Exercício - Criar um manual do Microsoft Sentinel

  • 15 minutos

O exercício Criar um manual do Microsoft Sentinel neste módulo é uma unidade opcional. No entanto, se quiser realizar este exercício, precisará de ter acesso a uma subscrição do Azure na qual possa criar recursos do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Para implementar os pré-requisitos do exercício, execute as seguintes tarefas.

Nota

Se optar por realizar o exercício neste módulo, tenha em atenção que pode incorrer em custos na Subscrição do Azure. Para estimar o custo, consulte Preços do Microsoft Sentinel.

Tarefa 1: Implantar o Microsoft Sentinel

  1. Selecione a seguinte ligação:

    Deploy To Azure.

    Ser-lhe-á pedido para iniciar sessão no Azure.

  2. Na página Implementação personalizada, indique as seguintes informações:

    Label Description
    Subscrição Selecione a subscrição do Azure.
    Grupo de Recursos Selecione Criar novo e forneça um nome para o grupo de recursos, como azure-sentinel-rg.
    País/Região No menu suspenso, selecione a região onde deseja implantar o Microsoft Sentinel.
    Nome da área de trabalho Forneça um nome exclusivo para o espaço de trabalho do Microsoft Sentinel, como , onde <yourName>-Sentinel<yourName> representa o nome do espaço de trabalho que você escolheu na tarefa anterior.
    Localização Aceite o valor predefinido de [resourceGroup().location].
    Nome da Simplevm Aceite o valor predefinido de simple-vm.
    Versão do SO Windows da Simplevm Aceite o valor predefinido de 2016-Datacenter.

    Screenshot of the custom deployment inputs for a Microsoft template.

  3. Selecione Rever + criar e, em seguida, quando os dados tiverem sido validados, selecione Criar.

    Nota

    Aguarde pela conclusão da implementação. A implementação deverá demorar menos de cinco minutos.

    Screenshot of the successful custom deployment.

Tarefa 2: Verificar os recursos criados

  1. Na página Visão Geral da Implantação, selecione Ir para o grupo de recursos. Os recursos para sua implantação personalizada são exibidos.

  2. Selecione Início e nos serviços do Azure, procure e selecione Grupos de recursos.

  3. Selecione azure-sentinel-rg.

  4. Ordene a lista de recursos por Tipo.

  5. O grupo de recursos deve incluir os recursos apresentados na tabela seguinte.

    Nome Tipo Description
    <yourName>-Sentinel Área de trabalho do Log Analytics Espaço de trabalho do Log Analytics usado pelo Microsoft Sentinel, onde <yourName> representa o nome do espaço de trabalho que você escolheu na tarefa anterior.
    simple-vmNetworkInterface Interface de Rede A interface de rede da VM.
    SecurityInsights(<yourName>-Sentinel) Solution Informações de segurança para o Microsoft Sentinel.
    st1<xxxxx> Storage account Conta de armazenamento utilizada pela máquina virtual.
    simple-vm Máquina virtual A máquina virtual (VM) utilizada na demonstração.
    vnet1 Rede virtual Rede virtual da VM.

Nota

Os recursos implementados e os passos de configuração concluídos neste exercício serão necessários no próximo exercício. Se pretender concluir o próximo exercício, não elimine os recursos neste exercício.

Tarefa 3: Configurar conectores do Microsoft Sentinel

  1. No portal do Azure, procure Microsoft Sentinel e selecione o espaço de trabalho do Microsoft Sentinel criado anteriormente.

  2. No Microsoft Sentinel | Painel de visão geral, no menu à esquerda, role para baixo até Gerenciamento de conteúdo e selecione Hub de conteúdo.

  3. Na página Hub de Conteúdo, digite Atividade do Azure no formulário Pesquisar e selecione a solução Atividade do Azure.

  4. No painel de detalhes da solução Atividade do Azure, selecione Instalar.

  5. Na coluna central Nome do conteúdo, selecione o conector de Dados de Atividade do Azure.

    Nota

    Esta solução instala estes tipos de Conteúdo: 12 regras analíticas, 14 consultas de caça, 1 pasta de trabalho e o conector de Dados de Atividade do Azure.

  6. Selecione Abrir página do conector.

  7. Na área Instruções/Configuração, role para baixo e abaixo de 2. Ligue as suas subscrições... selecione Iniciar o Assistente de Atribuição de Políticas do Azure.

  8. Na guia Noções básicas do assistente, selecione as reticências ... em Escopo. No painel Escopos, selecione sua assinatura e, em seguida, selecione Selecionar.

  9. Selecione a guia Parâmetros e escolha seu espaço de trabalho do Microsoft Sentinel na lista suspensa do espaço de trabalho do Primary Log Analytics.

  10. Selecione a guia Correção e marque a caixa de seleção Criar uma tarefa de correção. Esta ação aplica a atribuição de política a recursos do Azure já existentes.

  11. Selecione o botão Rever + Criar para rever a configuração e, em seguida, selecione Criar.

    Nota

    O conector para a Atividade do Azure usa atribuições de política, você precisa ter permissões de função que permitam criar atribuições de política. E, normalmente, leva 15 minutos para exibir um status de Conectado. Enquanto o conector é implantado, você pode continuar executando o restante das etapas nesta unidade e nas unidades subsequentes neste módulo.

    Screenshot that displays the Microsoft Sentinel Azure Activity Content Hub solution.

Tarefa 4: Criar uma regra de análise

  1. No portal do Azure, procure e selecione Microsoft Sentinel e, em seguida, selecione o espaço de trabalho do Microsoft Sentinel criado anteriormente.

  2. Na página Microsoft Sentinel , na barra de menus, na seção Configuração , selecione Analytics.

  3. No Microsoft Sentinel | Página Análise, selecione Criar e, em seguida, selecione Regra de consulta NRT (Pré-visualização).

  4. Na página Geral, forneça as entradas na tabela a seguir e selecione Avançar: Definir lógica >da regra .

    Label Description
    Name Forneça um nome descritivo, como Excluir Máquinas Virtuais, para explicar que tipo de atividade suspeita o alerta deteta.
    Description Insira uma descrição detalhada que ajude outros analistas de segurança a entender o que a regra faz.
    Táticas e Técnicas No menu suspenso Táticas e Técnicas, escolha a categoria Acesso Inicial para classificar a regra seguindo as táticas MITRE.
    Gravidade Selecione o menu suspenso Severidade para categorizar o nível de importância do alerta como uma das quatro opções: Alta, Média, Baixa ou Informativa.
    Status Especifique o estado da regra. Por padrão, o status é Habilitado. Você pode selecionar Desativado para desativar a regra se ela gerar um grande número de falsos positivos.

  5. Na página Definir lógica das regras, na secção Consulta da regra, introduza a seguinte consulta:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. Aceite os valores padrão para todas as outras configurações e selecione Avançar: configuração de incidente.

  7. Na guia Configuração de incidente, verifique se Habilitado está selecionado para a criação de incidentes a partir de alertas acionados por esta regra de análise. E, em seguida, selecione Seguinte: Resposta automatizada.

  8. No separador Resposta automática, pode selecionar um manual de procedimentos para ser executado automaticamente quando o alerta for gerado. Somente os playbooks que contêm um conector Microsoft Sentinel do Logic App são exibidos.

  9. Selecione Next: Review.

  10. Na página Rever e Criar, verifique se a validação foi bem-sucedida e selecione Criar.

Nota

Você pode saber mais sobre as regras de análise do Microsoft Sentinel no módulo "Deteção de ameaças com a análise do Microsoft Sentinel".