Übung: Erstellen eines Microsoft Sentinel-Playbooks
Die Übung zum Erstellen eines Microsoft Sentinel-Playbooks in diesem Modul ist eine optionale Lerneinheit. Wenn Sie diese Übung durchführen möchten, benötigen Sie jedoch Zugriff auf ein Azure-Abonnement, in dem Sie Azure-Ressourcen erstellen können. Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
Führen Sie die folgenden Aufgaben aus, um die Voraussetzungen für die Übung zu erfüllen.
Hinweis
Wenn Sie sich entscheiden, die Übung in diesem Modul durchzuführen, bedenken Sie, dass in Ihrem Azure-Abonnement Kosten anfallen können. Informationen zum Schätzen der Kosten finden Sie unter Microsoft Sentinel – Preise.
Aufgabe 1: Bereitstellen von Microsoft Sentinel
Wählen Sie den folgenden Link aus:
Sie werden aufgefordert, sich bei Azure anzumelden.
Geben Sie auf der Seite Benutzerdefinierte Bereitstellung die folgenden Informationen an:
Bezeichnung BESCHREIBUNG Subscription Wählen Sie Ihr Azure-Abonnement. Ressourcengruppe Wählen Sie „Neu erstellen“ aus, und geben Sie einen Namen wie azure-sentinel-rgfür die neue Ressourcengruppe an.Region Wählen Sie im Dropdownmenü die Region aus, in der Sie Microsoft Sentinel bereitstellen möchten. Arbeitsbereichname Geben Sie einen eindeutigen Namen (z. B. <yourName>-Sentinel) für den Microsoft Sentinel-Arbeitsbereich an, wobei <yourName> den von Ihnen in der vorherigen Aufgabe ausgewählten Arbeitsbereichsnamen darstellt.Standort Übernehmen Sie den Standardwert [resourceGroup().location]. Simplevm-Name Übernehmen Sie den Standardwert simple-vm. Simplevm: Windows-Betriebssystemversion Übernehmen Sie den Standardwert 2016-Datacenter. 
Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen, wenn die Daten überprüft wurden.
Hinweis
Warten Sie, bis die Bereitstellung abgeschlossen ist. Die Bereitstellung sollte weniger als fünf Minuten dauern.
Aufgabe 2: Überprüfen der erstellten Ressourcen
Wählen Sie auf der Seite „Bereitstellungsübersicht“ die Option Zu Ressourcengruppe wechseln aus. Die Ressourcen für Ihre benutzerdefinierte Bereitstellung werden angezeigt.
Wählen Sie Home (Start) und dann unter Azure-Dienste die Option Ressourcengruppen aus.
Wählen Sie azure-sentinel-rg aus.
Sortieren Sie die Liste der Ressourcen nach Typ.
Die Ressourcengruppe muss die in der folgenden Tabelle aufgeführten Ressourcen enthalten.
Name Typ BESCHREIBUNG <yourName>-SentinelLog Analytics-Arbeitsbereich Dies ist der Log Analytics-Arbeitsbereich, der von Microsoft Sentinel verwendet wird. Dabei stellt <yourName> den von Ihnen in der vorherigen Aufgabe ausgewählten Arbeitsbereichsnamen dar. simple-vmNetworkInterfaceNetzwerkschnittstelle Die Netzwerkschnittstelle für die VM. SecurityInsights(<yourName>-Sentinel)Lösung Sicherheitserkenntnisse für Microsoft Sentinel st1<xxxxx>Speicherkonto Das vom virtuellen Computer verwendete Speicherkonto. simple-vmVirtueller Computer Dies ist ein virtueller Computer (VM), der in der Demonstration verwendet wird. vnet1Virtuelles Netzwerk Das virtuelle Netzwerk der VM.
Hinweis
Die in dieser Übung bereitgestellten Ressourcen und die in dieser Übung abgeschlossenen Konfigurationsschritte sind in der nächsten Übung erforderlich. Wenn Sie beabsichtigen, die nächste Übung zu absolvieren, löschen Sie nicht die Ressourcen aus dieser Übung.
Aufgabe 3: Konfigurieren von Microsoft Sentinel-Connectors
Suchen Sie im Azure-Portal nach Microsoft Sentinel, wählen Sie diese Option aus, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.
Scrollen Sie im Bereich Microsoft Sentinel | Übersicht im linken Menü nach unten zu Inhaltsverwaltung, und wählen Sie Content Hub aus.
Geben Sie auf der Content Hub-Seite Azure Activity in das Formular Suche ein, und wählen Sie die Lösung Azure Activity aus.
Wählen Sie im Detailbereich der Lösung Azure Activity die Option Installieren aus.
Wählen Sie in der mittleren Spalte Inhaltsname den Azure Activity-Datenconnector aus.
Hinweis
Diese Lösung installiert die folgenden Inhaltstypen: 12 Analyseregeln, 14 Hunting-Abfragen, eine Arbeitsmappe und den Azure Activity-Datenconnector.
Wählen Sie Connectorseite öffnen aus.
Scrollen Sie im Bereich Anweisungen/Konfiguration nach unten, und wählen Sie unter 2. Abonnements verbinden... die Option Azure Policy-Zuweisungs-Assistenten starten aus.
Wählen Sie auf der Registerkarte Grundlagen des Assistenten unter Bereich die Auslassungspunkte ... aus. Wählen Sie im Bereich Bereiche Ihr Abonnement und dann Auswählen aus.
Wählen Sie die Registerkarte Parameter und dann Ihren Microsoft Sentinel-Arbeitsbereich in der Dropdownliste Primärer Log Analytics-Arbeitsbereich aus.
Wählen Sie die Registerkarte Wartung aus, und aktivieren Sie dann das Kontrollkästchen Korrekturtask erstellen. Diese Aktion wendet die Richtlinienzuweisung auf bereits vorhandene Azure-Ressourcen an.
Wählen Sie die Schaltfläche Überprüfen + erstellen aus, um die Konfiguration zu überprüfen, und wählen Sie dann Erstellen aus.
Hinweis
Der Connector für Azure-Aktivität verwendet Richtlinienzuweisungen. Sie benötigen Rollenberechtigungen, mit denen Sie Richtlinienzuweisungen erstellen können. Außerdem dauert es in der Regel 15 Minuten, bis der Status Verbunden angezeigt wird. Sie können weiterhin die restlichen Schritte ausführen und die weiteren Lerneinheiten in diesem Modul fortsetzen, während der Connector verfügbar gemacht wird.
Aufgabe 4: Erstellen einer Analyseregel
Suchen Sie im Azure-Portal nach Microsoft Sentinel, wählen Sie diese Option aus, und wählen Sie dann den zuvor erstellten Microsoft Sentinel-Arbeitsbereich aus.
Klicken Sie in der Menüleiste auf der Seite Microsoft Sentinel im Abschnitt Konfiguration auf Analytics.
Klicken Sie auf der Seite Microsoft Sentinel | Analytics auf Erstellen, und wählen Sie dann NRT-Abfrageregel (Vorschau) aus.
Geben Sie auf der Seite Allgemein die Eingaben aus der folgenden Tabelle ein, und klicken Sie dann auf Weiter: Regellogik festlegen >.
Bezeichnung Beschreibung Name Geben Sie einen eindeutigen Namen wie Löschen von VMs an, um anzugeben, welche Art von verdächtiger Aktivität die Warnung erkennt. Beschreibung Geben Sie eine ausführliche Beschreibung ein, die anderen Sicherheitsanalysten hilft, den Funktionsumfang der Regel zu verstehen. Taktiken und Techniken Wählen Sie im Dropdownmenü Taktiken und Techniken die Kategorie Erstzugriff aus, um die Regel nach der MITRE-Taktik zu klassifizieren. Schweregrad Wählen Sie das Dropdownmenü Schweregrad aus, um den Grad der Wichtigkeit der Warnung mit einer von vier Optionen einzustufen: „Hoch“, „Mittel“, „Niedrig“ oder „Information“. Status Gibt den Status der Regel an. Standardmäßig lautet der Status Aktivieren. Sie können Deaktivieren auswählen, um die Regel zu deaktivieren, wenn sie eine große Anzahl falsch positiver Ergebnisse liefert. Geben Sie auf der Seite Regellogik festlegen im Abschnitt Regelabfrage die folgende Abfrage ein:
AzureActivity | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE' | where ActivityStatusValue == 'Success' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddressÜbernehmen Sie die Standardwerte für alle anderen Einstellungen, und klicken Sie dann auf Weiter: Incidenteinstellung.
Vergewissern Sie sich, dass auf der Registerkarte Incidenteinstellung die Option Aktiviert für die Erstellung von Incidents anhand von Warnungen ausgewählt ist, die von dieser Analyseregel ausgelöst werden. Klicken Sie anschließend auf Weiter: Automatisierte Antwort.
Auf der Registerkarte Automatisierte Antwort können Sie ein Playbook auswählen, das bei Generierung der Warnung automatisch ausgeführt wird. Es werden nur die Playbooks angezeigt, die den Microsoft Sentinel-Connector für Logik-Apps enthalten.
Klicken Sie auf Weiter: Review (Weiter: Überprüfen).
Überprüfen Sie auf der Seite Überprüfen und erstellen, ob die Validierung erfolgreich durchgeführt wurde, und klicken Sie dann auf Erstellen.
Hinweis
Weitere Informationen zu Microsoft Sentinel-Analyseregeln finden Sie im Modul „Bedrohungserkennung mit Microsoft Sentinel-Analysen“.