Cvičení – vytvoření playbooku Microsoft Sentinel

Dokončeno

Jako analytik operací zabezpečení, který pracuje pro společnost Contoso, jste si nedávno všimli, že když někdo odstraní virtuální počítač, vygeneruje se velký počet výstrah. V budoucnosti chcete tyto případy analyzovat a snížit počet generovaných upozornění s falešně pozitivním výsledkem.

Cvičení: Reakce na hrozby pomocí playbooků Microsoft Sentinelu

Rozhodnete se implementovat playbook Microsoft Sentinel, který automatizuje reakce na incident.

V tomto cvičení prozkoumáte playbooky Microsoft Sentinel provedením následujících úloh:

• Nakonfigurujte oprávnění playbooku Microsoft Sentinel.

• Vytvoříte playbook, který automaticky reaguje na incidenty.

• Otestujte playbook vyvoláním incidentu.

Poznámka:

Abyste mohli toto cvičení dokončit, musíte mít dokončenou lekci Nastavení cvičení. Pokud jste to ještě neudělali, vraťte se k ní a potom pokračujte v krocích tohoto cvičení.

Úkol 1: Konfigurace oprávnění playbooku Microsoft Sentinel

1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

2. Na stránce Microsoft Sentinel na řádku nabídek v části Konfigurace vyberte Nastavení.

3. Na stránce Nastavení vyberte kartu Nastavení a posuňte se dolů a rozbalte oprávnění playbooku.

4. V playbooku oprávnění vyberte tlačítko Konfigurovat oprávnění .

   

5. Na stránce Spravovat oprávnění na kartě Procházet vyberte skupinu prostředků, do které patří váš pracovní prostor Služby Microsoft Sentinel. Vyberte Použít.

   

6. Měla by se zobrazit zpráva Přidání oprávnění dokončeno.

Úkol 2: Práce s playbooky Microsoft Sentinelu

1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

2. Na stránce Microsoft Sentinel na řádku nabídek v části Konfigurace vyberte Automation.

3. V horní nabídce vyberte Vytvořit a Playbook s triggerem incidentu.

4. Na stránce Vytvořit playbooky na kartě Základy zadejte následující nastavení:

   Možnosti	Hodnota
   Předplatné	Vyberte své předplatné Azure.
   Skupina zdrojů	Vyberte skupinu prostředků vaší služby Microsoft Sentinel.
   Název playbooku	ClosingIncident (můžete zvolit libovolný název)
   Oblast	Vyberte stejné umístění jako umístění služby Microsoft Sentinel.
   Pracovní prostor služby Log Analytics	Nepovolovat diagnostické protokoly

5. Vyberte Další:Připojení >a pak vyberte Další: Zkontrolovat a vytvořit >

6. Vyberte Vytvořit a pokračovat v návrháři.

   Poznámka:

   Počkejte, až se nasazení dokončí. Nasazení by mělo trvat necelou minutu. Pokud bude stránka stále spuštěná, budete možná muset stránku aktualizovat.

7. V podokně Návrhář pro Logic Apps by se měl zobrazit incident Microsoft Sentinelu (Preview).

   

8. Na stránce Incident Microsoft Sentinelu (Preview) vyberte odkaz Změnit připojení.

9. Na stránce Připojení vyberte Přidat nový.

10. Na stránce Microsoft Sentinel vyberte Přihlásit se.

    

11. Na stránce Přihlásit se ke svému účtu zadejte přihlašovací údaje pro vaše předplatné Azure.

12. Zpátky na stránce incidentu Microsoft Sentinelu (Preview) byste měli vidět, že jste připojení ke svému účtu. Vyberte + Nový krok.

13. V okně Zvolit operaci zadejte do vyhledávacího pole Microsoft Sentinel.

14. Vyberte ikonu Microsoft Sentinelu.

15. Na kartě Akce vyhledejte a vyberte Získat incident (Preview).

16. V okně Získat incident (Preview) vyberte pole ID ARM incidentu. Otevře se okno Přidat dynamický obsah .

    Tip

    Když pole vyberete, otevře se nové okno, které vám pomůže vyplnit tato pole dynamickým obsahem.

17. Na kartě Dynamický obsah můžete ve vyhledávacím poli začít zadávat INCIDENT ARM a pak vybrat položku ze seznamu, jak je znázorněno na následujícím snímku obrazovky.

    

18. Vyberte + Nový krok.

19. V okně Zvolit operaci zadejte do vyhledávacího pole Microsoft Sentinel.

    Tip

    Na kartě Pro vás by se měly poslední výběry zobrazovat jako ikona Microsoft Sentinelu.

20. Vyberte ikonu Microsoft Sentinelu.

21. Na kartě Akce vyhledejte a vyberte Aktualizovat incident (Preview).

22. V okně Aktualizovat incident (Preview) zadejte následující vstupy:

    Nastavení	Hodnoty
    Zadání ID ARM incidentu	ID ARM incidentu
    Zadání ID objektu vlastníka / hlavního názvu uživatele (UPN)	ID objektu vlastníka incidentu
    Určení vlastníka přiřazení nebo zrušení přiřazení	V rozevírací nabídce vyberte Zrušit přiřazení.
    Závažnost	Výchozí závažnost incidentu můžete ponechat.
    Zadat stav	Z rozevírací nabídky vyberte Uzavřeno.
    Zadat důvod klasifikace	V rozevírací nabídce vyberte položku, jako je Undetermined, nebo vyberte Zadat vlastní hodnotu a vyberte Dynamický obsah IncidentClassification.
    Text odůvodnění uzavření.	Napište vysvětlení.

    

23. Vyberte pole ID ARM incidentu. Otevře se okno Přidat dynamický obsah ve vyhledávacím poli a můžete začít zadávat incidenty ARM. Vyberte ID ARM incidentu a pak vyberte pole ID objektu vlastníka nebo hlavního názvu uživatele (UPN ).

24. Otevře se okno Přidat dynamický obsah ve vyhledávacím poli a můžete začít zadávat vlastníka incidentu. Vyberte ID objektu vlastníka incidentu a potom vyplňte zbývající pole pomocí položek tabulky.

25. Až budete hotovi, zvolte Uložit z řádku nabídek Návrhář pro Logic Apps a zavřete Návrhář pro Logic Apps.

Úkol 3: Vyvolání incidentu a kontrola přidružených akcí

1. Na webu Azure Portal zadejte do textového pole Hledat prostředky, služby a dokumenty virtuální počítače a pak vyberte Enter.

2. Na stránce Virtuální počítače vyhledejte a vyberte virtuální počítač simple-vm a pak na panelu záhlaví vyberte Odstranit.

3. Na stránce Odstranit jednoduchý virtuální počítač vyberte Odstranit s virtuálním počítačem pro disk s operačním systémem i síťové rozhraní.

4. Zaškrtněte políčko, abyste potvrdili , že jsem přečetl(a) a chápu, že se tento virtuální počítač i všechny vybrané prostředky odstraní, a pak vyberte Odstranit a odstraňte virtuální počítač.

   

   Poznámka:

   Tato úloha vytvoří incident podle analytického pravidla vytvořeného v předchozím cvičení v jednotce věnované nastavení. Může trvat až 15 minut, než se incident vytvoří. Počkejte na dokončení a pak pokračujte dalším krokem.

Úkol 4: Přiřazení playbooku k existujícímu incidentu

1. Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel a pak vyberte dříve vytvořený pracovní prostor Microsoft Sentinelu.

2. V Microsoft Sentinelu | Stránka Přehled na řádku nabídek v části Správa hrozeb vyberte Incidenty.

   Poznámka:

   Jak už bylo zmíněno v předchozí poznámce, vytvoření incidentu může trvat až 15 minut. Aktualizujte stránku, dokud se incident nezobrazí na stránce Incidenty.

3. V Microsoft Sentinelu | Stránka Incidenty , vyberte incident, který byl vytvořen na základě odstranění virtuálního počítače.

4. V podokně podrobností vyberte Akce a Spustit playbook (Preview).

   

5. Na stránce Spustit playbook na stránce incidentu by se na kartě Playbooky měl zobrazit playbook ClosingIncident a vyberte Spustit.

6. Ověřte, že se zobrazila zpráva Playbook se úspěšně aktivoval.

7. Zavřete playbook Spustit na stránce incidentu a vraťte se do Microsoft Sentinelu | Stránka Incidenty

8. V Microsoft Sentinelu | Na stránce Incidenty na panelu záhlaví vyberte Aktualizovat. Všimněte si, že incident zmizí z podokna. Z nabídky Stav vyberte Uzavřeno a pak vyberte OK.

   Poznámka:

   Zobrazení upozornění ve stavu Uzavřeno může trvat až 5 minut.

   

9. Ověřte, že se incident znovu zobrazí, a všimněte si sloupce Stav a zkontrolujte, že je zavřený.

Vyčištění prostředků

1. Na webu Azure Portal vyhledejte Skupiny prostředků.

2. Vyberte azure-sentinel-rg.

3. Na panelu v záhlaví vyberte Odstranit skupinu prostředků.

4. Do pole ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte název azure-sentinel-rg a vyberte Odstranit.