Oefening: bedreigingen detecteren met Microsoft Sentinel-analyses

  • 20 minuten

De oefening Bedreigingsdetectie met Microsoft Sentinel Analytics in deze module is een optionele eenheid. Mocht u deze oefening echter willen uitvoeren, dan hebt u toegang nodig tot een Azure-abonnement waarmee u Azure-resources kunt maken. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Voer de volgende taken uit om de vereisten voor de oefening te implementeren.

Notitie

Als u ervoor kiest om de oefening in deze module uit te voeren, moet u er rekening mee houden dat er mogelijk kosten in rekening worden gebracht op uw Azure-abonnement. Als u een schatting wilt maken van de kosten, raadpleegt u de prijzen van Microsoft Sentinel.

Taak 1: Microsoft Sentinel implementeren met behulp van een ARM-sjabloon

  1. Selecteer de volgende koppeling:

    Implementeren in Azure.

    U wordt gevraagd om u aan te melden bij Azure. Het deelvenster Aangepaste implementatie wordt weergegeven.

  2. Voer op het tabblad Basisinformatie de volgende waarden in voor elke instelling.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Nieuwe maken en geef een naam op voor de resourcegroep, zoals azure-sentinel-rg.
    Exemplaardetails
    Regio Selecteer in de vervolgkeuzelijst de locatie waar u Microsoft Sentinel wilt implementeren.
    Werkruimte naam Geef een unieke naam op voor de Microsoft Sentinel-werkruimte, zoals <yourName>-sentinel, waarbij <yourName> de naam van de werkruimte vertegenwoordigt die u in de vorige taak hebt gekozen.
    Locatie Accepteer de standaardwaarde [resourceGroup().location].
    Simplevm Name Accepteer de standaardwaarde simple-vm.
    Simplevm Windows OS Version Accepteer de standaardwaarde 2016-Datacenter.

  3. Selecteer beoordelen en maken. Wanneer de validatie is geslaagd, selecteert u Maken.

    Schermopname van de pagina Aangepaste implementatie.

    Notitie

    Wacht totdat de installatie is voltooid. De implementatie duurt minder dan vijf minuten.

Taak 2: De gemaakte resources controleren

  1. Zoek in Azure Portal naar Resourcegroepen.

  2. Selecteer azure-sentinel-rg.

  3. Sorteer de lijst met resources met behulp van Type.

    Als het goed is, bevat de resourcegroep de resources in de volgende tabel.

    Name Type Description
    <yourName>-sentinel Log Analytics-werkruimte Log Analytics-werkruimte die wordt gebruikt door Microsoft Sentinel, waarbij <yourName> de naam van de werkruimte vertegenwoordigt die u in de vorige taak hebt gekozen.
    simple-vmNetworkInterface Netwerkinterface De netwerkinterface voor de virtuele machine.
    SecurityInsights(<yourName>-sentinel) Oplossing Beveiligingsinzichten voor Microsoft Sentinel.
    simple-vm Virtuele machine De virtuele machine (VM) die wordt gebruikt in de demonstratie.
    st1<xxxxx> Opslagaccount Opslagaccount dat wordt gebruikt door de virtuele machine, waarbij <xxxxx> een willekeurige tekenreeks vertegenwoordigt die wordt gegenereerd om een unieke opslagaccountnaam te maken.
    vnet1 Virtueel netwerk Het virtuele netwerk voor de virtuele machine.

Notitie

De geïmplementeerde resource en de configuratiestappen die in deze oefening zijn voltooid, hebt u nodig voor de volgende oefening. Als u de volgende oefening wilt voltooien, verwijdert u de resources niet uit deze oefening.

Taak 3: Microsoft Sentinel-gegevensconnectors configureren

In deze taak implementeert u een Microsoft Sentinel-gegevensconnector om Azure-activiteit te detecteren.

  1. Selecteer In Azure Portal de optie Start en zoek en selecteer Microsoft Sentinel.

  2. Selecteer in de lijst met Sentinel-werkruimtenamen de Microsoft Sentinel-werkruimte die u in taak 2 hebt gemaakt. Het deelvenster Overzicht voor uw Sentinel-werkruimte wordt weergegeven.

  3. Selecteer in het menuvenster onder Inhoudsbeheer de optie Inhoudshub. Het deelvenster Inhoudshub wordt weergegeven.

  4. Zoek en selecteer de Azure-activiteitsoplossing in het zoekvak. Selecteer Installeren in het detailvenster van Azure-activiteit.

  5. Wacht tot de installatie is voltooid en selecteer Beheren.

  6. Zoek en selecteer de Azure Activity Data-connector in het zoekvak.

  7. Selecteer in het deelvenster Details van Azure-activiteit de optie Connector openen.

  8. Schuif op het tabblad Instructies , het configuratiegebied , omlaag en onder '2. Uw abonnementen verbinden... selecteer De wizard> Azure Policy-toewijzing starten.

  9. Selecteer op het tabblad Basisbeginselen de knop met het beletselteken (...) onder Bereik en selecteer uw 'Azure-abonnement' in de vervolgkeuzelijst en selecteer Selecteren.

  10. Selecteer het tabblad Parameters , kies uw werkruimteName-sentinel in de vervolgkeuzelijst primaire Log Analytics-werkruimte .

  11. Selecteer het tabblad Herstel en schakel het selectievakje Een hersteltaak maken in. Met deze actie wordt de abonnementsconfiguratie toegepast om de informatie naar de Log Analytics-werkruimte te verzenden.

    Notitie

    Als u het beleid wilt toepassen op uw bestaande resources, moet u een hersteltaak maken.

  12. Selecteer de knop Beoordelen en maken om de configuratie te controleren.

  13. Selecteer Maken om te voltooien.

  14. Zodra de implementatie is voltooid, ziet u de verbonden status (groene balk) voor de Azure-activiteitsconnector in het deelvenster Configuratie/gegevensconnectors .

Schermopname van de Microsoft Sentinel-connector.

Notitie

Het kan 15 minuten duren voordat de connector voor Azure-activiteit Is verbonden in Microsoft Sentinel wordt weergegeven. U kunt doorgaan met de overige stappen en met andere eenheden van deze module.