Övning – Identifiera hot med Microsoft Sentinel-analys
Övningen Hotidentifiering med Microsoft Sentinel Analytics i den här modulen är en valfri enhet. För att genomföra den här övningen behöver du dock ha tillgång till en Azure-prenumeration där du kan skapa Azure-resurser. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Om du vill distribuera förutsättningarna för övningen utför du följande uppgifter.
Kommentar
Om du väljer att utföra övningen i den här modulen ska du vara medveten om att det kan tillkomma kostnader i din Azure-prenumeration. Information om hur du beräknar kostnaden finns i Priser för Microsoft Sentinel.
Uppgift 1: Distribuera Microsoft Sentinel med hjälp av ARM-mall
Välj följande länk:
Du uppmanas att logga in på Azure. Fönstret Anpassad distribution visas.
På fliken Grundläggande anger du följande värden för varje inställning.
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj Skapa ny och ange ett namn för resursgruppen, till exempel azure-sentinel-rg
.Instansinformation Region I listrutan väljer du den plats där du vill distribuera Microsoft Sentinel. Namn på arbetsyta Ange ett unikt namn för Microsoft Sentinel-arbetsytan, <yourName>-sentinel
till exempel , där <yourName> representerar arbetsytans namn som du valde i föregående uppgift.Plats Acceptera standardvärdet [resourceGroup().location]. Simplevm-namn Acceptera standardvärdet simple-vm. Windows OS-version för simplevm Acceptera standardvärdet 2016-Datacenter. Välj Granska + skapa. När valideringen har godkänts väljer du Skapa.
Kommentar
Vänta tills distributionen har slutförts. Distributionen bör ta mindre än fem minuter.
Uppgift 2: Kontrollera de resurser som skapats
Sök efter Resursgrupper i Azure-portalen.
Välj azure-sentinel-rg.
Sortera listan med resurser efter Typ.
Resursgruppen ska innehålla resurserna i nedanstående tabell.
Name Type Description <yourName>-sentinel
Log Analytics-arbetsyta Log Analytics-arbetsyta som används av Microsoft Sentinel, där <yourName> representerar arbetsytans namn som du valde i föregående uppgift. simple-vmNetworkInterface
Nätverksgränssnitt Nätverksgränssnitt för den virtuella datorn. SecurityInsights(<yourName>-sentinel)
Lösning Säkerhetsinsikter för Microsoft Sentinel. simple-vm
Virtuell dator Virtuell dator (VM) som används i demonstrationen. st1<xxxxx>
Storage account Lagringskonto som används av den virtuella datorn, där <xxxxx> representerar en slumpmässig sträng som genererats för att skapa ett unikt lagringskontonamn. vnet1
Virtuellt nätverk Virtuellt nätverk för den virtuella datorn.
Kommentar
De resurser som distribueras och de konfigurationssteg som slutförs i den här övningen är obligatoriska för nästa övning. Om du har tänkt slutföra nästa övning ska du inte ta bort resurserna från den här övningen.
Uppgift 3: Konfigurera Microsoft Sentinel-dataanslutningar
I den här uppgiften distribuerar du en Microsoft Sentinel-dataanslutning för att identifiera Azure-aktivitet.
I Azure-portalen väljer du Start och söker sedan efter och väljer Microsoft Sentinel.
I listan över Sentinel-arbetsytenamn väljer du den Microsoft Sentinel-arbetsyta som du skapade i uppgift 2. Fönstret Översikt för din Sentinel-arbetsyta visas.
I menyfönstret går du till Innehållshantering och väljer Innehållshubb. Fönstret Innehållshubb visas.
I sökrutan söker du efter och väljer Azure-aktivitetslösningen. I fönstret Azure-aktivitetsinformation väljer du Installera.
Vänta tills installationen har slutförts och välj Hantera.
I sökrutan söker du efter och väljer anslutningsappen för Azure Activity Data.
I fönstret Azure-aktivitetsinformation väljer du Sidan Öppna anslutningsprogram.
Rulla nedåt och under "2 på fliken Instruktioner, Konfigurationsområde. Anslut dina prenumerationer..." välj Starta guiden> Azure Policy-tilldelning.
På fliken Grundläggande väljer du ellipsknappen (...) under Omfång och väljer din "Azure-prenumeration" i listrutan och väljer Välj.
Välj fliken Parametrar och välj arbetsytan yourName-sentinel i listrutan Primär Log Analytics-arbetsyta.
Välj fliken Reparation och markera kryssrutan Skapa en reparationsaktivitet. Den här åtgärden tillämpar prenumerationskonfigurationen för att skicka informationen till Log Analytics-arbetsytan.
Kommentar
Om du vill tillämpa principen på dina befintliga resurser måste du skapa en åtgärdsuppgift.
Välj knappen Granska + skapa för att granska konfigurationen.
Välj Skapa för att slutföra.
När distributionen är klar visas statusen Anslut (grönt fält) för Azure Activity-anslutningsappen i fönstret Konfiguration/Dataanslutningar.
Kommentar
Anslutningsappen för Azure Activity kan ta 15 minuter att visa Anslut i Microsoft Sentinel. Du kan fortsätta med resten av stegen och med andra lektioner i den här modulen.