Упражнение. Создание сборника схем Microsoft Sentinel

Завершено

В качестве аналитика по операциям безопасности, работающего в Компании Contoso, вы недавно заметили, что при удалении виртуальной машины создается значительное количество оповещений. Вы хотите проанализировать подобные события в будущем и уменьшить количество предупреждений, созданных для вхождений ложноположительных результатов.

Упражнение. Реагирование на угрозы с помощью сборников схем Microsoft Sentinel

Вы решили реализовать сборник схем Microsoft Sentinel для автоматизации ответов на инцидент.

В этом упражнении вы изучите сборники схем Microsoft Sentinel, выполнив следующие задачи:

  • Настройте разрешения сборника схем Microsoft Sentinel.

  • Создание сборника схем для автоматизации действия реагирования на инциденты.

  • Протестируйте сборник схем, вызвав инцидент.

Примечание.

Чтобы выполнить это упражнение, необходимо выполнить упражнение. При необходимости сделайте это, а затем продолжайте работу с упражнением.

Задача 1. Настройка разрешений сборника схем Microsoft Sentinel

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите созданную ранее рабочую область Microsoft Sentinel.

  2. На странице Microsoft Sentinel в строке меню в разделе "Конфигурация" выберите Параметры.

  3. На странице Параметры выберите вкладку Параметры и прокрутите вниз и разверните разрешения сборника схем

  4. В разделе "Разрешения сборника схем" нажмите кнопку "Настройка разрешений".

    Screenshot of the Microsoft Sentinel Playbook permissions.

  5. На странице "Управление разрешениями" на вкладке "Обзор" выберите группу ресурсов, к которой принадлежит рабочая область Microsoft Sentinel. Нажмите Применить.

    Screenshot of the Microsoft Sentinel Playbook Manage permissions page.

  6. Появится сообщение "Готовое добавление разрешений ".

Задача 2. Работа с сборниками схем Microsoft Sentinel

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите созданную ранее рабочую область Microsoft Sentinel.

  2. На странице Microsoft Sentinel в строке меню в разделе "Конфигурация" выберите "Автоматизация".

  3. В верхнем меню выберите "Создать и сборник схем" с триггером инцидента.

  4. На странице "Создание сборников схем" на вкладке "Основы" укажите следующие параметры:

    Параметры Value
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите группу ресурсов службы Microsoft Sentinel.
    Имя сборника схем ClosingIncident(можно выбрать любое имя)
    Регион Выберите расположение, в котором находится Microsoft Sentinel.
    Рабочая область Log Analytics Не включать журналы диагностики
  5. Нажмите кнопку "Далее:Подключение">, а затем нажмите кнопку "Далее: проверка и создание">

  6. Выберите " Создать" и перейдите к конструктору

    Примечание.

    Дождитесь завершения развертывания. Развертывание займет менее 1 минуты. Если он продолжает работать, может потребоваться обновить страницу.

  7. В области конструктора Logic Apps отобразится инцидент Microsoft Sentinel (предварительная версия).

    Screenshot of the Microsoft Sentinel trigger.

  8. На странице инцидента Microsoft Sentinel (предварительная версия) выберите ссылку "Изменить подключение".

  9. На странице Подключение ions нажмите кнопку "Добавить новую".

  10. На странице Microsoft Sentinel выберите вход.

    Screenshot of the authorizing API connection.

  11. На странице входа на страницу учетной записи укажите учетные данные для подписки Azure.

  12. На странице инцидента Microsoft Sentinel (предварительная версия) вы увидите, что вы подключены к вашей учетной записи. Выберите + Новый шаг.

  13. В окне "Выбор операции" в поле поиска введите Microsoft Sentinel.

  14. Выберите значок Microsoft Sentinel.

  15. На вкладке "Действия" найдите и выберите " Получить инцидент " (предварительная версия)".

  16. В окне Get Incident (Preview) (Получение инцидента (предварительная версия) выберите поле идентификатора ARM инцидента. Откроется окно "Добавить динамическое содержимое".

    Совет

    При выборе поля открывается новое окно, чтобы помочь заполнить эти поля динамическим содержимым.

  17. На вкладке динамического содержимого в поле поиска можно начать ввод Arm инцидента, а затем выбрать запись из списка, как показано на следующем снимке экрана.

    Screenshot of Get Incident.

  18. Выберите + Новый шаг.

  19. В окне "Выбор операции" в поле поиска введите Microsoft Sentinel.

    Совет

    На вкладке "Для вас" последние выборы должны отображать значок Microsoft Sentinel.

  20. Выберите значок Microsoft Sentinel.

  21. На вкладке "Действия" найдите и выберите "Обновить инцидент ( предварительная версия)".

  22. В окне "Обновление инцидента (предварительная версия) укажите следующие входные данные:

    Настройки Values
    Указание идентификатора ARM инцидента Идентификатор ARM инцидента
    Указание идентификатора объекта владельца / имени участника-пользователя Идентификатор объекта владельца инцидента
    Указание владельца assign/Unassign В раскрывающемся меню выберите "Отменить назначение"
    Важность Уровень серьезности инцидентов по умолчанию можно оставить
    Указание состояния В раскрывающемся меню выберите Закрыто.
    Указание причины классификации В раскрывающемся меню выберите запись, например "Неопределенная", или выберите "Ввести пользовательское значение" и выберите динамический контент IncidentClassification.
    Текст причины закрытия Напишите описательный текст.

    Screenshot of the Get Incident status.

  23. Выберите поле идентификатора ARM инцидента. Откроется окно "Добавление динамического содержимого " в поле поиска, вы можете начать вводить Arm инцидента. Выберите идентификатор ARM инцидента и выберите поле "Идентификатор объекта владельца" или "Имя участника-пользователя ".

  24. Откроется окно "Добавить динамическое содержимое ", в поле поиска можно начать ввод владельца инцидента. Выберите идентификатор объекта владельца инцидента, а затем заполните оставшиеся поля с помощью записей таблицы.

  25. По завершении нажмите кнопку "Сохранить " в строке меню конструктора Logic Apps, а затем закройте конструктор Logic Apps.

Задача 3. Вызов инцидента и проверка связанных действий

  1. В портал Azure в текстовом поле "Поиск ресурсов, служб и документов" введите виртуальные машины и нажмите клавишу ВВОД.

  2. На странице Виртуальные машины найдите и выберите виртуальную машину simple-vm, а затем на панели заголовка выберите Удалить.

  3. На странице "Удалить простую виртуальную машину" выберите "Удалить" с виртуальной машиной для диска ОС и сетевого интерфейса.

  4. Выберите поле, чтобы подтвердить , что я прочитал и понял, что эта виртуальная машина, а также все выбранные ресурсы будут удалены, а затем выберите "Удалить ", чтобы удалить виртуальную машину.

    Screenshot of the Delete simple-vm page.

    Примечание.

    Эта задача создает инцидент на основе правила аналитики, созданного ранее на уроке настройки упражнения. Создание инцидента может занять до 15 минут. Дождитесь ее завершения, прежде чем перейти к следующему шагу.

Задача 4. Назначение сборника схем существующему инциденту

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите ранее созданную рабочую область Microsoft Sentinel.

  2. На странице Microsoft Sentinel | Обзор в строке меню, в разделе Управление угрозами выберите Инциденты.

    Примечание.

    Как упоминание в предыдущем примечание, создание инцидента может занять до 15 минут. Обновите страницу, пока инцидент не появится на странице Инциденты.

  3. В Microsoft Sentinel | Страница "Инциденты" выберите инцидент, созданный на основе удаления виртуальной машины.

  4. В области сведений выберите "Действия " и "Запустить сборник схем " (предварительная версия)".

    Screenshot of the Incident detail pane actions to run playbook.

  5. На странице "Запуск схем" на странице "Сборники схем" на вкладке "Сборники схем" вы увидите сборник схем "ЗакрытьIncident", выберите "Выполнить".

  6. Убедитесь, что получено сообщение Сборник схем запущен.

  7. Закройте сборник схем run на странице инцидента, чтобы вернуться в Microsoft Sentinel | Страница инцидентов.

  8. На странице Microsoft Sentinel | Инциденты в строке заголовка выберите Обновить. Вы заметите, что инцидент исчезает из области. В меню Состояние выберите Закрытые, а затем выберите ОК.

    Примечание.

    Отображение предупреждений как закрытых может занять до 5 минут.

    Screenshot of the header bar.

  9. Убедитесь, что инцидент снова отображается и обратите внимание на столбец "Состояние", чтобы проверка, что он закрыт.

Очистка ресурсов

  1. На портале Azure найдите Группы ресурсов.

  2. Выберите azure-sentinel-rg.

  3. На панели заголовка щелкните Удалить группу ресурсов.

  4. В поле Введите имя группы ресурсов: введите имя группы ресурсов azure-sentinel-rg и выберите Удалить.