Ćwiczenie — wyszukiwanie zagrożeń za pomocą usługi Microsoft Sentinel

Ukończone

Jako inżynier ds. zabezpieczeń pracujący dla firmy Contoso niedawno zauważyłeś, że z subskrypcji platformy Azure usunięto znaczną liczbę maszyn wirtualnych. Chcesz zasymulować usuniętą maszynę wirtualną, przeanalizować to wystąpienie i zrozumieć kluczowe elementy potencjalnego zagrożenia w usłudze Microsoft Sentinel.

W tym ćwiczeniu usuniesz maszynę wirtualną, zarządzasz zapytaniami dotyczącymi wyszukiwania zagrożeń i zapisujesz kluczowe wyniki za pomocą zakładek.

Uwaga

Aby wykonać to ćwiczenie, należy wcześniej wykonać ćwiczenie konfiguracyjne znajdujące się wcześniej w tym module. Jeśli ta czynność nie została jeszcze wykonana, zrób to teraz.

Usuwanie maszyny wirtualnej

W tym zadaniu usuniesz maszynę wirtualną, aby przetestować wykrywanie reguł i tworzenie zdarzeń.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Maszyny wirtualne.
2. Na stronie Maszyny wirtualne zaznacz pole wyboru obok maszyny wirtualnej z etykietą simple-vm, a następnie wybierz pozycję Usuń na pasku narzędzi.
3. W okienku Usuń zasoby potwierdź usunięcie, a następnie wybierz pozycję Usuń.

Zarządzanie zapytaniami wyszukiwania zagrożeń w usłudze Microsoft Sentinel

W tym zadaniu utworzysz zapytania wyszukiwania zagrożeń i zarządzasz nimi, aby przejrzeć zdarzenia związane z usuwaniem maszyny wirtualnej w poprzednim zadaniu. Po usunięciu maszyny wirtualnej może upłynąć do 5 minut.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz wcześniej utworzony obszar roboczy usługi Sentinel.

2. Na stronie Microsoft Sentinel na pasku menu w sekcji Zarządzanie zagrożeniami wybierz pozycję Wyszukiwanie zagrożeń.

3. Na stronie Wyszukiwanie zagrożeń wybierz kartę Zapytania. Następnie wybierz pozycję Nowe zapytanie.

4. Na stronie Tworzenie zapytania niestandardowego podaj następujące dane wejściowe, a następnie wybierz pozycję Utwórz.

   • Nazwa: wprowadź usunięte maszyny wirtualne.

   • Opis: wprowadź szczegółowy opis, który pomaga innym analitykom zabezpieczeń zrozumieć, co robi reguła.

   • Zapytanie niestandardowe: wprowadź następujący kod.

       AzureActivity
       | where OperationName == 'Delete Virtual Machine'
       | where ActivityStatus == 'Accepted'
       | extend AccountCustomEntity = Caller
       | extend IPCustomEntity = CallerIpAddress
     

   • Taktyka: wybierz pozycję Wpływ.

5. Na stronie Wyszukiwanie zagrożeń na karcie Zapytania wprowadź Usunięte maszyny wirtualne w polu wyszukiwania zapytań.

6. Z listy zapytań wybierz ikonę gwiazdki obok pozycji Usunięte maszyny wirtualne, aby oznaczyć zapytanie jako ulubione.

7. Wybierz zapytanie Usunięte maszyny wirtualne. W okienku szczegółów wybierz pozycję Wyświetl wyniki.

   Uwaga

   Wysłanie usuniętego zdarzenia maszyny wirtualnej do usługi Microsoft Sentinel może potrwać do 15 minut. Jeśli zdarzenie usuwania maszyny wirtualnej nie jest wyświetlane, możesz okresowo uruchamiać zapytanie na karcie Wyniki .

8. Na stronie Dzienniki w sekcji Wyniki wybierz wymienione zdarzenie. Powinna ona znajdować się "action": "Microsoft.Compute/virtualMachines/delete" w kolumnie Autoryzacja. Jest to zdarzenie z dziennika aktywności platformy Azure wskazujące, że maszyna wirtualna została usunięta.

9. Pozostań na tej stronie na potrzeby następnego zadania.

Zapisywanie kluczowych wyników przy użyciu zakładek

W tym zadaniu użyjesz zakładek do zapisywania zdarzeń i wykonywania większej liczby zagrożeń.

1. Na stronie Dzienniki w sekcji Wyniki zaznacz pole wyboru obok wymienionego zdarzenia. Następnie wybierz pozycję Dodaj zakładkę.
2. W okienku Dodawanie zakładki wybierz pozycję Utwórz.
3. W górnej części strony wybierz pozycję Microsoft Sentinel na szlaku stron nadrzędnych.
4. Na stronie Wyszukiwanie zagrożeń wybierz kartę Zakładki.
5. Z listy zakładek wybierz zakładkę rozpoczynającą się od Usunięte maszyny wirtualne.
6. Na stronie szczegółów wybierz pozycję Zbadaj.
7. Na stronie Badanie wybierz pozycję Usunięte maszyny wirtualne i obserwuj szczegóły zdarzenia.
8. Na stronie badania na wykresie wybierz jednostkę, która reprezentuje użytkownika. To jest twoje konto użytkownika, które wskazuje, że maszyna wirtualna została usunięta.

Wyniki

W tym ćwiczeniu usunięto maszynę wirtualną, zapytania dotyczące wyszukiwania zagrożeń zarządzanych i zapisano kluczowe wyniki z zakładkami.

Czyszczenie zasobów platformy Azure

Po zakończeniu korzystania z zasobów platformy Azure utworzonych w tym ćwiczeniu usuń je, aby uniknąć ponoszenia kosztów:

1. W witrynie Azure Portal wyszukaj Grupy zasobów.
2. Wybierz swoją grupę zasobów.
3. Na pasku nagłówka wybierz pozycję Usuń grupę zasobów.
4. W polu WPISZ NAZWĘ GRUPY ZASOBÓW wprowadź nazwę grupy zasobów i wybierz pozycję Usuń.