練習 - 建立 Microsoft Sentinel 劇本

  • 15 分鐘

在此模組中建立 Microsoft Sentinel 工作流程練習是一個可選單元。 不過,如果您想要執行此練習,便需要存取能夠建立 Azure 資源的 Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

若要部署練習的先決條件,請執行下列工作。

備註

請注意,如果您選擇執行此課程模組中的練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估成本,請參考 Microsoft Sentinel 價格

工作 1:部署Microsoft Sentinel

  1. 選取下列連結:

    部署至 Azure。

    系統會提示您登入 Azure。

  2. 在 [ 自定義部署] 頁面上,提供下列資訊:

    標籤 說明
    訂閱 選取您的 Azure 訂用帳戶。
    資源群組 選取[新建],並提供資源群組的名稱,例如 azure-sentinel-rg
    區域 從下拉功能表中,選取您要部署Microsoft Sentinel 的區域。
    工作區名稱 提供 Microsoft Sentinel 工作區的唯一名稱,例如 <yourName>-Sentinel,其中 <yourName> 代表您在上一個工作中所選擇的工作區名稱。
    地點 接受 [resourceGroup().location] 的預設值。
    Simplevm 名稱 接受 simple-vm 的預設值。
    Simplevm Windows OS 版本 接受預設值 2022-Datacenter

    Microsoft範本自定義部署輸入的螢幕快照。

  3. 選取 [檢閱 + 建立],然後在驗證數據時選取 [ 建立]。

    備註

    等候部署完成。 部署應該不到五分鐘即可完成。

    成功自定義部署的螢幕快照。

工作 2:檢查建立的資源

  1. 在 [部署概觀] 頁面上,選取 [移至資源群組]。 自訂部署的資源隨即出現。

  2. 選取 [首頁 ],然後在 Azure 服務中搜尋並選取 [資源群組]。

  3. 選取 [azure-sentinel-rg]。

  4. 類型排序資源清單。

  5. 資源群組應包含下表中顯示的資源。

    名稱 類型 說明
    <yourName>-Sentinel Log Analytics 工作區 Microsoft Sentinel 使用的 Log Analytics 工作區,其中 <yourName> 代表您在先前工作中選擇的工作區名稱。
    simple-vmNetworkInterface 網路介面 用於 VM 的網路介面。
    SecurityInsights(<yourName>-Sentinel) 解決方法 適用於 Microsoft Sentinel 的安全性見解。
    st1<xxxxx> 記憶體帳戶 虛擬機所使用的記憶體帳戶。
    simple-vm 虛擬機 用於示範的虛擬機器 (VM)。
    vnet1 虛擬網路 用於 VM 的虛擬網路。

備註

在此練習中部署的資源與完成的設定步驟,都是下一個練習中的必要項目。 如果您打算完成下一個練習,請勿從此練習中刪除資源。

工作 3:設定Microsoft Sentinel 連接器

  1. 在 Azure 入口網站中,搜尋 Microsoft Sentinel,然後選取先前建立Microsoft Sentinel 工作區。

  2. Microsoft Sentinel |[概觀 ] 窗格,在左側功能表中,向下捲動至 [內容管理 ],然後選取 [ 內容中樞]。

  3. [內容中樞] 頁面中,在 [搜尋] 窗體中輸入 Azure 活動,然後選取 [Azure 活動] 解決方案。

  4. [Azure 活動 解決方案詳細數據] 窗格中,選取 [ 安裝]。

  5. 在中央 [內容名稱] 欄中,選取 [Azure 活動數據] 連接器

    備註

    此解決方案會安裝這些內容類型:12 個分析規則、14 個搜捕查詢、1 個活頁簿和 Azure 活動數據連接器。

  6. 選取 開啟連接器頁面

  7. 在 [指示/設定] 區域中,向下捲動並在 [2. 連線您的訂用帳戶...] 下選取 [啟動 Azure 原則指派精靈]。

  8. 在精靈的 [基本] 索引標籤中,選取 [範圍] 底下的省略號 ... 。 在 [範圍] 窗格中,選取您的訂用帳戶,然後選取 [選取]

  9. 選取 [ 參數] 索引卷標,然後從 [主要 Log Analytics 工作區 ] 下拉式列表中選擇您的 Microsoft Sentinel 工作區。

  10. 選取 [ 補救] 索引卷標,然後選取 [ 建立補救工作] 複選框。 此動作會將原則指派套用至現有的 Azure 資源。

  11. 選取 [ 檢閱 + 建立] 按鈕以檢閱設定,然後選取 [ 建立]。

    備註

    Azure 活動的連接器會使用原則指派。 您必須具備角色權限,才能建立策略指派。 而且,通常需要 15 分鐘才會顯示 [ 已連線] 的狀態。 當連接器部署時,您可以繼續執行本單元和本課程模組中後續單元的其餘步驟。

    顯示Microsoft Sentinel Azure 活動內容中樞解決方案的螢幕快照。

工作 4:建立分析規則

  1. 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取先前建立的 Microsoft Sentinel 工作區。

  2. [Microsoft Sentinel ] 頁面上,於功能表欄的 [組 ] 區段中,選取 [ 分析]。

  3. Microsoft Sentinel | 分析頁面,選取 建立,然後選取 NRT 查詢規則(預覽)

  4. 在 [ 一般 ] 頁面上,提供下表中的輸入,然後選取 [ 下一步:設定規則邏輯 >]。

    標籤 說明
    名稱 提供描述性名稱,例如 刪除虛擬機,以說明警示偵測到的可疑活動類型。
    說明 輸入詳細的描述,協助其他安全性分析師能夠了解規則的作用。
    戰術和技術 從 [ 策略與技術 ] 下拉功能表中,選擇 [ 初始存取 ] 類別,以遵循 MITRE 策略來分類規則。
    嚴重程度 選取 [ 嚴重性 ] 下拉功能表,將警示的重要性層級分類為四個選項之一:高、中、低或資訊。
    地位 指定規則的狀態。 根據預設,狀態為 [已啟用]。 如果規則產生大量誤判,您可以選取 [已停用 ] 來停用規則。

  5. 在 [ 設定規則邏輯 ] 頁面上的 [ 規則查詢 ] 區段中,輸入下列查詢:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. 接受所有其他設定的預設值,然後選取 [ 下一步:事件] 設定

  7. 在 [ 事件設定 ] 索引標籤上,確定已選取 [已啟用 ] 從此分析規則所觸發的警示建立事件。 然後選取 [ 下一步:自動回應]。

  8. 在 [ 自動回應 ] 索引標籤上,您可以選取劇本,以在產生警示時自動執行。 只會顯示包含邏輯應用程式Microsoft Sentinel 連接器的劇本。

  9. 選擇 ,然後:檢閱

  10. 在 [ 檢閱和建立] 頁面上,確認已通過驗證,然後選取 [ 建立]。

備註

您可以在「使用 Microsoft Sentinel 分析的威脅偵測」課程模組中深入瞭解Microsoft Sentinel 分析規則。