练习 - 使用 Microsoft Sentinel 搜寻威胁

  • 20 分钟

作为 Contoso 的安全工程师,你最近注意到 Azure 订阅中有大量虚拟机 (VM) 被删除。 你需要模拟删除的 VM,分析相关情况,了解 Microsoft Sentinel 中潜在威胁的关键元素。

在此练习中,你将删除一个 VM,管理威胁搜寻查询,并使用书签保存重要的发现结果。

注意

若要完成此练习,需要先完成本模块前面的设置练习。 如果你尚未这样做,请先完成。

删除 VM

在此任务中,将删除一个 VM 来测试规则检测和事件创建。

  1. 在 Azure 门户中,搜索并选择“虚拟机”。
  2. 在“虚拟机”页面上,选中标记为“simple-vm”的虚拟机旁边的复选框,然后从工具栏中选择“删除”。
  3. 在“删除资源”窗格中,确认删除,然后选择“删除”。

管理 Microsoft Sentinel 威胁搜寻查询

在此任务中,你将创建和管理威胁搜寻查询,以便查看与上一任务中 VM 的删除相关的事件。 删除 VM 后,事件最多可能需要 5 分钟才能显示在 Microsoft Sentinel 中。

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Sentinel 工作区。

  2. 在 Microsoft Sentinel 页面的菜单栏上,在“威胁管理”部分中选择“搜寻”。

  3. 在“搜寻”页上,选择“查询”选项卡。然后选择“新建查询”。

  4. 在“创建自定义查询”页上,提供以下输入,然后选择“创建”。

    • 名称:输入“已删除的 VM”。

    • 说明:输入详细说明,以帮助其他安全分析人员了解规则的作用。

    • 自定义查询:输入以下代码。

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • 策略:选择“影响”。

  5. 在“搜寻”页的“查询”选项卡上,在“搜索查询”字段中输入“已删除的 VM”。

  6. 在查询列表中,选择“删除的 VM”旁边的星形图标,将查询标记为收藏项。

  7. 选择“已删除的 VM”查询。 在详细信息窗格上,选择“查看结果”。

    注意

    将删除的 VM 事件发送到 Azure Sentinel 可能需要最多 15 分钟。 如果未显示 VM 删除事件,可以定期在“结果”选项卡上运行查询。

  8. 在“日志”页的“结果”部分中,选择列出的事件。 它的“授权”列中应有 "action": "Microsoft.Compute/virtualMachines/delete"。 这是 Azure 活动日志中的事件,该事件指示 VM 已被删除。

  9. 留在此页上以完成下一任务。

使用书签保存重要发现

在此任务中,将使用书签保存事件并执行更多搜寻。

  1. 在“日志”页的“结果”部分中,选中列出的事件旁边的复选框。 然后,选择“添加书签”。
  2. 在“添加书签”窗格中,选择“创建”。
  3. 在页面顶部,选择痕迹导航跟踪上的“Microsoft Sentinel”。
  4. 在“搜寻”页上,选择“书签”选项卡。
  5. 在书签列表中,选择以“删除的 VM”开头的书签。
  6. 在详细信息页上,选择“调查”。
  7. 在“调查”页面上,选择“删除的 VM”,并查看事件的详细信息。
  8. 在“调查”页面上,选择图上代表用户的实体。 这是你的用户帐户,指示是你删除了 VM。

结果

在此练习中,你删除了一个 VM,管理了威胁搜寻查询,并使用书签保存了重要的发现结果。

清理 Azure 资源

为避免产生费用,使用完在本练习中创建的 Azure 资源后,需要删除这些资源:

  1. 在 Azure 门户中,搜索“资源组”。
  2. 选择你的资源组。
  3. 在标题栏中,选择“删除资源组”。
  4. 在“键入资源组名称”字段中,输入资源组的名称,然后选择“删除”。