Cvičení – vyhledávání hrozeb pomocí Služby Microsoft Sentinel
Jako bezpečnostní technik pracující ve společnosti Contoso jste si nedávno všimli, že z vašeho předplatného Azure se odstranil velký počet virtuálních počítačů. Chcete simulovat odstraněný virtuální počítač, analyzovat tento výskyt a porozumět klíčovým prvkům potenciální hrozby v Microsoft Sentinelu.
V tomto cvičení odstraníte virtuální počítač, budete spravovat dotazy proaktivního vyhledávání hrozeb a ukládat klíčová zjištění pomocí záložek.
Poznámka:
Abyste mohli toto cvičení provést, musíte mít dokončené nastavení cvičení v dřívější části tohoto modulu. Pokud jste to ještě neudělali, udělejte to prosím nyní.
Odstranění virtuálního počítače
V této úloze odstraníte virtuální počítač pro testování detekce pravidel a vytvoření incidentu.
- Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.
- Na stránce Virtuální počítače zaškrtněte políčko vedle virtuálního počítače označeného simple-vm a pak na panelu nástrojů vyberte Odstranit.
- V podokně Odstranit prostředky potvrďte odstranění a pak vyberte Odstranit.
Správa dotazů proaktivního vyhledávání hrozeb v Microsoft Sentinelu
V této úloze vytvoříte a spravujete dotazy proaktivního vyhledávání hrozeb, abyste zkontrolovali události související s odstraněním virtuálního počítače v předchozím úkolu. Po odstranění virtuálního počítače může trvat až 5 minut, než se událost zobrazí v Microsoft Sentinelu.
Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor služby Sentinel.
Na stránce Microsoft Sentinel na řádku nabídek v části Správa hrozeb vyberte Proaktivní vyhledávání.
Na stránce Proaktivní vyhledávání vyberte kartu Dotazy. Pak zvolte Nový dotaz.
Na stránce Vytvořit vlastní dotaz zadejte následující vstupy a pak vyberte Vytvořit.
Název: Zadejte odstraněné virtuální počítače.
Popis: Zadejte podrobný popis, který ostatním analytikům zabezpečení pomůže pochopit, co pravidlo dělá.
Vlastní dotaz: Zadejte následující kód.
AzureActivity | where OperationName == 'Delete Virtual Machine' | where ActivityStatus == 'Accepted' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddress
Taktika: Vyberte dopad.
Na stránce Proaktivní vyhledávání na kartě Dotazy zadejte Odstraněné virtuální počítače do pole Vyhledávací dotazy.
V seznamu dotazů označte výběrem ikony hvězdy vedle položky Odstraněné virtuální počítače dotaz jako oblíbenou položku.
Vyberte dotaz Odstraněné virtuální počítače. V podokně podrobností vyberte Zobrazit výsledky.
Poznámka:
Odeslání odstraněné události virtuálního počítače do Microsoft Sentinelu může trvat až 15 minut. Pokud se událost odstranění virtuálního počítače nezobrazí, můžete dotaz pravidelně spouštět na kartě Výsledky .
Na stránce Protokoly v části Výsledky vyberte uvedenou událost. Měl by být ve
"action": "Microsoft.Compute/virtualMachines/delete"
sloupci Autorizace . Jedná se o událost z protokolu aktivit Azure, která indikuje, že se virtuální počítač odstranil.Pro další úkol zůstaňte na této stránce.
Ukládání důležitých zjištění pomocí záložek
V tomto úkolu použijete záložky k ukládání událostí a k dalšímu proaktivnímu vyhledávání.
- Na stránce Protokoly v části Výsledky zaškrtněte políčko vedle uvedené události. Pak vyberte Přidat záložku.
- V podokně Přidat záložku vyberte Vytvořit.
- V horní části stránky vyberte Microsoft Sentinel na stránce s popisem cesty.
- Na stránce Proaktivní vyhledávání vyberte kartu Záložky.
- V seznamu záložek vyberte záložku, která má na začátku Odstraněné virtuální počítače.
- Na stránce podrobností vyberte Prozkoumat.
- Na stránce Šetření vyberte Odstraněné virtuální počítače a sledujte podrobnosti incidentu.
- Na stránce Prověřování v grafu vyberte entitu, která představuje uživatele. Toto je váš uživatelský účet, který označuje, že jste virtuální počítač odstranili.
Výsledky
V tomto cvičení jste odstranili virtuální počítač, spravované dotazy proaktivního vyhledávání hrozeb a uložili jste klíčové závěry se záložkami.
Vyčištění prostředků Azure
Po dokončení používání prostředků Azure, které jste vytvořili v tomto cvičení, je odstraňte, abyste se vyhnuli účtování nákladů:
- Na webu Azure Portal vyhledejte Skupiny prostředků.
- Vyberte skupinu prostředků.
- Na panelu v záhlaví vyberte Odstranit skupinu prostředků.
- Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název skupiny prostředků a vyberte Odstranit.