Esercizio - Rilevare le minacce con Microsoft Sentinel Analytics

  • 12 minuti

Come esperto della sicurezza che lavora per Contoso, si è notato di recente che un numero significativo di macchine virtuali è stato eliminato dalla sottoscrizione di Azure. Si vuole analizzare questo evento e ricevere un avviso nel caso si verifichi un'attività simile in futuro. Si decide di implementare una regola di analisi per creare un evento imprevisto quando qualcuno elimina una macchina virtuale esistente.

Esercizio: Rilevamento delle minacce con Microsoft Sentinel Analytics

In questo esercizio si esplorerà una regola di Microsoft Sentinel Analytics e si eseguiranno le attività seguenti:

  • Creare una regola di evento imprevisto da un modello esistente.
  • Richiamare un evento imprevisto ed esaminare le azioni associate.
  • Creare una regola di analisi da un modello di regola.

Nota

Per completare questo esercizio è necessario aver completato l'esercizio di configurazione nell'unità 2. Se non è stato fatto, completarla ora e continuare con i passaggi dell'esercizio.

Attività 1: Creare una regola di analisi dalla procedura guidata per le regole di analisi

  1. Nel portale di Azure cercare e selezionare Microsoft Sentinel, quindi selezionare l'area di lavoro di Microsoft Sentinel creata in precedenza.

  2. Nel menu di Microsoft Sentinel, in Configurazione, selezionare Analisi.

  3. Nella barra di intestazione Microsoft Sentinel | Analisi selezionare Crea e quindi Regola di query pianificata.

  4. Nella scheda Generale immettere le informazioni di input indicate nella tabella seguente e quindi selezionare Avanti: Imposta la logica della regola

    Nome Eliminazione della macchina virtuale di Azure.
    Descrizione Un semplice testo descrittivo per avvisare quando un utente elimina la macchina virtuale di Azure.
    MITRE ATT&CK Dal menu a discesa MITRE ATT&CK selezionare Impatto.
    Gravità Dal menu a discesa Gravità selezionare Medio.
    Status Verificare che lo stato sia Abilitato. È possibile selezionare Disabilitato per disabilitare una regola se genera un numero elevato di falsi positivi.

    Screenshot di Creazione guidata regola di analisi - Crea nuova regola.

  5. Nella scheda Imposta la logica della regola copiare e incollare il codice seguente nella casella di testo Query regola:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. Nel riquadro Simulazione dei risultati selezionare Test con i dati correnti e quindi osservare i risultati.

    Screenshot della scheda Logica del set di regole di Analisi.

  7. Nella sezione Miglioramento degli avvisi, in Mapping di entità, eseguire il mapping delle entità restituite come parte della regola di query che è possibile usare per eseguire analisi approfondite.

  8. Nella sezione Pianificazione query configurare la frequenza con cui eseguire la query e la retroattività della query nella ricerca. Selezionare la query da eseguire ogni 5 minuti e accettare la cronologia predefinita di 5 ore.

  9. Nella sezione Soglia di avviso specificare il numero di risultati positivi che può essere restituito per la regola prima che venga generato un avviso. Accettare i valori predefiniti.

  10. Nella sezione Raggruppamento di eventi accettare l'impostazione predefinita Raggruppa tutti gli eventi in un singolo avviso.

  11. Nella sezione Soppressione impostare Arresta esecuzione della query dopo generazione dell'avviso su Attivata.

  12. Accettare i valori predefiniti di 5 ore e quindi selezionare Avanti: Impostazione evento imprevisto (anteprima).

  13. Nella scheda Impostazione evento imprevisto assicurarsi che l'opzione Abilitata sia selezionata per consentire la creazione di eventi imprevisti da avvisi generati da questa regola di analisi.

  14. Nella sezione Raggruppamento degli avvisi selezionare Abilitato per raggruppare gli avvisi correlati in eventi imprevisti e assicurarsi che l'opzione Raggruppamento degli avvisi in un singolo evento imprevisto in caso di corrispondenza di tutte le entità (opzione consigliata) sia selezionata.

  15. Assicurarsi che l'opzione Riapri gli eventi imprevisti corrispondenti chiusi sia impostata su Disabilitato e quindi selezionare Avanti: Risposta automatica.

    Screenshot di Impostazioni degli eventi imprevisti di Analytics.

  16. Nel riquadro Risposta automatica selezionare un playbook da eseguire automaticamente quando viene generato l'avviso. Vengono visualizzati solo i playbook che contengono un connettore di Microsoft Sentinel per app per la logica.

  17. Selezionare Successivo: Revisione.

  18. Nella pagina Rivedi e crea verificare l'avvenuta convalida e quindi selezionare Salva.

Attività 2: Richiamare un evento imprevisto ed esaminare le azioni associate

  1. Nel portale di Azure selezionare Home, nella casella Cerca immettere macchine virtuali e quindi premere INVIO.
  2. Nella pagina Macchine virtuali individuare e selezionare la macchina virtuale simple-vm creata nel gruppo di risorse per questo esercizio e quindi selezionare Elimina nella barra di intestazione. Al prompt Elimina la macchina virtuale selezionare .
  3. Al prompt Elimina macchina virtuale selezionare OK per eliminare la macchina virtuale.

Nota

Questa attività crea un evento imprevisto basato sulla regola di analisi creata nell'Attività 1. La creazione dell'evento imprevisto può richiedere fino a 15 minuti. È possibile procedere con gli altri passaggi di questa unità e quindi osservare i risultati in un secondo momento.

Attività 3: Creare una regola di analisi da un modello esistente

  1. Nel portale di Azure selezionare Home, quindi Microsoft Sentinel e infine l'area di lavoro di Microsoft Sentinel creata nell'unità 2 di questo modulo.

  2. Aprire Microsoft Sentinel e in Configurazione nel menu a sinistra selezionare Analisi.

  3. Nel riquadro Analisi selezionare la scheda Modelli di regola.

  4. Nel campo di ricerca immettere Create incidents based on Microsoft Defender for Cloud e quindi selezionare il modello di regola.

  5. Nel riquadro dei dettagli selezionare Crea regola.

  6. Nel riquadro Generale osservare il nome della regola di analisi e verificare che lo Stato della regola sia impostato su Attivata.

  7. Nella sezione Logica della regola di analisi verificare che sia selezionato Microsoft Defender for Cloud come servizio di sicurezza Microsoft.

  8. Nella sezione Filtra in base alla gravità selezionare Custom (Personalizzato) e quindi nel menu a discesa selezionare Alto e Medio.

  9. Se si vogliono includere filtri aggiuntivi per gli avvisi di Microsoft Defender for Cloud, è possibile aggiungere testo in Includi avvisi specifici ed Escludi avvisi specifici.

  10. Selezionare Avanti: Risposta automatica e quindi Avanti: Rivedi.

  11. Nella pagina Rivedi e crea selezionare Crea.

Risultati

In questo esercizio è stata creata una regola di evento imprevisto da un modello esistente ed è stata creata una regola di query pianificata usando codice di query personalizzato.

Al termine dell'esercizio è necessario eliminare le risorse per evitare di incorrere in costi.

Pulire le risorse

  1. Nel portale di Azure cercare Gruppi di risorse.
  2. Selezionare azure-sentinel-rg.
  3. Nella barra dell'intestazione selezionare Elimina gruppo di risorse.
  4. Nel campo TYPE THE RESOURCE GROUP NAME: (DIGITARE IL NOME DEL GRUPPO DI RISORSE) immettere il nome del gruppo di risorse azure-sentinel-rg e selezionare Elimina.