Cvičení – vytvoření playbooku Microsoft Sentinel

  • 15 min

Cvičení Vytvoření playbooku Microsoft Sentinel v tomto modulu je volitelná jednotka. Pokud ho budete chtít absolvovat, potřebujete přístup k předplatnému Azure, v němž můžete vytvářet prostředky Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

K nasazení požadavků pro toto cvičení proveďte následující úkoly.

Poznámka:

Upozorňujeme, že pokud se rozhodnete provádět cvičení v tomto modulu, můžou vám v předplatném Azure nabíhat poplatky. Pokud chcete odhadnout náklady, přečtěte si informace o cenách služby Microsoft Sentinel.

Úloha 1: Nasazení služby Microsoft Sentinel

  1. Vyberte následující odkaz:

    Deploy To Azure.

    Zobrazí se výzva k přihlášení do Azure.

  2. Na stránce Vlastní nasazení zadejte následující informace:

    Štítek Popis
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte Vytvořit nový a zadejte název skupiny prostředků, například azure-sentinel-rg.
    Oblast V rozevírací nabídce vyberte oblast, do které chcete nasadit Microsoft Sentinel.
    Název pracovního prostoru Zadejte jedinečný název pracovního prostoru Služby Microsoft Sentinel, například <yourName>-Sentinelnázev <vašeho názvu> , který jste zvolili v předchozím úkolu.
    Umístění Přijměte výchozí hodnotu [resourceGroup().location].
    Název virtuálního počítače simplevm Přijměte výchozí hodnotu simple-vm.
    Verze operačního systému virtuálního počítače simplevm Přijměte výchozí hodnotu 2016-Datacenter.

    Screenshot of the custom deployment inputs for a Microsoft template.

  3. Vyberte Zkontrolovat a vytvořit a po ověření dat vyberte Vytvořit.

    Poznámka:

    Počkejte, až se nasazení dokončí. Nasazení by nemělo trvat déle než pět minut.

    Screenshot of the successful custom deployment.

Úkol 2: Kontrola vytvořených prostředků

  1. Na stránce Přehled nasazení vyberte Přejít do skupiny prostředků. Zobrazí se prostředky pro vaše vlastní nasazení.

  2. Vyberte domovskou stránku a ve službách Azure, vyhledejte a vyberte Skupiny prostředků.

  3. Vyberte azure-sentinel-rg.

  4. Seznam prostředků seřaďte podle typu.

  5. Skupina prostředků by měla obsahovat prostředky zobrazené v následující tabulce.

    Name Typ Popis
    <yourName>-Sentinel Pracovní prostor služby Log Analytics Pracovní prostor služby Log Analytics používaný službou Microsoft Sentinel, kde <název vašeho názvu> představuje název pracovního prostoru, který jste zvolili v předchozím úkolu.
    simple-vmNetworkInterface Síťové rozhraní Síťové rozhraní pro virtuální počítač
    SecurityInsights(<yourName>-Sentinel) Řešení Přehledy zabezpečení pro Microsoft Sentinel
    st1<xxxxx> Storage account Účet úložiště používaný virtuálním počítačem
    simple-vm Virtuální počítač Virtuální počítač použitý v ukázce
    vnet1 Virtuální síť Virtuální síť pro virtuální počítač

Poznámka:

Prostředky nasazené v tomto cvičení i provedené konfigurační kroky se vyžadují v dalším cvičení. Pokud chcete absolvovat další cvičení, neodstraňujte prostředky z tohoto cvičení.

Úkol 3: Konfigurace Připojení or služby Microsoft Sentinel

  1. Na webu Azure Portal vyhledejte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

  2. V Microsoft Sentinelu | Podokno přehledu v nabídce vlevo se posuňte dolů na Správu obsahu a vyberte Centrum obsahu.

  3. Na stránce Centrum obsahu zadejte do vyhledávacího formuláře aktivitu Azure a vyberte řešení aktivit Azure.

  4. V podokně podrobností řešení aktivit Azure vyberte Nainstalovat.

  5. Ve sloupci Název obsahu centra vyberte konektor Azure Activity Data Connector.

    Poznámka:

    Toto řešení nainstaluje tyto typy obsahu: 12 analytických pravidel, 14 dotazů proaktivního vyhledávání, 1 sešitu a konektoru Azure Activity Data Connector.

  6. Vyberte Otevřít stránku konektoru.

  7. V oblasti Pokyny/Konfigurace se posuňte dolů a pod 2. Připojení předplatných... vyberte Spustit Průvodce přiřazením služby Azure Policy.

  8. Na kartě Základy průvodce vyberte tři tečky ... v části Obor. V podokně Obory vyberte své předplatné a pak vyberte Vybrat.

  9. Vyberte kartu Parametry a v rozevíracím seznamu primárního pracovního prostoru služby Log Analytics zvolte pracovní prostor Služby Microsoft Sentinel.

  10. Vyberte kartu Náprava a zaškrtněte políčko Vytvořit úlohu nápravy. Tato akce použije přiřazení zásad na již existující prostředky Azure.

  11. Výběrem tlačítka Zkontrolovat a vytvořit zkontrolujte konfiguraci a pak vyberte Vytvořit.

    Poznámka:

    Konektor pro aktivitu Azure používá přiřazení zásad, musíte mít oprávnění role, která umožňují vytvářet přiřazení zásad. Zobrazení stavu Připojení obvykle trvá 15 minut. Zatímco se konektor nasazuje, můžete pokračovat v provádění zbývajících kroků v této lekci a dalších lekcích v tomto modulu.

    Screenshot that displays the Microsoft Sentinel Azure Activity Content Hub solution.

Úkol 4: Vytvoření analytického pravidla

  1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

  2. Na stránce Microsoft Sentinel na řádku nabídek v části Konfigurace vyberte Analýza.

  3. V Microsoft Sentinelu | Na stránce Analýza vyberte Vytvořit a pak vyberte Pravidlo dotazu NRT (Preview).

  4. Na stránce Obecné zadejte vstupy v následující tabulce a pak vyberte Další: Nastavit logiku >pravidla .

    Štítek Popis
    Name Zadejte popisný název, například Odstranit virtuální počítače, abyste vysvětlili, jaký typ podezřelé aktivity výstraha detekuje.
    Popis Zadejte podrobný popis, který ostatním analytikům zabezpečení pomůže pochopit, co pravidlo dělá.
    Taktika a techniky V rozevírací nabídce Taktika a techniky zvolte kategorii Počáteční přístup a klasifikujte pravidlo podle taktiky MITRE.
    Závažnost Vyberte rozevírací nabídku Závažnost a kategorizujete úroveň důležitosti výstrahy jako jednu ze čtyř možností: Vysoká, Střední, Nízká nebo Informační.
    Stav Zadejte stav pravidla. Ve výchozím nastavení je stav Povoleno. Pokud pravidlo vygeneruje velký počet falešně pozitivních výsledků, můžete pravidlo zakázat výběrem možnosti Zakázáno .

  5. Na stránce Nastavit logiku pravidla v části Dotaz pravidla zadejte tento dotaz:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. Přijměte výchozí hodnoty pro všechna ostatní nastavení a pak vyberte Další: Nastavení incidentu.

  7. Na kartě Nastavení incidentu se ujistěte, že je pro vytváření incidentů z výstrah aktivovaných tímto analytickým pravidlem vybraná možnost Povoleno. A pak vyberte Další: Automatizovaná odpověď.

  8. Na kartě Automatizovaná odpověď můžete vybrat playbook, který se automaticky spustí při generování daného upozornění. Zobrazí se jenom playbooky, které obsahují konektor Microsoft Sentinelu pro aplikaci logiky.

  9. Vyberte Další: Zkontrolovat.

  10. Na stránce Zkontrolovat a vytvořit ověřte, že proběhlo ověření, a pak vyberte Vytvořit.

Poznámka:

Další informace o analytických pravidlech služby Microsoft Sentinel najdete v modulu Detekce hrozeb pomocí analýz Microsoft Sentinelu.