Alıştırma - Bir güvenlik olayını araştırma

  • 20 dakika

Contoso güvenlik mühendisi olarak Contoso Azure aboneliğinden sanal makinelerin (VM) silinmesini analiz etmeniz ve gelecekte benzer bir etkinlik gerçekleştiğinde uyarı almanız gerekir. Kullanıcılar sanal makineleri sildiğinde güvenlik olayı oluşturacak bir analiz kuralını uygulamaya almaya karar veriyorsunuz. Bunu yaptıktan sonra güvenlik olayını araştırarak ayrıntılara ulaşabilir ve süreci tamamladıktan sonra güvenlik olayını kapatabilirsiniz.

Bu alıştırmada, bir VM'nin ne zaman silindiğini algılamak için bir Microsoft Sentinel analiz kuralı oluşturacaksınız. Ardından bu modülün başında oluşturduğunuz VM'yi silip kuralın oluşturduğu olayı araştırıp çözümleyebilirsiniz.

Bu alıştırmayı tamamlamak için modülün başındaki kurulum alıştırmasını tamamladığınızdan ve Azure Etkinlik bağlayıcısının artık Bağlan durumu gösterdiğinden emin olun.

Sihirbazdan analiz kuralı oluşturma

Contoso Azure aboneliğinde bir VM silindiğinde olay oluşturan bir analiz kuralı oluşturun.

  1. Azure portalında Microsoft Sentinel'i arayıp seçin ve ardından oluşturduğunuz Microsoft Sentinel çalışma alanını seçin.
  2. Microsoft Sentinel sayfanızda soldaki menüden Yapılandırma'nın altında Analiz'i seçin.
  3. Analiz sayfasında Zamanlanmış sorgu kuralı oluştur'u>seçin.

Genel sekmesi

  1. Sihirbazın Genel sekmesinde aşağıdaki bilgileri sağlayın.

    • Ad: Silinmiş VM'leri girin.
    • Açıklama: Başkalarının kuralın ne yaptığını anlamasına yardımcı olmak için bir açıklama girin.
    • Taktikler ve teknikler: İlk Erişim'i seçin.
    • Önem Derecesi: Orta'ya tıklayın.
    • Durum: Etkin'i seçin.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. İleri: Kural mantığını ayarla'yı seçin.

Kural mantığı sekmesini ayarlama

  1. Kural mantığını ayarla sekmesindeki Kural sorgusu bölümüne aşağıdaki sorguyu girin:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Aşağıdaki yapılandırma seçeneklerini görüntülemek veya ayarlamak için ekranı aşağı kaydırın:

    • Ayrıntılı analiz için kullanabileceğiniz sorgu kuralının parçası olarak döndürülen varlıkları tanımlamak için Varlık eşleme bölümünü genişletin. Bu alıştırma için varsayılan değerleri kullanın.
    • Sorgu zamanlama bölümünde, sorgunun ne sıklıkta çalıştırılması gerektiğini ve geçmişin ne kadar gerisinde gözlemlenmesi gerektiğini yapılandırın. Sorguyu çalıştırma sıklığı değerini 5 dakika olarak ayarlayın.
    • Uyarı eşiği bölümünde, uyarı oluşturulmadan önce kural için döndürebilecek pozitif sonuçların sayısını belirtebilirsiniz. varsayılan değerinin 0'dan büyük olduğunu kullanın.
    • Olay gruplama bölümünde Tüm olayları tek bir uyarı olarak grupla şeklindeki varsayılan seçimi kabul edin.
    • Gizleme bölümünde, uyarı oluşturulduktan sonra sorguyu çalıştırmayı durdur için varsayılan kapalı değerini bırakın.
    • Sonuçlar benzetimi bölümünde Geçerli verilerle test et'i seçin ve sonuçları gözlemleyin.

  3. İleri: Olay ayarları'nı seçin.

Olay ayarları sekmesi

  1. Olay ayarları sekmesinde, Bu analiz kuralı tarafından tetiklenen uyarılardan olay oluştur seçeneğinin Etkin olarak ayarlandığından emin olun.
  2. Uyarı gruplama bölümünde Etkin'i seçerek ilgili uyarıların güvenlik olayları altında gruplanmasını sağlayın. Tüm varlıklar eşleşiyorsa uyarıları tek bir güvenlik olayı olarak gruplama (önerilir) ayarının seçili olduğundan emin olun.
  3. Kapatılan eşleşen olayları yeniden aç seçeneğinin Devre Dışı olduğundan emin olun.
  4. İleri: Otomatik yanıt'ı seçin.

Gözden geçirme ve oluşturma

  1. İleri: Gözden Geçir'i seçin.
  2. Gözden geçir ve oluştur sekmesinde doğrulama başarılı olduğunda Oluştur'u seçin.

VM silme

Kural algılamayı ve olay oluşturmayı test etmek için kurulum sırasında oluşturduğunuz VM'yi silin.

  1. Azure portalında Sanal makineler için arama yapın ve bunu seçin.
  2. Sanal makineler sayfasında simple-vm öğesinin yanındaki onay kutusunu seçin ve ardından araç çubuğundan Sil'i seçin.
  3. Kaynakları Sil bölmesinde, silmeyi onaylamak için "sil" yazın alanına deleteyazın ve ardından Sil'i seçin.
  4. Sil'i yeniden seçin.

Sonraki adıma geçmeden önce işleme birkaç dakika verin.

Olayı araştırma

Bu adımda, VM'yi sildiğinizde Microsoft Sentinel'in oluşturduğu olayı araştıracaksınız. Olayın Microsoft Sentinel'de görünmesi 30 dakika kadar sürebilir.

  1. Azure portalında Microsoft Sentinel'i arayıp seçin ve ardından Microsoft Sentinel çalışma alanınızı seçin.
  2. Microsoft Sentinel sayfanızda, sol gezinti bölmesindeki Tehdit yönetimi'nin altında Olaylar'ı seçin.
  3. Güvenlik olayları sayfasında Silinen sanal makineler adlı güvenlik olayını seçin.
  4. Sağdaki Silinmiş VM'lerin ayrıntıları bölmesinde Sahip, Durum ve Önem Derecesi gibi olayın ayrıntılarını inceleyin. Aşağıdaki güncelleştirmeleri uygulayın:
    • Sahip>Bana ata>Uygula'yı seçin.
    • Durum>Etkin>Uygula'yı seçin.
  5. Tüm ayrıntıları görüntüle'yi seçin.
  6. Olay sayfasının sol bölmesindeKi Kanıt bölümünde Olaylar, Uyarılar ve Yer İşaretleri toplamlarını inceleyin.
  7. Bölmenin en altında Araştır'ı seçin.
  8. Araştırma sayfasında araştırma grafiğinde aşağıdaki öğeleri seçin:
    • Sayfanın ortasında olayın ayrıntılarını gösteren Silinmiş VM'ler olay öğesi.
    • Vm'yi sildiğinize işaret eden, kullanıcı hesabınızı temsil eden kullanıcı varlığı.
  9. Araştır sayfasının üst kısmında Durum>Kapatıldı'yı seçin.
  10. Sınıflandırma seç açılan menüsünde Zararsız Pozitif - Şüpheli ama beklenen'i seçin.
  11. Yorum alanına Test amaçlı güvenlik olayı oluşturma ve çözme adımları yazıp Uygula'yı seçin.
  12. Araştır ve Olay sayfalarını kapatmak için kapat simgelerini seçin.
  13. Olaylar sayfasında Open incidents ve Active incidents değerlerinin artık 0 olduğunu gözlemleyin.

Bir Microsoft Sentinel analiz kuralını başarıyla oluşturdunuz, bir olay oluşturmak için vm'yi sildiniz ve kuralın oluşturduğu olayı araştırıp kapattınız.

Kaynakları temizleme

Maliyetlerin oluşmasını önlemek için, bu modülde oluşturduğunuz Azure kaynaklarını işiniz bittiğinde silin. Kaynakları silmek için aşağıdaki adımları tamamlayın:

  1. Azure portalında Kaynak grupları’nı arayın.
  2. Kaynak grupları sayfasında azure-sentinel-rg öğesini seçin.
  3. azure-sentinel-rg sayfasında üst menü çubuğundan Kaynak grubunu sil'i seçin.
  4. Kaynak grubunu sil sayfasında, Silme işlemini onaylamak için kaynak grubu adını girin bölümüne azure-sentinel-rg girin.
  5. Sil'i ve sonra yeniden Sil'i seçin.