Esercizio - Cercare minacce con Microsoft Sentinel

Completato

Come esperto della sicurezza che lavora per Contoso, si è notato di recente che un numero significativo di macchine virtuali è stato eliminato dalla sottoscrizione di Azure. Si decide quindi di simulare l'eliminazione di una macchina virtuale, analizzare questo evento e comprendere gli elementi chiave della potenziale minaccia in Microsoft Sentinel.

In questo esercizio si elimina una VM, si gestiscono le query di ricerca delle minacce e si salvano i principali risultati con i segnalibri.

Nota

Per completare questo esercizio, è necessario aver completato l'esercizio di configurazione precedente nel modulo. Se non è stato ancora completato, procedere ora.

Eliminare una macchina virtuale

In questa attività si elimina una VM per testare il rilevamento delle regole e la creazione di eventi imprevisti.

1. Nel portale di Azure cercare e selezionare Macchine virtuali.
2. Nella pagina Macchine virtuali selezionare la casella di controllo accanto alla macchina virtuale denominata simple-vm e quindi selezionare Elimina dalla barra degli strumenti.
3. Nel riquadro Elimina risorse confermare l'eliminazione e quindi selezionare Elimina.

Gestire le query di ricerca minacce di Microsoft Sentinel

In questa attività si creano e si gestiscono query di ricerca delle minacce per esaminare gli eventi correlati all'eliminazione della VM nell'attività precedente. Potrebbero essere necessari fino a 5 minuti dopo l'eliminazione della macchina virtuale affinché l'evento venga visualizzato in Microsoft Sentinel.

1. Nel portale di Azure cercare e selezionare Microsoft Sentinel, quindi selezionare l'area di lavoro di Sentinel creata in precedenza.

2. Nella pagina Microsoft Sentinel, nella barra dei menu selezionare Ricerca nella sezione Gestione delle minacce.

3. Nella pagina Ricerca selezionare la scheda Query. Scegliere quindi Nuova query.

4. Nella pagina Crea una query personalizzata specificare le informazioni seguenti e quindi selezionare Crea.

   • Nome: immettere MV eliminate.

   • Descrizione: immettere una descrizione dettagliata che consentirà agli altri analisti della sicurezza di comprendere il funzionamento della regola.

   • Query personalizzata: immettere il codice seguente.

       AzureActivity
       | where OperationName == 'Delete Virtual Machine'
       | where ActivityStatus == 'Accepted'
       | extend AccountCustomEntity = Caller
       | extend IPCustomEntity = CallerIpAddress
     

   • Tattiche: selezionare Impatto.

5. Nella pagina Ricerca, nella scheda Query immettere Macchine virtuali eliminate nel campo Query di ricerca.

6. Nell'elenco di query selezionare l'icona a forma di stella accanto a Macchine virtuali eliminate per contrassegnare la query come preferito.

7. Selezionare la query Macchine virtuali eliminate. Nel riquadro dei dettagli selezionare Visualizza risultati.

   Nota

   Potrebbero essere necessari fino a 15 minuti per l'invio dell'evento di eliminazione della macchina virtuale a Microsoft Sentinel. Se l'evento di eliminazione della VM non viene visualizzato, è possibile scegliere di eseguire periodicamente la query nella scheda Risultati.

8. Nella pagina Log, nella sezione Risultati selezionare l'evento elencato. Deve essere "action": "Microsoft.Compute/virtualMachines/delete" presente nella colonna Autorizzazione . Questo è l'evento del log attività di Azure che indica che la macchina virtuale è stata eliminata.

9. Rimanere in questa pagina per l'attività successiva.

Salvare i risultati chiave con segnalibri

In questa attività si usano i segnalibri per salvare gli eventi ed eseguire ulteriori operazioni di ricerca.

1. Nella pagina Log, nella sezione Risultati selezionare la casella di controllo accanto all'evento elencato. Quindi selezionare Aggiungi segnalibro.
2. Nel riquadro Aggiungi segnalibro selezionare Crea.
3. Nella parte superiore della pagina selezionare Microsoft Sentinel nel percorso di navigazione.
4. Nella pagina Ricerca selezionare la scheda Segnalibri.
5. Nell'elenco dei segnalibri selezionare il segnalibro che inizia con Macchine virtuali eliminate.
6. Nella pagina dei dettagli selezionare Ricerca causa.
7. Nella pagina Indagine selezionare Macchine virtuali eliminate e osservare i dettagli dell'evento imprevisto.
8. Nella pagina Indagine selezionare l'entità nel grafico che rappresenta un utente. Questo è l'account dell'utente che esegue l'esercizio e indica che la macchina virtuale è stata eliminata dall'utente.

Risultati

In questo esercizio è stata eliminata una macchina virtuale, sono state gestite le query di ricerca delle minacce e sono stati salvati i risultati chiave con segnalibri.

Pulire le risorse di Azure

Per evitare di sostenere costi, eliminare le risorse di Azure create in questo esercizio quando non sono più necessarie:

1. Nel portale di Azure cercare Gruppi di risorse.
2. Selezionare il gruppo di risorse.
3. Nella barra dell'intestazione selezionare Elimina gruppo di risorse.
4. Nel campo Digitare il nome del gruppo di risorse immettere il nome del gruppo di risorse e selezionare Elimina.