Ćwiczenie — wykrywanie zagrożeń za pomocą analizy usługi Microsoft Sentinel

  • 20 min

Ćwiczenie dotyczące wykrywania zagrożeń za pomocą usługi Microsoft Sentinel Analytics w tym module jest opcjonalną jednostką. Jeśli jednak chcesz je wykonać, będziesz potrzebować dostępu do subskrypcji platformy Azure, w której możesz tworzyć zasoby platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Aby wdrożyć wymagania wstępne na potrzeby tego ćwiczenia, wykonaj poniższe zadania.

Uwaga

Jeśli zdecydujesz się na wykonanie ćwiczenia w tym module, pamiętaj, że możesz ponieść koszty w ramach subskrypcji platformy Azure. Aby oszacować koszt, zapoznaj się z cennikiem usługi Microsoft Sentinel.

Zadanie 1. Wdrażanie usługi Microsoft Sentinel przy użyciu szablonu usługi ARM

  1. Wybierz poniższy link:

    Wdrażanie na platformie Azure.

    Zostanie wyświetlony monit o zalogowanie się na platformie Azure. Zostanie wyświetlone okienko Niestandardowe wdrożenie .

  2. Na karcie Podstawy wprowadź następujące wartości dla każdego ustawienia.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycję Utwórz nową i podaj nazwę grupy zasobów, na przykład azure-sentinel-rg.
    Szczegóły wystąpienia
    Region (Region) Z listy rozwijanej wybierz lokalizację, w której chcesz wdrożyć usługę Microsoft Sentinel.
    Nazwa obszaru roboczego Podaj unikatową nazwę obszaru roboczego usługi Microsoft Sentinel, na przykład <yourName>-sentinel, gdzie <yourName> reprezentuje nazwę obszaru roboczego wybraną w poprzednim zadaniu.
    Lokalizacja Zaakceptuj wartość domyślną [resourceGroup().location].
    Nazwa Simplevm Zaakceptuj wartość domyślną simple-vm.
    Wersja systemu operacyjnego Windows maszyny wirtualnej Simplevm Zaakceptuj wartość domyślną 2016-Datacenter.

  3. Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę wdrożenia niestandardowego.

    Uwaga

    Zaczekaj na zakończenie wdrażania. Wdrożenie powinno trwać krócej niż pięć minut.

Zadanie 2. Sprawdzanie utworzonych zasobów

  1. W witrynie Azure Portal wyszukaj Grupy zasobów.

  2. Wybierz pozycję azure-sentinel-rg.

  3. Posortuj listę zasobów według pozycji Typ.

    Grupa zasobów powinna zawierać zasoby wymienione w poniższej tabeli.

    Nazwisko Pisz Opis
    <yourName>-sentinel Obszar roboczy usługi Log Analytics Obszar roboczy usługi Log Analytics używany przez usługę Microsoft Sentinel, gdzie <yourName> reprezentuje nazwę obszaru roboczego wybraną w poprzednim zadaniu.
    simple-vmNetworkInterface Interfejs sieciowy Interfejs sieciowy dla maszyny wirtualnej.
    SecurityInsights(<yourName>-sentinel) Rozwiązanie Szczegółowe informacje o zabezpieczeniach usługi Microsoft Sentinel.
    simple-vm Maszyna wirtualna Maszyna wirtualna używana na potrzeby pokazu.
    st1<xxxxx> Konto magazynu Konto magazynu używane przez maszynę wirtualną, gdzie <xxxxx> reprezentuje losowy ciąg wygenerowany w celu utworzenia unikatowej nazwy konta magazynu.
    vnet1 Sieć wirtualna Sieć wirtualna dla maszyny wirtualnej.

Uwaga

Zasoby wdrożone w tym kroku oraz wykonane w nim kroki konfiguracji są wymagane w następnym ćwiczeniu. Jeśli zamierzasz wykonać następne ćwiczenie, nie usuwaj zasobów z tego ćwiczenia.

Zadanie 3. Konfigurowanie łączników danych usługi Microsoft Sentinel

W tym zadaniu wdrożysz łącznik danych usługi Microsoft Sentinel w celu wykrywania aktywności platformy Azure.

  1. W witrynie Azure Portal wybierz pozycję Strona główna, a następnie wyszukaj i wybierz pozycję Microsoft Sentinel.

  2. Na liście nazw obszarów roboczych usługi Sentinel wybierz obszar roboczy usługi Microsoft Sentinel utworzony w zadaniu 2. Zostanie wyświetlone okienko Przegląd obszaru roboczego usługi Sentinel.

  3. W okienku menu w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości. Zostanie wyświetlone okienko Centrum zawartości.

  4. W polu Wyszukaj wyszukaj i wybierz rozwiązanie działania platformy Azure. W okienku Szczegóły działania platformy Azure wybierz pozycję Zainstaluj.

  5. Poczekaj na zakończenie instalacji, a następnie wybierz pozycję Zarządzaj.

  6. W polu Wyszukaj wyszukaj i wybierz łącznik Danych aktywności platformy Azure.

  7. W okienku Szczegóły działania platformy Azure wybierz pozycję Otwórz łącznik.

  8. Na karcie Instrukcje w obszarze Konfiguracja przewiń w dół i w obszarze "2. Łączenie subskrypcji..." Wybierz pozycję Uruchom Kreatora> przypisania usługi Azure Policy.

  9. Na karcie Podstawy wybierz przycisk wielokropka (...) w obszarze Zakres, a następnie z listy rozwijanej wybierz pozycję "Subskrypcja platformy Azure" i wybierz pozycję Wybierz.

  10. Wybierz kartę Parametry, wybierz swój obszar roboczy yourName-sentinel z listy rozwijanej Podstawowy obszar roboczy usługi Log Analytics.

  11. Wybierz kartę Korygowanie i zaznacz pole wyboru Utwórz zadanie korygowania. Ta akcja powoduje zastosowanie konfiguracji subskrypcji w celu wysłania informacji do obszaru roboczego usługi Log Analytics.

    Uwaga

    Aby zastosować zasady do istniejących zasobów, należy utworzyć zadanie korygowania.

  12. Wybierz przycisk Przejrzyj i utwórz, aby przejrzeć konfigurację.

  13. Wybierz pozycję Utwórz , aby zakończyć.

  14. Po zakończeniu wdrażania zobaczysz stan Połączono (zielony pasek) dla łącznika Aktywności platformy Azure w okienku Łączniki konfiguracji/danych.

Zrzut ekranu przedstawiający łącznik usługi Microsoft Sentinel.

Uwaga

Wyświetlenie łącznika działania platformy Azure w usłudze Microsoft Sentinel może potrwać 15 minut. Możesz kontynuować wykonywanie pozostałych kroków i innych lekcji z tego modułu.