Cvičení – prošetření incidentu

  • 20 min

Jako bezpečnostní technik společnosti Contoso potřebujete analyzovat odstranění virtuálních počítačů z předplatného Azure Společnosti Contoso a upozornit na to, když v budoucnu dojde k podobné aktivitě. Rozhodnete se implementovat analytické pravidlo pro vytvoření incidentu, když někdo odstraní existující virtuální počítač. Pak můžete incident prověřit, zjistit jeho podrobnosti a po dokončení jej uzavřít.

V tomto cvičení vytvoříte analytické pravidlo Microsoft Sentinelu, které zjistí, kdy se virtuální počítač odstraní. Potom odstraníte virtuální počítač, který jste vytvořili na začátku tohoto modulu, a prozkoumáte a vyřešíte incident, který pravidlo vytvořilo.

Pokud chcete toto cvičení dokončit, ujistěte se, že jste dokončili cvičení nastavení na začátku modulu a konektor aktivit Azure teď zobrazuje stav Připojení ed.

Vytvoření analytického pravidla pomocí průvodce

Vytvořte analytické pravidlo, které vytvoří incident při odstranění virtuálního počítače v předplatném Azure společnosti Contoso.

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte pracovní prostor Microsoft Sentinelu, který jste vytvořili.
  2. Na stránce Služby Microsoft Sentinel vyberte v části Konfigurace v nabídce vlevo možnost Analýza.
  3. Na stránce Analýza vyberte Vytvořit>naplánované pravidlo dotazu.

Karta Obecné

  1. Na kartě Obecné v průvodci zadejte následující informace.

    • Název: Zadejte odstraněné virtuální počítače.
    • Popis: Zadejte popis, který ostatním pomůže pochopit, co pravidlo dělá.
    • Taktika a techniky: Vyberte počáteční přístup.
    • Závažnost: Vyberte střední.
    • Stav: Vyberte Povoleno.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. Vyberte Další: Nastavení logiky pravidla.

Karta Nastavení logiky pravidla

  1. Na kartě Nastavit logiku pravidla zadejte v části Dotaz na pravidlo následující dotaz:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Posuňte se dolů a zobrazte nebo nastavte následující možnosti konfigurace:

    • Rozbalte oddíl mapování entit a definujte entity, které se vracejí jako součást pravidla dotazu, které můžete použít pro podrobnou analýzu. V tomto cvičení použijte výchozí hodnoty.
    • V části Plánování dotazů nakonfigurujte, jak často se má dotaz spouštět a jak daleko od historie se má sledovat. Nastavte Spouštět dotaz každých na 5 minut.
    • V části Prahová hodnota výstrahy můžete zadat počet pozitivních výsledků, které se můžou vrátit pro pravidlo před vygenerování výstrahy. Použijte výchozí hodnotu větší než 0.
    • V části Seskupování událostí přijměte výchozí výběr Seskupovat všechny události do jednoho upozornění.
    • V části Potlačení ponechte pro zastavení spuštění dotazu po vygenerování výstrahy výchozí hodnotu Vypnuto.
    • V části Simulace výsledků vyberte Test s aktuálními daty a prohlédněte si výsledky.

  3. Vyberte Další: Nastavení incidentu.

Karta Nastavení incidentu

  1. Na kartě Nastavení incidentu se ujistěte, že možnost Vytvořit incidenty z výstrah aktivovaných tímto analytickým pravidlem je nastavená na Povoleno.
  2. V části Seskupení upozornění vyberte Povoleno, aby se v incidentech seskupovaly související výstrahy. Ujistěte se, že je vybraná možnost Seskupení upozornění do jednoho incidentu, pokud se shodují všechny entity (doporučeno).
  3. Ujistěte se, že je zakázané opětovné otevření odpovídajících incidentů.
  4. Vyberte Další: Automatizovaná odpověď.

Kontrola a vytvoření

  1. Vyberte Další: Zkontrolovat.
  2. Na kartě Revize a vytvoření vyberte po úspěšném ověření možnost Vytvořit.

Odstranění virtuálního počítače

Pokud chcete otestovat detekci pravidel a vytvoření incidentu, odstraňte virtuální počítač, který jste vytvořili během instalace.

  1. Na webu Azure Portal vyhledejte a vyberte Virtuální počítače.
  2. Na stránce Virtuální počítače zaškrtněte políčko vedle jednoduchého virtuálního počítače a pak na panelu nástrojů vyberte Odstranit.
  3. V podokně Odstranit prostředky zadejte odstranění do pole Enter "delete" (Odstranit) a potvrďte odstranění a pak vyberte Odstranit.
  4. Znovu vyberte Odstranit .

Než přejdete k dalšímu kroku, dejte operaci několik minut na dokončení.

Prošetření incidentu

V tomto kroku prozkoumáte incident, který Microsoft Sentinel vytvořil při odstranění virtuálního počítače. Zobrazení incidentu v Microsoft Sentinelu může trvat až 30 minut.

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte svůj pracovní prostor Microsoft Sentinelu.
  2. Na stránce Služby Microsoft Sentinel vyberte v levém navigačním panelu v části Správa hrozeb incidenty.
  3. Na stránce Incidenty vyberte incident s názvem Odstraněné virtuální počítače.
  4. V podokně podrobností odstraněných virtuálních počítačů napravo sledujte podrobnosti incidentu, včetně vlastníka, stavu a závažnosti. Použijte následující aktualizace:
    • Vyberte Vlastník>Přiřadit mně>Použít.
    • Vyberte Stav>Aktivní>Použít.
  5. Vyberte Zobrazit všechny podrobnosti.
  6. V levém podokně stránky Incident sledujte souhrny událostí, výstrah a záložek v části Důkazy.
  7. V dolní části podokna vyberte Prozkoumat.
  8. Na stránce Šetření vyberte v grafu šetření následující položky:
    • Položka incidentu odstraněných virtuálních počítačů uprostřed stránky zobrazující podrobnosti incidentu
    • Entita uživatele představující váš uživatelský účet označující, že jste virtuální počítač odstranili.
  9. V horní části stránky Prošetření vyberte Stav>uzavřeno.
  10. V rozevírací nabídce Vybrat klasifikaci vyberte Neškodné pozitivní - Podezřelé, ale očekávané.
  11. Do pole Komentář zadejte Testování postupu vytváření a řešení incidentů a pak vyberte Použít.
  12. Výběrem ikon zavřít zavřete stránky Prošetření a incidenty .
  13. Na stránce Incidenty si všimněte, že otevřené incidenty a aktivní incidenty teď mají hodnoty 0.

Úspěšně jste vytvořili analytické pravidlo Microsoft Sentinelu, odstranili jste virtuální počítač, abyste vytvořili incident a prozkoumali a zavřeli incident, který pravidlo vytvořilo.

Vyčištění prostředků

Abyste se vyhnuli nákladům, odstraňte prostředky Azure, které jste vytvořili v tomto modulu, až s nimi budete hotovi. Pokud chcete prostředky odstranit, proveďte následující kroky:

  1. Na webu Azure Portal vyhledejte Skupiny prostředků.
  2. Na stránce Skupiny prostředků vyberte azure-sentinel-rg.
  3. Na stránce azure-sentinel-rg vyberte v horním řádku nabídek možnost Odstranit skupinu prostředků.
  4. Na stránce Odstranit skupinu prostředků v části Zadejte název skupiny prostředků, abyste potvrdili odstranění, zadejte azure-sentinel-rg.
  5. Vyberte Odstranit a pak znovu vyberte Odstranit .