練習 - 使用 Microsoft Sentinel 分析來偵測威脅

  • 12 分鐘

身為 Contoso 的安全性工程師,您最近發現您的 Azure 訂用帳戶中,有大量的 VM 遭到刪除。 您想要分析此事件,並在未來發生類似活動時收到警示。 您決定要實作分析規則,以在有人刪除現有的 VM 時建立事件。

練習:使用 Microsoft Sentinel Analytics 來偵測威脅

在本練習中,您將探索 Microsoft Sentinel 分析規則並執行下列工作:

  • 從現有範本建立事件規則。
  • 叫用事件並檢閱相關聯的動作。
  • 從規則範本建立分析規則。

注意

為完成此練習,您必須完成單元 2 中的練習設定單位。 如果您尚未這麼做,請先完成該單元,然後再繼續進行練習步驟。

工作 1:從分析規則精靈建立分析規則

  1. 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。

  2. 在 [Microsoft Sentinel] 功能表的 [設定] 下,選取 [分析]

  3. 在 [Microsoft Sentinel | 分析] 標頭列,選取 [建立],然後選取 [已排程的查詢規則]

  4. 在 [一般] 索引標籤上,輸入下表中的輸入值,然後選取 [下一步:設定規則邏輯]

    名稱 Azure VM 刪除。
    描述 當有人刪除 Azure 虛擬機器時,會發出警示的簡單偵測。
    手段 從 [戰略] 下拉式功能表中,選取 [影響]。
    嚴重性 選取 [嚴重性] 下拉式功能表,然後選取 [中]。
    狀態 確定狀態為 [已啟用]。 您可以選取 [停用],在規則產生大量誤判為真的情況下將其停用。

    Screenshot Analytics Rule wizard-Create new rule.

  5. 在 [設定規則邏輯] 索引標籤上,將下列程式碼複製並貼到 [規則查詢] 文字方塊中:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. 在 [結果模擬] 窗格中,選取 [使用目前的資料測試],然後觀察結果。

    Screenshot of Analytics Rule Set Logic tab.

  7. 在 [實體對應] 下的 [警示增強功能] 區段中,對應在查詢規則中傳回的實體,並可用來執行深入分析。

  8. 在 [查詢排程] 區段中,設定執行查詢的頻率,以及能夠在歷程記錄中搜尋的最舊項目。 選取每隔 5 分鐘執行一次的查詢,並接受預設歷程記錄 5 小時。

  9. 在 [警示閾值] 區段中,指定在產生警示之前,可針對規則傳回的正面結果數目。 接受預設值。

  10. 在 [事件分組] 區段中,接受預設的 [將所有事件歸納成單一警示]

  11. 在 [歸併] 區段中,將 [在產生警示後停止執行查詢] 設定為 [開啟]

  12. 接受預設值 5 小時,然後選取 [下一步: 事件設定 (預覽)]

  13. 在 [ 事件設定 ] 索引標籤中,確定 已選取 [已啟用 ] 以從此分析規則所觸發的警示建立事件。

  14. 在 [警示分組] 區段中,選取 [已啟用] 以將相關警示分組到事件中,並確保已選取 [當所有實體相符時,將警示分組為單一事件 (建議)]

  15. 確定 [重新開啟關閉的相符事件] 為 [已停用],然後選取 [下一步:自動化回應]

    Screenshot Analytics Incident Settings.

  16. 在 [自動化回應] 窗格中,選取要在產生警示時自動執行的劇本。 只會顯示包含邏輯應用程式 Microsoft Sentinel 連接器的劇本。

  17. 選取 [下一步:檢閱]

  18. [檢閱及建立] 頁面中,請確認驗證已成功,然後選取 [儲存]

工作 2:叫用事件並檢閱相關聯的動作

  1. 在 Azure 入口網站中,選取 [首頁],然後在 [搜尋] 網址列中輸入虛擬機器,然後選取 Enter
  2. 在 [虛擬機器] 頁面上,找出並選取您在此練習的資源群組中建立的 simple-vm 虛擬機器,然後在標頭列上選取 [刪除]。 在 [刪除虛擬機器] 提示中,選取 [是]
  3. 在 [刪除虛擬機器] 提示中,選取 [確定] 以刪除該虛擬機器。

注意

此工作會根據您在<工作 1>中建立的分析規則建立事件。 事件建立最多可能需要花費 15 分鐘的時間。 您可以繼續進行此單元的剩餘步驟,並於稍後再觀察結果。

工作 3:從現有範本建立分析規則

  1. 在 Azure 入口網站中,選取 [首頁]、選取 [Azure Sentinel],然後選取您在本課程模組第 2 單元中建立的 Microsoft Sentinel 工作區。

  2. 開啟 Microsoft Sentinel,在左側功能表的 [設定] 下選取 [分析]

  3. 在 [分析] 窗格中,選取 [規則範本] 索引標籤。

  4. 在 [搜尋] 欄位中,輸入根據適用於雲端的 Microsoft Defender 建立事件,然後選取該規則範本。

  5. 在詳細資料窗格中,選取 [建立規則]

  6. 在 [一般] 窗格中,觀察分析規則的名稱,然後確認該規則的 [狀態] 為 [已啟用]

  7. 在 [分析規則邏輯] 區段中,確認 Microsoft 安全性服務顯示已選取 [適用於雲端的 Microsoft Defender]

  8. 在 [依嚴重性篩選] 區段中,選取 [自訂],然後在下拉式功能表中,選取 [高] 與 [中]

  9. 如果要為來自「適用於雲端的 Microsoft Defender」的警示設定更多篩選條件,您可以在 [包括特定警示] 和 [排除特定警示] 中新增文字。

  10. 選取 [下一步: 自動化回應],然後選取 [下一步: 檢閱]

  11. 在 [檢閱及建立] 頁面上,選取 [建立]

結果

完成此練習後,您已經從現有的範本建立事件規則,並使用您自己的查詢程式碼,建立排程的查詢規則。

完成練習之後,請刪除資源以免產生費用。

清除資源

  1. 在 Azure 入口網站中,搜尋資源群組
  2. 選取 [azure-sentinel-rg]。
  3. 在標頭列上,選取 [刪除資源群組]
  4. 在 [輸入資源群組名稱:] 欄位中,輸入資源群組名稱 azure-sentinel-rg,然後選取 [刪除]