Oefening: een Microsoft Sentinel-playbook maken

  • 15 minuten

De oefening Een Microsoft Sentinel-playbook maken in deze module is een optionele eenheid. Mocht u deze oefening echter willen uitvoeren, dan hebt u toegang nodig tot een Azure-abonnement waarmee u Azure-resources kunt maken. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Voer de volgende taken uit om de vereisten voor de oefening te implementeren.

Notitie

Als u ervoor kiest om de oefening in deze module uit te voeren, moet u er rekening mee houden dat er mogelijk kosten in rekening worden gebracht op uw Azure-abonnement. Als u een schatting wilt maken van de kosten, raadpleegt u de prijzen van Microsoft Sentinel.

Taak 1: Microsoft Sentinel implementeren

  1. Selecteer de volgende koppeling:

    Deploy To Azure.

    U wordt gevraagd om u aan te melden bij Azure.

  2. Geef op de pagina Aangepaste implementatie de volgende informatie op:

    Etiket Beschrijving
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Nieuwe maken en geef een naam op voor de resourcegroep, zoals azure-sentinel-rg.
    Regio Selecteer in de vervolgkeuzelijst de regio waar u Microsoft Sentinel wilt implementeren.
    Werkruimtenaam Geef een unieke naam op voor de Microsoft Sentinel-werkruimte, zoals <yourName>-Sentinel, waarbij <yourName> de werkruimtenaam vertegenwoordigt die u in de vorige taak hebt gekozen.
    Locatie Accepteer de standaardwaarde [resourceGroup().location].
    Simplevm Name Accepteer de standaardwaarde simple-vm.
    Simplevm Windows OS Version Accepteer de standaardwaarde 2016-Datacenter.

    Screenshot of the custom deployment inputs for a Microsoft template.

  3. Selecteer Beoordelen en maken en selecteer vervolgens Maken wanneer de gegevens zijn gevalideerd.

    Notitie

    Wacht totdat de installatie is voltooid. De implementatie duurt minder dan vijf minuten.

    Screenshot of the successful custom deployment.

Taak 2: De gemaakte resources controleren

  1. Selecteer Op de pagina Implementatieoverzicht de optie Ga naar de resourcegroep. De resources voor uw aangepaste implementatie worden weergegeven.

  2. Selecteer Start en in Azure-services, zoek en selecteer resourcegroepen.

  3. Selecteer azure-sentinel-rg.

  4. Sorteer de lijst met resources met behulp van Type.

  5. Als het goed is, bevat de resourcegroep de resources die in de volgende tabel worden weergegeven.

    Name Type Description
    <yourName>-Sentinel Log Analytics-werkruimte Log Analytics-werkruimte die wordt gebruikt door Microsoft Sentinel, waarbij <yourName> de naam van de werkruimte vertegenwoordigt die u in de vorige taak hebt gekozen.
    simple-vmNetworkInterface Netwerkinterface De netwerkinterface voor de virtuele machine.
    SecurityInsights(<yourName>-Sentinel) Oplossing Beveiligingsinzichten voor Microsoft Sentinel.
    st1<xxxxx> Opslagaccount Het opslagaccount dat wordt gebruikt door de virtuele machine.
    simple-vm Virtuele machine De virtuele machine (VM) die wordt gebruikt in de demonstratie.
    vnet1 Virtueel netwerk Het virtuele netwerk voor de virtuele machine.

Notitie

De geïmplementeerde resource en de configuratiestappen die in deze oefening zijn voltooid, hebt u nodig voor de volgende oefening. Als u van plan bent de volgende oefening uit te voeren, moet u de resources uit deze oefening niet verwijderen.

Taak 3: Microsoft Sentinel-Verbinding maken ors configureren

  1. Zoek in Azure Portal naar Microsoft Sentinel en selecteer vervolgens de eerder gemaakte Microsoft Sentinel-werkruimte.

  2. Op Microsoft Sentinel | In het linkermenu schuift u omlaag naar Inhoudsbeheer en selecteert u Content Hub.

  3. Typ Op de pagina Inhoudshub Azure-activiteit in het zoekformulier en selecteert u de Azure-activiteitsoplossing.

  4. Selecteer Installeren in het detailvenster van de Azure-activiteitsoplossing.

  5. Selecteer de Azure Activity Data-connector in de kolom Inhoudsnaam in het midden.

    Notitie

    Deze oplossing installeert deze inhoudstypen: 12 analyseregels, 14 opsporingsquery's, 1 werkmap en de Azure Activity Data-connector.

  6. Selecteer de pagina Verbindingslijn openen.

  7. Schuif omlaag en onder 2 in het gebied Instructies/configuratie. Verbinding maken uw abonnementen... selecteer De wizard Azure Policy-toewijzing starten.

  8. Selecteer op het tabblad Basisbeginselen van de wizard het beletselteken ... onder Bereik. Selecteer uw abonnement in het deelvenster Bereiken en selecteer vervolgens Selecteren.

  9. Selecteer het tabblad Parameters en kies uw Microsoft Sentinel-werkruimte in de vervolgkeuzelijst Primaire Log Analytics-werkruimte .

  10. Selecteer het tabblad Herstel en schakel het selectievakje Een hersteltaak maken in. Met deze actie wordt de beleidstoewijzing toegepast op al bestaande Azure-resources.

  11. Selecteer de knop Beoordelen en maken om de configuratie te controleren en selecteer vervolgens Maken.

    Notitie

    De connector voor Azure-activiteit maakt gebruik van beleidstoewijzingen. U moet rolmachtigingen hebben waarmee u beleidstoewijzingen kunt maken. En het duurt meestal 15 minuten om een status van Verbinding maken weergegeven. Terwijl de connector wordt geïmplementeerd, kunt u doorgaan met het uitvoeren van de rest van de stappen in deze les en de volgende eenheden in deze module.

    Screenshot that displays the Microsoft Sentinel Azure Activity Content Hub solution.

Taak 4: Een analyseregel maken

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer vervolgens de eerder gemaakte Microsoft Sentinel-werkruimte.

  2. Selecteer Analytics op de pagina Microsoft Sentinel in de menubalk in de sectie Configuratie.

  3. Op Microsoft Sentinel | De pagina Analyse, selecteer Maken en selecteer vervolgens NRT-queryregel (preview).

  4. Geef op de pagina Algemeen de invoer op in de volgende tabel en selecteer vervolgens Volgende: Regellogica >instellen.

    Etiket Beschrijving
    Naam Geef een beschrijvende naam op, zoals Virtuele machines verwijderen, om uit te leggen welk type verdachte activiteit de waarschuwing detecteert.
    Beschrijving Voer een gedetailleerde beschrijving in waarmee andere beveiligingsanalisten begrijpen wat de regel doet.
    Tactieken en technieken Kies in de vervolgkeuzelijst Tactieken en technieken de categorie Eerste toegang om de regel te classificeren volgens de MITRE-tactieken.
    Ernst Selecteer de vervolgkeuzelijst Ernst om het urgentieniveau van de waarschuwing te categoriseren als een van de vier opties: Hoog, Gemiddeld, Laag of Informatief.
    Status Geef de status van de regel op. De status is standaard ingeschakeld. U kunt Uitgeschakeld selecteren om de regel uit te schakelen als er een groot aantal fout-positieven wordt gegenereerd.

  5. Voer op de pagina Regellogica instellen in de sectie Regelquery de volgende query in:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. Accepteer de standaardwaarden voor alle andere instellingen en selecteer vervolgens Volgende: Incidentinstelling.

  7. Controleer op het tabblad Incidentinstelling of Ingeschakeld is geselecteerd voor het maken van incidenten vanuit waarschuwingen die worden geactiveerd door deze analyseregel. En selecteer vervolgens Volgende: Geautomatiseerd antwoord.

  8. Op het tabblad Automatische reactie kunt u een playbook selecteren dat automatisch moet worden uitgevoerd wanneer de waarschuwing wordt gegenereerd. Alleen de playbooks met een Microsoft Sentinel-connector voor logische apps worden weergegeven.

  9. Selecteer Volgende: Controleren.

  10. Controleer op de pagina Controleren en maken of de validatie is gelukt, en selecteer vervolgens Maken.

Notitie

Meer informatie over Microsoft Sentinel-analyseregels vindt u in de module 'Detectie van bedreigingen met Microsoft Sentinel-analyse'.