Exercício – Investigar um incidente

Concluído

Os analistas de operações de segurança usam o Microsoft Sentinel para monitorar e responder a incidentes de segurança em sua organização. Nesses exercícios, investigamos incidentes de segurança usando o Microsoft Sentinel no Microsoft Azure e na Plataforma de Operações de Segurança Unificada do portal do Microsoft Defender.

Portal do Azure

Como analista de operações de segurança da Contoso, você precisa analisar as exclusões de máquinas virtuais (VMs) da assinatura da Contoso Azure e ser alertado quando uma atividade semelhante ocorrer no futuro. Você decide implementar uma regra de análise para criar um incidente quando alguém excluir uma VM existente. Você poderá investigar o incidente para determinar os detalhes e fechá-lo quando terminar.

Neste exercício, você criará uma regra de análise do Microsoft Sentinel para detectar quando uma VM é excluída. Em seguida, você exclui a VM criada no início deste módulo e investiga e resolve o incidente que a regra criou.

Para concluir este exercício, verifique se você terminou o exercício de instalação no início do módulo e o conector de Atividade do Azure agora mostra um status de Conectado.

Criar uma regra análise do assistente

Crie uma regra de análise que cria um incidente quando uma VM é excluída na assinatura da Contoso Azure.

1. No portal do Azure, pesquise e selecione o Microsoft Sentinel e selecione o workspace do Microsoft Sentinel que você criou.
2. Na página do Microsoft Sentinel, selecione Análise em Configuração no menu à esquerda.
3. Na página Análise , selecione Criar>regra de consulta Agendada.

Aba Geral

1. Na guia Geral do assistente, forneça as informações a seguir.

   • Nome: insira VMs excluídas.
   • Descrição: insira uma descrição para ajudar outras pessoas a entender o que a regra faz.
   • Táticas e técnicas: selecione Acesso Inicial.
   • Severidade: selecione Médio.
   • Status: Selecione Habilitado.

   

2. Selecione Avançar: Definir lógica da regra.

Guia Definir lógica de regra

1. Na guia Definir lógica de regra , na seção Consulta de regra , insira a seguinte consulta:

   AzureActivity
   | where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
   | where ActivityStatusValue == 'Success'
   | extend AccountCustomEntity = Caller
   | extend IPCustomEntity = CallerIpAddress
   

2. Role para baixo para exibir ou definir as seguintes opções de configuração:

   • Expanda a seção mapeamento de entidade para definir as entidades que retornam como parte da regra de consulta, que você pode usar para análise detalhada. Para este exercício, use os valores padrão.
   • Na seção Agendamento de consulta, configure a frequência com que a consulta deve ser executada e o quão longe o histórico deve ser observado. Defina Executar consulta a cada como cinco minutos.
   • Na seção Limite de Alerta , você pode especificar o número de resultados positivos que podem retornar para a regra antes que um alerta seja gerado. Use o valor padrão de é maior que 0.
   • Na seção Agrupamento de eventos, aceite a seleção padrão Agrupar todos os eventos em um único alerta.
   • Na seção Supressão, para parar de executar a consulta após a geração do alerta, deixe o padrão desativado.
   • Na seção Simulação de resultados , selecione Testar com os dados atuais e observe os resultados.

3. Selecione Avançar: Configurações de incidente.

Guia Configurações de incidentes

1. Na guia Configurações de incidente , verifique se Criar incidentes a partir de alertas disparados por essa regra de análise está definido como Habilitado.
2. Na seção Agrupamento de alertas , selecione Habilitado para agrupar alertas relacionados em incidentes. Verifique se o agrupamento de alertas em um único incidente se todas as entidades corresponderem (recomendado) estiver selecionado.
3. Verifique se a opção Reabrir incidentes correspondentes fechados está Desabilitada.
4. Selecione Avançar: Resposta automatizada.

Examinar e criar

1. Selecione Avançar: Examinar.
2. Na guia Revisar e criar , quando a validação for bem-sucedida, selecione Criar.

Excluir uma VM

Para testar a detecção de regras e a criação de incidentes, exclua a VM que você criou durante a instalação.

1. No portal do Azure, procure e selecione Máquinas virtuais.
2. Na página máquinas virtuais , marque a caixa de seleção ao lado da VM simples e, em seguida, selecione Excluir na barra de ferramentas.
3. No painel Excluir Recursos , digite excluir no enter "delete" para confirmar o campo de exclusão e, em seguida, selecione Excluir.
4. Selecione Delete novamente.

Dê à operação vários minutos para ser concluída antes de prosseguir para a próxima etapa.

Investigar o incidente

Nesta etapa, você investigará o incidente criado pelo Microsoft Sentinel ao excluir a VM. Pode levar até 30 minutos para que o incidente apareça no Microsoft Sentinel.

1. No portal do Azure, pesquise e selecione o Microsoft Sentinel e selecione seu workspace do Microsoft Sentinel.
2. Na página do Microsoft Sentinel, selecione Incidentes sob Gerenciamento de Ameaças na navegação à esquerda.
3. Na página Incidentes , selecione o incidente com o título VMs excluídas.
4. No painel de detalhes VMs excluídas à direita, observe os detalhes do incidente, incluindo Proprietário, Status e Severidade. Aplique as seguintes atualizações:
   • Selecione Proprietário>Atribuir a mim>Aplicar.
   • Selecione Status>Active>Apply.
5. Selecione Exibir detalhes completos.
6. No painel esquerdo da página Incidente , observe os totais de Eventos, Alertas e Indicadores na seção Evidências .
7. Na parte inferior do painel, selecione Investigar.
8. Na página Investigação , selecione os seguintes itens no grafo de investigação:
   • O item de incidente VMs excluídas no centro da página exibe os detalhes do incidente.
   • A entidade de usuário que representa sua conta de usuário, indicando que você excluiu a VM.
9. Na parte superior da página Investigar , selecione Status>Fechado.
10. No menu suspenso Selecionar classificação, selecione Positivo Benigno – Suspeito, mas esperado.
11. No campo Comentário , insira as etapas de criação e resolução de incidentes de teste e selecione Aplicar.
12. Selecione os ícones de fechamento para fechar as páginas Investigar e Incidente .
13. Na página Incidentes , observe que incidentes abertos e incidentes ativos agora têm valores de 0.

Você criou com êxito uma regra de análise do Microsoft Sentinel, excluiu uma VM para criar um incidente e investigou e fechou o incidente que a regra criou.

Limpar os recursos

Para evitar incorrer em custos, exclua os recursos do Azure criados neste módulo quando terminar de usá-los. Para excluir os recursos, conclua as seguintes etapas:

1. No portal do Azure, pesquise Grupos de recursos.
2. Na página Grupos de recursos , selecione azure-sentinel-rg.
3. Na página azure-sentinel-rg , selecione Excluir grupo de recursos na barra de menus superior.
4. Na página Excluir um grupo de recursos , em Inserir nome do grupo de recursos para confirmar a exclusão, insira azure-sentinel-rg.
5. Selecione Excluir e, em seguida, selecione Excluir novamente.

Portal do Defender

Neste exercício, você percorre o processo de revisão, modificação, investigação e resposta a um incidente de segurança na Plataforma de Operações de Segurança Unificada.

Observação

Quando uma instrução de laboratório exigir a abertura de um link para o ambiente simulado, é recomendável que você abra o link em uma nova janela do navegador para que possa exibir as instruções e o ambiente do exercício ao mesmo tempo. Para fazer isso, selecione a tecla do mouse à direita e selecione a opção.

1. Abra o ambiente simulado selecionando este link: Portal do Microsoft Defender.

   Observação

   O ambiente para este exercício é uma simulação gerada a partir do produto. Como uma simulação limitada, os links em uma página podem não estar habilitados e pode não haver suporte para entradas baseadas em texto que estejam fora do script especificado. Uma mensagem pop-up é exibida informando: "Esse recurso não está disponível dentro da simulação". Quando isso ocorrer, selecione OK e continue as etapas do exercício.

   

Tarefa: examinar a fila de incidentes e aplicar filtros

1. No menu de navegação do portal do Microsoft Defender:

   1. Expanda Investigação e resposta.
   2. Expanda Incidentes e alertas.
   3. Selecione Incidentes.

2. Na Fila de Incidentes, filtre os incidentes de alta gravidade e com status ativo.

3. Selecione "adicionar filtro".

4. Defina o filtro como categorias e defina o valor como Ransomware.

5. Selecione o incidente "Comprometimento da conta de usuário identificado de um padrão de ataque conhecido" e exiba o resumo no menu à direita

Tarefa: gerar um resumo de incidentes com Copilot for Security

1. Continuando com o mesmo incidente da tarefa anterior, selecione o nome para acessar a página de incidentes.
2. Depois de inserir o incidente, permita que Copilot examine o incidente e gere um resumo do incidente.
3. Examine os detalhes do resumo para entender o que ocorreu no incidente.

Tarefa: Examinar um alerta

1. Na linha do tempo do alerta, selecione a "URL Maliciosa nos registros de proxy".
2. Examine os detalhes em "o que aconteceu".
3. Verifique qual regra analítica gerou esse alerta.
4. No grafo de incidentes, selecione o endereço IP "10.50.0.16".
5. Selecione o nó e escolha "exibir detalhes" para ver os detalhes relacionados ao IP.
6. Na linha do tempo do alerta, selecione "Conexão com um domínio suspeito relacionado ao phishing de credenciais".
7. Examine a árvore de processo para examinar a sequência de processos que estão sendo executados na estação de trabalho até o incidente.

Tarefa: examinar os ativos do incidente (entidades)

1. Dentro do incidente, clique na guia "ativos" próximo da parte superior.
2. Selecione "usuários".
3. Selecione o nome do usuário.
4. Examine os detalhes no menu lateral.
5. Selecione "dispositivos".
6. Selecione o primeiro dispositivo.
7. Selecione "abrir página do dispositivo".
8. Examine os detalhes mostrados na página.

Tarefa: examinar a evidência e a resposta

1. Navegue de volta para a página de incidentes.
2. Selecione a guia "Evidência e Resposta" perto da parte superior.
3. Selecione alguns itens de evidência e examine os detalhes no menu lateral.

Tarefa: examinar as ações recomendadas

1. Selecione a guia "Ações recomendadas".
2. Examine a lista de ações listadas.
3. Selecione por meio da lista para ver os detalhes, o status da implementação, o impacto, as etapas de implementação e o histórico.

Tarefa: Feche um incidente

1. Dentro do incidente, selecione "Gerenciar Incidente".
2. Defina o status como resolvido.
3. Na classificação, selecione uma categorização.
4. Selecione salvar.