Alıştırma - Microsoft Sentinel kullanarak tehditleri avlama
Contoso'da çalışan bir güvenlik mühendisi olarak kısa süre önce Azure aboneliğinizden önemli sayıda sanal makinenin (VM) silindiğini fark ettiniz. Silinen bir VM'nin benzetimini yapmak, bu oluşumu analiz etmek ve Microsoft Sentinel'deki olası tehdidin temel öğelerini anlamak istiyorsunuz.
Bu alıştırmada bir VM'yi silecek, tehdit avcılığı sorgularını yönetecek ve önemli bulguları yer işaretleriyle kaydedeceksiniz.
Dekont
Bu alıştırmayı tamamlamak için modülün önceki bölümlerinde yer alan kurulum alıştırmasını tamamlamış olmanız gerekir. Bunu yapmadıysanız lütfen şimdi yapın.
VM silme
Bu görevde, kural algılamayı ve olay oluşturmayı test etmek için bir VM'yi silersiniz.
- Azure portalında Sanal makineler için arama yapın ve bunu seçin.
- Sanal makineler sayfasında simple-vm adlı sanal makinenin yanındaki onay kutusunu işaretleyin ve ardından araç çubuğundan Sil'i seçin.
- Kaynakları Sil bölmesinde silme işlemini onaylayın ve sil'i seçin.
Microsoft Sentinel tehdit avcılığı sorgularını yönetme
Bu görevde, önceki görevde VM'yi silmeyle ilgili olayları gözden geçirmek için tehdit avcılığı sorguları oluşturup yönetebilirsiniz. VM'yi sildikten sonra olayın Microsoft Sentinel'de görünmesi 5 dakika kadar sürebilir.
Azure portalında Microsoft Sentinel'i arayıp seçin ve ardından daha önce oluşturulan Sentinel çalışma alanını seçin.
Microsoft Sentinel sayfasındaki menü çubuğundaki Tehdit yönetimi bölümünde Tehdit Avcılığı'nı seçin.
Tehdit Avcılığı sayfasında Sorgular sekmesini seçin. Ardından Yeni Sorgu'yu seçin.
Özel sorgu oluştur sayfasında aşağıdaki girişleri sağlayın ve Oluştur'u seçin.
Ad: Silinmiş VM'leri girin.
Açıklama: Diğer güvenlik analistlerinin kuralın ne yaptığını anlamasına yardımcı olacak ayrıntılı bir açıklama girin.
Özel sorgu: Aşağıdaki kodu girin.
AzureActivity | where OperationName == 'Delete Virtual Machine' | where ActivityStatus == 'Accepted' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddressTaktikler: Etki'yi seçin.
Tehdit avcılığı sayfasının Sorgular sekmesindeki Arama sorguları alanınaSilinen sanal makineler yazın.
Sorgu listesinde Silinen sanal makineler girişinin yanındaki yıldızı seçerek sorguyu sık kullanılanlara ekleyin.
Silinmiş VM'ler sorgusunu seçin. Ayrıntılar bölmesinde Sonuçları Görüntüle'yi seçin.
Dekont
Silinen VM olayının Microsoft Sentinel'e gönderilmesi 15 dakika kadar sürebilir. VM silme olayı görünmüyorsa, sorguyu Sonuçlar sekmesinde düzenli aralıklarla çalıştırmayı seçebilirsiniz.
Günlükler sayfasındaki Sonuçlar bölümünde listelenen olayı seçin. Yetkilendirme sütununda olmalıdır
"action": "Microsoft.Compute/virtualMachines/delete". Bu, Azure Etkinlik günlüğünden vm'nin silindiğini gösteren olaydır.Bir sonraki görev için bu sayfada kalın.
Yer işaretleriyle önemli bulguları kaydetme
Bu görevde, olayları kaydetmek ve daha fazla avcılık yapmak için yer işaretlerini kullanırsınız.
- Günlükler sayfasındaki Sonuçlar bölümünde, listelenen olayın yanındaki onay kutusunu seçin. Ardından Yer işareti ekle'yi seçin.
- Yer işareti ekle bölmesinde Oluştur'u seçin.
- Sayfanın üst kısmında içerik haritası izinden Microsoft Sentinel'i seçin.
- Tehdit Avcılığı sayfasında Yer İşaretleri sekmesini seçin.
- Yer işaretleri listesinde Silinen sanal makineler şeklinde başlayan yer işaretini seçin.
- Ayrıntılar sayfasında Araştır'ı seçin.
- Araştırma sayfasında Silinmiş VM'ler'i seçin ve olayın ayrıntılarını inceleyin.
- Araştırma sayfasındaki graf üzerinde kullanıcıyı temsil eden varlığı seçin. Bu, VM'yi sildiğinize işaret eden kullanıcı hesabınızdır.
Sonuçlar
Bu alıştırmada bir VM'yi, yönetilen tehdit avcılığı sorgularını sildiniz ve yer işaretleriyle önemli bulguları kaydettiniz.
Azure kaynaklarını temizleme
Bu alıştırmada oluşturduğunuz Azure kaynaklarını kullanmayı bitirdikten sonra maliyetlerin oluşmasını önlemek için bunları silin:
- Azure portalında Kaynak grupları’nı arayın.
- Kaynak grubunuzu seçin.
- Başlık çubuğunda Kaynak grubunu sil'i seçin.
- KAYNAK GRUBU ADI YAZıN alanına kaynak grubunun adını girin ve Sil'i seçin.