ma być obserwowane. Dla opcji Uruchom zapytanie co ustaw wartość 5 minut.
- W sekcji Próg alertu można określić liczbę wyników dodatnich, które mogą zwrócić regułę przed wygenerowaniem alertu. Użyj wartości domyślnej o wartości większej niż 0.
- W sekcji Grupowanie zdarzeń zaakceptuj wybór domyślny Grupuj wszystkie zdarzenia w jeden alert.
- W sekcji Pomijanie w polu Zatrzymaj uruchamianie zapytania po wygenerowaniu alertu pozostaw wartość domyślną Wyłączone.
- W sekcji Symulacja wyników wybierz pozycję Testuj z bieżącymi danymi i obserwuj wyniki.
Wybierz pozycję Dalej: ustawienia zdarzenia.
Karta Ustawienia zdarzenia
- Na karcie Ustawienia zdarzenia upewnij się, że opcja Tworzenie zdarzeń z alertów wyzwalanych przez tę regułę analizy jest ustawiona na wartość Włączone.
- W sekcji Grupowanie alertów wybierz pozycję Włączone, aby pogrupować powiązane alerty w zdarzenia. Upewnij się, że wybrano pozycję Grupowanie alertów w pojedynczym zdarzeniu, jeśli wszystkie jednostki są zgodne (zalecane).
- Upewnij się, że zamknięte ponowne otwieranie zamkniętych zdarzeń jest wyłączone.
- Wybierz pozycję Dalej: Automatyczna odpowiedź.
Przeglądanie i tworzenie
- Wybierz pozycję Dalej: Przejrzyj.
- Na karcie Przeglądanie i tworzenie po pomyślnym zakończeniu walidacji wybierz pozycję Utwórz.
Usuwanie maszyny wirtualnej
Aby przetestować wykrywanie reguł i tworzenie zdarzeń, usuń maszynę wirtualną utworzoną podczas instalacji.
- W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.
- Na stronie Maszyny wirtualne zaznacz pole wyboru obok pozycji simple-vm, a następnie wybierz pozycję Usuń na pasku narzędzi.
- W okienku Usuń zasoby wprowadź ciąg usuń w polu Wprowadź "usuń", aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.
- Ponownie wybierz pozycję Usuń .
Przed przejściem do następnego kroku należy wykonać operację kilka minut.
Badanie zdarzenia
W tym kroku zbadasz zdarzenie utworzone przez usługę Microsoft Sentinel po usunięciu maszyny wirtualnej. Wyświetlenie zdarzenia w usłudze Microsoft Sentinel może potrwać do 30 minut.
- W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz obszar roboczy usługi Microsoft Sentinel.
- Na stronie usługi Microsoft Sentinel wybierz pozycję Incydenty w obszarze Zarządzanie zagrożeniami w obszarze Nawigacja po lewej stronie.
- Na stronie Zdarzenia wybierz zdarzenie z tytułem Usunięte maszyny wirtualne.
- W okienku Szczegółów usuniętych maszyn wirtualnych po prawej stronie sprawdź szczegóły zdarzenia, w tym właściciela, stanu i ważności. Zastosuj następujące aktualizacje:
- Wybierz pozycję Właściciel>Przypisz do mnie>Zastosuj.
- Wybierz pozycję Stan>Aktywne>Zastosuj.
- Wybierz pozycję Wyświetl pełne szczegóły.
- W lewym okienku strony Incydent zwróć uwagę na sumy zdarzeń, alertów i zakładek w sekcji Dowody.
- W dolnej części okienka wybierz pozycję Zbadaj.
- Na stronie Badanie wybierz następujące elementy na wykresie badania:
- Element zdarzenia Usunięte maszyny wirtualne w środku strony przedstawiający szczegóły zdarzenia.
- Jednostka użytkownika reprezentująca konto użytkownika wskazująca, że maszyna wirtualna została usunięta.
- W górnej części strony Badanie wybierz pozycję Stan>zamknięty.
- Z menu rozwijanego Wybierz klasyfikację wybierz pozycję Łagodne pozytywne — podejrzane, ale oczekiwane.
- W polu Komentarz wpisz Testowanie tworzenia incydentu i kroków rozwiązywania, a następnie wybierz pozycję Zastosuj.
- Wybierz ikony zamknięcia, aby zamknąć strony Badanie i Zdarzenie .
- Na stronie Zdarzenia zwróć uwagę, że otwarte zdarzenia i aktywne zdarzenia mają teraz wartości 0.
Pomyślnie utworzono regułę analizy usługi Microsoft Sentinel, usunięto maszynę wirtualną w celu utworzenia zdarzenia oraz zbadano i zamknięto zdarzenie utworzone przez regułę.
Czyszczenie zasobów
Aby uniknąć ponoszenia kosztów, usuń zasoby platformy Azure utworzone w tym module po zakończeniu pracy z nimi. Aby usunąć zasoby, wykonaj następujące kroki:
- W witrynie Azure Portal wyszukaj Grupy zasobów.
- Na stronie Grupy zasobów wybierz pozycję azure-sentinel-rg.
- Na stronie azure-sentinel-rg wybierz pozycję Usuń grupę zasobów na górnym pasku menu.
- Na stronie Usuwanie grupy zasobów w obszarze Wprowadź nazwę grupy zasobów w celu potwierdzenia usunięcia wprowadź wartość azure-sentinel-rg.
- Wybierz pozycję Usuń, a następnie ponownie wybierz pozycję Usuń .