Cvičení – vyhledávání hrozeb pomocí Služby Microsoft Sentinel

Dokončeno

Jako bezpečnostní technik pracující ve společnosti Contoso jste si nedávno všimli, že z vašeho předplatného Azure se odstranil velký počet virtuálních počítačů. Chcete simulovat odstraněný virtuální počítač, analyzovat tento výskyt a porozumět klíčovým prvkům potenciální hrozby v Microsoft Sentinelu.

V tomto cvičení odstraníte virtuální počítač, budete spravovat dotazy proaktivního vyhledávání hrozeb a ukládat klíčová zjištění pomocí záložek.

Poznámka:

Abyste mohli toto cvičení provést, musíte mít dokončené nastavení cvičení v dřívější části tohoto modulu. Pokud jste to ještě neudělali, udělejte to prosím nyní.

Odstranění virtuálního počítače

V této úloze odstraníte virtuální počítač pro testování detekce pravidel a vytvoření incidentu.

1. Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.
2. Na stránce Virtuální počítače zaškrtněte políčko vedle virtuálního počítače označeného simple-vm a pak na panelu nástrojů vyberte Odstranit.
3. V podokně Odstranit prostředky potvrďte odstranění a pak vyberte Odstranit.

Správa dotazů proaktivního vyhledávání hrozeb v Microsoft Sentinelu

V této úloze vytvoříte a spravujete dotazy proaktivního vyhledávání hrozeb, abyste zkontrolovali události související s odstraněním virtuálního počítače v předchozím úkolu. Po odstranění virtuálního počítače může trvat až 5 minut, než se událost zobrazí v Microsoft Sentinelu.

1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor služby Sentinel.

2. Na stránce Microsoft Sentinel na řádku nabídek v části Správa hrozeb vyberte Proaktivní vyhledávání.

3. Na stránce Proaktivní vyhledávání vyberte kartu Dotazy. Pak zvolte Nový dotaz.

4. Na stránce Vytvořit vlastní dotaz zadejte následující vstupy a pak vyberte Vytvořit.

   • Název: Zadejte odstraněné virtuální počítače.

   • Popis: Zadejte podrobný popis, který ostatním analytikům zabezpečení pomůže pochopit, co pravidlo dělá.

   • Vlastní dotaz: Zadejte následující kód.

       AzureActivity
       | where OperationName == 'Delete Virtual Machine'
       | where ActivityStatus == 'Accepted'
       | extend AccountCustomEntity = Caller
       | extend IPCustomEntity = CallerIpAddress
     

   • Taktika: Vyberte dopad.

5. Na stránce Proaktivní vyhledávání na kartě Dotazy zadejte Odstraněné virtuální počítače do pole Vyhledávací dotazy.

6. V seznamu dotazů označte výběrem ikony hvězdy vedle položky Odstraněné virtuální počítače dotaz jako oblíbenou položku.

7. Vyberte dotaz Odstraněné virtuální počítače. V podokně podrobností vyberte Zobrazit výsledky.

   Poznámka:

   Odeslání odstraněné události virtuálního počítače do Microsoft Sentinelu může trvat až 15 minut. Pokud se událost odstranění virtuálního počítače nezobrazí, můžete dotaz pravidelně spouštět na kartě Výsledky .

8. Na stránce Protokoly v části Výsledky vyberte uvedenou událost. Měl by být ve "action": "Microsoft.Compute/virtualMachines/delete" sloupci Autorizace . Jedná se o událost z protokolu aktivit Azure, která indikuje, že se virtuální počítač odstranil.

9. Pro další úkol zůstaňte na této stránce.

Ukládání důležitých zjištění pomocí záložek

V tomto úkolu použijete záložky k ukládání událostí a k dalšímu proaktivnímu vyhledávání.

1. Na stránce Protokoly v části Výsledky zaškrtněte políčko vedle uvedené události. Pak vyberte Přidat záložku.
2. V podokně Přidat záložku vyberte Vytvořit.
3. V horní části stránky vyberte Microsoft Sentinel na stránce s popisem cesty.
4. Na stránce Proaktivní vyhledávání vyberte kartu Záložky.
5. V seznamu záložek vyberte záložku, která má na začátku Odstraněné virtuální počítače.
6. Na stránce podrobností vyberte Prozkoumat.
7. Na stránce Šetření vyberte Odstraněné virtuální počítače a sledujte podrobnosti incidentu.
8. Na stránce Prověřování v grafu vyberte entitu, která představuje uživatele. Toto je váš uživatelský účet, který označuje, že jste virtuální počítač odstranili.

Výsledky

V tomto cvičení jste odstranili virtuální počítač, spravované dotazy proaktivního vyhledávání hrozeb a uložili jste klíčové závěry se záložkami.

Vyčištění prostředků Azure

Po dokončení používání prostředků Azure, které jste vytvořili v tomto cvičení, je odstraňte, abyste se vyhnuli účtování nákladů:

1. Na webu Azure Portal vyhledejte Skupiny prostředků.
2. Vyberte skupinu prostředků.
3. Na panelu v záhlaví vyberte Odstranit skupinu prostředků.
4. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název skupiny prostředků a vyberte Odstranit.