Oefening: een Microsoft Sentinel-playbook maken

  • 30 minuten

Als beveiligingsanalist die voor Contoso werkt, ziet u onlangs dat er een aanzienlijk aantal waarschuwingen wordt gegenereerd wanneer iemand een virtuele machine verwijdert. U wilt dergelijke gevallen in de toekomst analyseren en het aantal waarschuwingen dat wordt gegenereerd voor fout-positieve gevallen verminderen.

Oefening: Bedreigingsreactie met behulp van Microsoft Sentinel-playbooks

U besluit een Microsoft Sentinel-playbook te implementeren om reacties op een incident te automatiseren.

In deze oefening verkent u de Microsoft Sentinel-playbooks door de volgende taken uit te voeren:

  • Microsoft Sentinel Playbook-machtigingen configureren.

  • Een playbook maken om een actie voor het reageren op incidenten te automatiseren.

  • Test uw playbook door een incident aan te roepen.

Notitie

U moet de eenheid Oefening instellen hebben voltooid om deze oefening te kunnen voltooien. Als u dit nog niet hebt gedaan, doet u dat nu en gaat u vervolgens verder met de stappen in de oefening.

Taak 1: Microsoft Sentinel Playbook-machtigingen configureren

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer de eerder gemaakte Microsoft Sentinel-werkruimte.

  2. Selecteer Instellingen op de pagina Microsoft Sentinel in de menubalk in de sectie Configuratie.

  3. Selecteer op de pagina Instellingen het tabblad Instellingen en schuif omlaag en vouw de playbookmachtigingen uit

  4. Selecteer in Playbook-machtigingen de knop Machtigingen configureren.

    Schermopname van de Microsoft Sentinel Playbook-machtigingen.

  5. Selecteer op de pagina Machtigingen beheren op het tabblad Bladeren de resourcegroep waartoe uw Microsoft Sentinel-werkruimte behoort. Selecteer Toepassen.

    Schermopname van de pagina Machtigingen beheren voor Microsoft Sentinel Playbook.

  6. Als het goed is, ziet u het bericht Voltooid met het toevoegen van machtigingen .

Taak 2: Werken met Microsoft Sentinel-playbooks

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer de eerder gemaakte Microsoft Sentinel-werkruimte.

  2. Selecteer Automation op de pagina Microsoft Sentinel in de menubalk in de sectie Configuratie.

  3. Selecteer in het bovenste menu Maken en Playbook met incidenttrigger.

  4. Geef op de pagina Playbooks maken op het tabblad Basis de volgende instellingen op:

    Instellingen Value
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer de resourcegroep van uw Microsoft Sentinel-service.
    Playbooknaam ClosingIncident (u kunt een willekeurige naam kiezen)
    Regio Selecteer dezelfde locatie als de locatie van Microsoft Sentinel.
    Log Analytics-werkruimte Diagnostische logboeken niet inschakelen

  5. Selecteer Volgende:Verbindingen >en selecteer vervolgens Volgende: Controleren en maken >

  6. Selecteer Maken en doorgaan naar de ontwerpfunctie

    Notitie

    Wacht totdat de installatie is voltooid. De implementatie duurt doorgaans minder dan één minuut. Als deze blijft werken, moet u de pagina mogelijk vernieuwen.

  7. In het deelvenster Logic Apps Designer ziet u dat het Microsoft Sentinel-incident (preview) wordt weergegeven.

    Schermopname van de Microsoft Sentinel-trigger.

  8. Selecteer op de pagina Microsoft Sentinel-incident (preview) de koppeling Verbinding wijzigen.

  9. Selecteer Nieuwe toevoegen op de pagina Verbindingen.

  10. Selecteer Aanmelden op de pagina Microsoft Sentinel.

    Schermopname van de API-verbinding voor autorisatie.

  11. Geef op de pagina Aanmelden bij uw account de referenties op voor uw Azure-abonnement.

  12. Als u terug bent op de pagina Microsoft Sentinel-incident (preview), ziet u dat u bent verbonden met uw account. Selecteer + Nieuwe stap.

  13. Typ Microsoft Sentinel in het zoekveld in het venster Een bewerking kiezen.

  14. Selecteer het pictogram Microsoft Sentinel .

  15. Zoek en selecteer incident ophalen (preview) op het tabblad Acties.

  16. Selecteer in het venster Incident ophalen (preview) het veld ARM-id voor incidenten. Het venster Dynamische inhoud toevoegen wordt geopend.

    Tip

    Wanneer u een veld selecteert, wordt er een nieuw venster geopend, waarmee u deze velden kunt vullen met dynamische inhoud.

  17. Op het tabblad Dynamische inhoud , in het zoekvak, kunt u beginnen met het invoeren van Incident ARM en vervolgens de vermelding in de lijst selecteren, zoals in de volgende schermopname wordt weergegeven.

    Schermopname van Get Incident.

  18. Selecteer + Nieuwe stap.

  19. Typ Microsoft Sentinel in het zoekveld in het venster Een bewerking kiezen.

    Tip

    Op het tabblad Voor u moeten recente selecties het pictogram Microsoft Sentinel weergeven.

  20. Selecteer het pictogram Microsoft Sentinel .

  21. Zoek op het tabblad Acties het incident bijwerken (preview) en selecteer dit.

  22. Geef in het venster Updateincident (preview) de volgende invoer op:

    Instellingen Waarden
    ARM-id voor incidenten opgeven ARM-id voor incident
    Object-id/UPN van eigenaar opgeven Object-id incidenteigenaar
    Eigenaar toewijzen/intrekken opgeven Selecteer De toewijzing ongedaan maken in de vervolgkeuzelijst
    Ernst U kunt de standaard ernst van incidenten laten staan
    Status opgeven Selecteer Gesloten in het vervolgkeuzemenu.
    Classificatiereden opgeven Selecteer in de vervolgkeuzelijst een vermelding zoals Niet-bepaald, of selecteer Aangepaste waarde invoeren en selecteer Dynamische inhoud voor IncidentClassification.
    Tekst van reden voor sluiten Schrijf een beschrijvende tekst.

    Schermopname van de status van Get Incident.

  23. Selecteer het veld ARM-id voor incidenten. Het venster Dynamische inhoud toevoegen wordt geopend. In het zoekvak kunt u beginnen met het invoeren van Incident ARM. Selecteer DE ARM-id van het incident en selecteer vervolgens het veld Object-id/UPN-eigenaar .

  24. Het venster Dynamische inhoud toevoegen wordt geopend. In het zoekvak kunt u beginnen met het invoeren van de eigenaar van het incident. Selecteer object-id van incidenteigenaar en vul vervolgens de resterende velden in met behulp van de tabelvermeldingen.

  25. Wanneer u klaar bent, kiest u Opslaan in de menubalk van Logic Apps Designer en sluit u de Logic Apps Designer.

Taak 3: Een incident aanroepen en de bijbehorende acties controleren

  1. Typ in azure Portal in het tekstvak Resources, services en documenten zoeken virtuele machines en selecteer Vervolgens Enter.

  2. Zoek en selecteer op de pagina Virtuele machines de virtuele machine simple-vm en selecteer vervolgens op de koptekstbalk Verwijderen.

  3. Selecteer Verwijderen met VM op de pagina Simple-VM verwijderen voor zowel de besturingssysteemschijf als de netwerkinterface.

  4. Schakel het selectievakje in om te bevestigen dat ik lees en begrijp dat deze virtuele machine en alle geselecteerde resources worden verwijderd en selecteer vervolgens Verwijderen om de virtuele machine te verwijderen.

    Schermopname van de pagina Simple-VM verwijderen.

    Notitie

    Met deze taak wordt een incident gemaakt op basis van de analyseregel die u eerder in de oefening voor installeren hebt gemaakt. Het maken van incidenten kan tot vijftien minuten duren. Wacht totdat de bewerking is voltooid voordat u verdergaat met de volgende stap.

Taak 4: Het playbook toewijzen aan een bestaand incident

  1. Zoek en selecteer Microsoft Sentinel in Azure Portal en selecteer vervolgens de eerder gemaakte Microsoft Sentinel-werkruimte.

  2. Op Microsoft Sentinel | Overzichtspagina , in de menubalk, in de sectie Bedreigingsbeheer , selecteer Incidenten.

    Notitie

    Zoals vermeld in de vorige opmerking, kan het maken van incidenten tot 15 minuten duren. Vernieuw de pagina totdat het incident wordt weergegeven op de pagina Incidenten.

  3. Op Microsoft Sentinel | Pagina Incidenten , selecteer een incident dat is gemaakt op basis van het verwijderen van de virtuele machine.

  4. Selecteer acties en playbook uitvoeren (preview) in het detailvenster.

    Schermopname van de detailvensteracties incident om een playbook uit te voeren.

  5. Op de playbook Uitvoeren op incidentpagina , op het tabblad Playbooks, ziet u het playbook ClosingIncident en selecteert u Uitvoeren.

  6. Controleer of u het bericht Playbook is geactiveerd hebt ontvangen.

  7. Sluit het playbook Uitvoeren op incidentpagina om terug te keren naar Microsoft Sentinel | Pagina Incidenten.

  8. In Microsoft Sentinel | Pagina Incidenten, op de koptekstbalk, selecteer Vernieuwen. U ziet dat het incident uit het deelvenster verdwijnt. Selecteer in het menu Status Gesloten en selecteer vervolgens OK.

    Notitie

    Het kan tot vijf minuten duren voordat waarschuwingen worden weergegeven Gesloten

    Schermopname van de koptekstbalk.

  9. Controleer of het incident opnieuw wordt weergegeven en let op de kolom Status om te controleren of het is gesloten.

De resources opschonen

  1. Zoek in Azure Portal naar Resourcegroepen.

  2. Selecteer azure-sentinel-rg.

  3. Selecteer in de koptekstbalk Resourcegroep verwijderen.

  4. Voer in het veld TYP DE NAAM VAN DE RESOURCEGROEP: de naam in van de resourcegroep azure-sentinel-rg en selecteer Verwijderen.