Cvičení – vyhledávání hrozeb pomocí Služby Microsoft Sentinel

  • 20 min

Jako bezpečnostní technik pracující ve společnosti Contoso jste si nedávno všimli, že z vašeho předplatného Azure se odstranil velký počet virtuálních počítačů. Chcete simulovat odstraněný virtuální počítač, analyzovat tento výskyt a porozumět klíčovým prvkům potenciální hrozby v Microsoft Sentinelu.

V tomto cvičení odstraníte virtuální počítač, budete spravovat dotazy proaktivního vyhledávání hrozeb a ukládat klíčová zjištění pomocí záložek.

Poznámka:

Abyste mohli toto cvičení provést, musíte mít dokončené nastavení cvičení v dřívější části tohoto modulu. Pokud jste to ještě neudělali, udělejte to prosím nyní.

Odstranění virtuálního počítače

V této úloze odstraníte virtuální počítač pro testování detekce pravidel a vytvoření incidentu.

  1. Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.
  2. Na stránce Virtuální počítače zaškrtněte políčko vedle virtuálního počítače označeného simple-vm a pak na panelu nástrojů vyberte Odstranit.
  3. V podokně Odstranit prostředky potvrďte odstranění a pak vyberte Odstranit.

Správa dotazů proaktivního vyhledávání hrozeb v Microsoft Sentinelu

V této úloze vytvoříte a spravujete dotazy proaktivního vyhledávání hrozeb, abyste zkontrolovali události související s odstraněním virtuálního počítače v předchozím úkolu. Po odstranění virtuálního počítače může trvat až 5 minut, než se událost zobrazí v Microsoft Sentinelu.

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor služby Sentinel.

  2. Na stránce Microsoft Sentinel na řádku nabídek v části Správa hrozeb vyberte Proaktivní vyhledávání.

  3. Na stránce Proaktivní vyhledávání vyberte kartu Dotazy. Pak zvolte Nový dotaz.

  4. Na stránce Vytvořit vlastní dotaz zadejte následující vstupy a pak vyberte Vytvořit.

    • Název: Zadejte odstraněné virtuální počítače.

    • Popis: Zadejte podrobný popis, který ostatním analytikům zabezpečení pomůže pochopit, co pravidlo dělá.

    • Vlastní dotaz: Zadejte následující kód.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • Taktika: Vyberte dopad.

  5. Na stránce Proaktivní vyhledávání na kartě Dotazy zadejte Odstraněné virtuální počítače do pole Vyhledávací dotazy.

  6. V seznamu dotazů označte výběrem ikony hvězdy vedle položky Odstraněné virtuální počítače dotaz jako oblíbenou položku.

  7. Vyberte dotaz Odstraněné virtuální počítače. V podokně podrobností vyberte Zobrazit výsledky.

    Poznámka:

    Odeslání odstraněné události virtuálního počítače do Microsoft Sentinelu může trvat až 15 minut. Pokud se událost odstranění virtuálního počítače nezobrazí, můžete dotaz pravidelně spouštět na kartě Výsledky .

  8. Na stránce Protokoly v části Výsledky vyberte uvedenou událost. Měl by být ve "action": "Microsoft.Compute/virtualMachines/delete" sloupci Autorizace . Jedná se o událost z protokolu aktivit Azure, která indikuje, že se virtuální počítač odstranil.

  9. Pro další úkol zůstaňte na této stránce.

Ukládání důležitých zjištění pomocí záložek

V tomto úkolu použijete záložky k ukládání událostí a k dalšímu proaktivnímu vyhledávání.

  1. Na stránce Protokoly v části Výsledky zaškrtněte políčko vedle uvedené události. Pak vyberte Přidat záložku.
  2. V podokně Přidat záložku vyberte Vytvořit.
  3. V horní části stránky vyberte Microsoft Sentinel na stránce s popisem cesty.
  4. Na stránce Proaktivní vyhledávání vyberte kartu Záložky.
  5. V seznamu záložek vyberte záložku, která má na začátku Odstraněné virtuální počítače.
  6. Na stránce podrobností vyberte Prozkoumat.
  7. Na stránce Šetření vyberte Odstraněné virtuální počítače a sledujte podrobnosti incidentu.
  8. Na stránce Prověřování v grafu vyberte entitu, která představuje uživatele. Toto je váš uživatelský účet, který označuje, že jste virtuální počítač odstranili.

Výsledky

V tomto cvičení jste odstranili virtuální počítač, spravované dotazy proaktivního vyhledávání hrozeb a uložili jste klíčové závěry se záložkami.

Vyčištění prostředků Azure

Po dokončení používání prostředků Azure, které jste vytvořili v tomto cvičení, je odstraňte, abyste se vyhnuli účtování nákladů:

  1. Na webu Azure Portal vyhledejte Skupiny prostředků.
  2. Vyberte skupinu prostředků.
  3. Na panelu v záhlaví vyberte Odstranit skupinu prostředků.
  4. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název skupiny prostředků a vyberte Odstranit.