Övning – Identifiera hot med Microsoft Sentinel-analys

  • 12 minuter

Som säkerhetstekniker som arbetar för Contoso har du nyligen märkt att ett stort antal virtuella datorer har tagits bort från din Azure-prenumeration. Du vill analysera den här händelsen och få ett meddelande om en liknande aktivitet inträffar i framtiden. Du bestämmer dig för att implementera en analysregel för att skapa en incident när någon tar bort en befintlig virtuell dator.

Övning: Hotidentifiering med Microsoft Sentinel Analytics

I den här övningen utforskar du en Microsoft Sentinel-analysregel och utför följande uppgifter:

  • Skapa en incidentregel från en befintlig mall.
  • Anropa en incident och granska de associerade åtgärderna.
  • Skapa en analysregel från en regelmall.

Kommentar

För att kunna slutföra den här övningen måste du ha slutfört övningsinstallationsenheten i enhet 2. Slutför dem nu, om du inte har gjort det tidigare, och fortsätt sedan med stegen i den här övningen.

Uppgift 1: Skapa en analysregel från analysregelguiden

  1. I Azure-portalen söker du efter och väljer Microsoft Sentinel och väljer sedan den tidigare skapade Microsoft Sentinel-arbetsytan.

  2. På Microsoft Sentinel-menyn går du till Konfiguration och väljer Analys.

  3. På Microsoft Sentinel | Analyshuvudfält, välj Skapa och välj sedan Schemalagd frågeregel.

  4. På fliken Allmänt anger du indatavärdena i följande tabell och väljer sedan Nästa: Ange regellogik

    Name Borttagning av virtuella Azure-datorer.
    beskrivning En enkel identifiering att avisera när någon tar bort en virtuell Azure-dator.
    Taktiker I listrutan Taktik väljer du Effekt.
    Allvarlighet Välj den nedrullningsbara menyn Allvarlighetsgrad och välj Medel.
    Status Kontrollera att statusen är Aktiverad. Du kan välja Inaktiverad för att inaktivera en regel om den genererar ett stort antal falska positiva identifieringar.

    Screenshot Analytics Rule wizard-Create new rule.

  5. På fliken Ange regellogik kopierar och klistrar du in följande kod i textrutan Regelfråga :

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. I fönstret Resultatsimulering väljer du Testa med aktuella data och observerar sedan resultaten.

    Screenshot of Analytics Rule Set Logic tab.

  7. I avsnittet Aviseringsförbättring under Entitetsmappning mappar du de entiteter som returneras som en del av frågeregeln och som du kan använda för att utföra djupgående analys.

  8. I avsnittet Frågeschemaläggning konfigurerar du hur ofta frågan ska köras och hur långt i historiken du ska söka. Välj fråga som ska köras var 5:e minut och acceptera standardhistoriken på 5 timmar.

  9. I avsnittet Aviseringströskel anger du antalet positiva resultat som kan returneras för regeln innan en avisering genereras. Acceptera standardvärdena.

  10. I avsnittet Händelsegruppering godkänner du standardgruppen alla händelser i en enda avisering.

  11. I avsnittet Undertryckning anger du Sluta köra frågan när aviseringen har genererats till .

  12. Acceptera standardvärdena på 5 timmar och välj sedan Inställningen Nästa: Incident (förhandsversion).

  13. På fliken Incidentinställning kontrollerar du att Aktiverad har valts för att skapa incidenter från aviseringar som utlöses av den här analysregeln.

  14. I avsnittet Aviseringsgruppering väljer du Aktiverad för att gruppera relaterade aviseringar i incidenter och kontrollerar att Gruppera aviseringar i en enda incident om alla entiteter matchar (rekommenderas) har valts.

  15. Kontrollera att Öppna stängda matchande incidenter är Inaktiverad och välj sedan Nästa: Automatiserat svar.

    Screenshot Analytics Incident Settings.

  16. I fönstret Automatiserat svar väljer du en spelbok som ska köras automatiskt när aviseringen genereras. Endast spelböckerna som innehåller Logic App Microsoft Sentinel-anslutningsappen visas.

  17. Välj Nästa: Granska.

  18. På sidan Granska och skapa kontrollerar du att valideringen lyckades och väljer sedan Spara.

Uppgift 2: Anropa en incident och granska de associerade åtgärderna

  1. I Azure-portalen väljer du Start och i sök-omniboxen anger du virtuella datorer och väljer sedan Retur.
  2. På sidan Virtuella datorer letar du upp och väljer den virtuella datorn simple-vm som du skapade i resursgruppen för den här övningen och väljer sedan Ta bort i rubrikfältet. I kommandotolken Ta bort virtuell dator väljer du Ja.
  3. I kommandotolken Ta bort virtuell dator väljer du OK för att ta bort den virtuella datorn.

Kommentar

Den här uppgiften skapar en incident som baseras på den analysregel som du skapade i uppgift 1. Det kan ta upp till 15 minuter att skapa en incident. Du kan fortsätta med resten av stegen i den här lektionen och titta på resultatet vid ett senare tillfälle.

Uppgift 3: Skapa en analysregel från en befintlig mall

  1. I Azure-portalen väljer du Start, Microsoft Sentinel och sedan den Microsoft Sentinel-arbetsyta som du skapade i lektion 2 i den här modulen.

  2. Öppna Microsoft Sentinel på den vänstra menyn under Konfiguration och välj Analys.

  3. I fönstret Analys väljer du fliken Regelmallar .

  4. I sökfältet anger du Skapa incidenter baserat på Microsoft Defender för molnet och väljer sedan den regelmallen.

  5. I informationsfönstret väljer du Skapa regel.

  6. I fönstret Allmänt noterar du namnet på analysregeln och kontrollerar att regelns Status är Aktiverad.

  7. I avsnittet Analysregellogik kontrollerar du att Microsofts säkerhetstjänst visar Microsoft Defender för molnet har valts.

  8. I avsnittet Filtrera efter allvarlighetsgrad väljer du Anpassadoch väljer sedan Hög och Medel i den nedrullningsbara menyn.

  9. Om du vill ha ytterligare filter för aviseringarna från Microsoft Defender för molnet kan du lägga till text i Inkludera specifika aviseringar och Exkludera specifika aviseringar.

  10. Välj Nästa: Automatiserat svar och välj sedan Nästa: Granska.

  11. På sidan Granska och skapa väljer du Skapa.

Resultat

När du har slutfört den här övningen har du skapat en incidentregel från en befintlig mall och skapat en schemalagd frågeregel med din egen frågekod.

När du är klar med övningen bör du ta bort resurser för att undvika kostnader.

Rensa resurserna

  1. Sök efter Resursgrupper i Azure-portalen.
  2. Välj azure-sentinel-rg.
  3. Välj Ta bort resursgrupp i rubrikfältet.
  4. I fältet ANGE RESURSGRUPPENS NAMN: anger du namnet på resursgruppen, azure-sentinel-rg, och väljer sedan Ta bort.