Ćwiczenie — tworzenie podręcznika usługi Microsoft Sentinel

  • 30 min

Jako analityk operacji zabezpieczeń pracujący dla firmy Contoso zauważysz ostatnio, że podczas usuwania maszyny wirtualnej jest generowana znaczna liczba alertów. W przyszłości chcesz analizować takie wystąpienia, aby zmniejszyć liczbę alertów generowanych dla fałszywie dodatnich wystąpień.

Ćwiczenie: reagowanie na zagrożenia przy użyciu podręczników usługi Microsoft Sentinel

Decydujesz się wdrożyć podręcznik usługi Microsoft Sentinel w celu zautomatyzowania odpowiedzi na zdarzenie.

W tym ćwiczeniu zapoznasz się z podręcznikami usługi Microsoft Sentinel, wykonując następujące zadania:

  • Skonfiguruj uprawnienia podręcznika usługi Microsoft Sentinel.

  • Tworzenie podręcznika w celu zautomatyzowania akcji reagowania na incydenty.

  • Przetestuj podręcznik, wywołując zdarzenie.

Uwaga

Aby móc wykonać to ćwiczenie, musisz ukończyć jednostkę Konfiguracji ćwiczenia. Jeśli jeszcze tego nie zrobiono, wykonaj tę lekcję teraz, a następnie kontynuuj pracę z krokami ćwiczenia.

Zadanie 1. Konfigurowanie uprawnień podręcznika usługi Microsoft Sentinel

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony wcześniej obszar roboczy usługi Microsoft Sentinel.

  2. Na stronie Microsoft Sentinel na pasku menu w sekcji Konfiguracja wybierz pozycję Ustawienia.

  3. Na stronie Ustawienia wybierz kartę Ustawienia i przewiń w dół i rozwiń uprawnienia podręcznika

  4. W obszarze Uprawnienia podręcznika wybierz przycisk Konfiguruj uprawnienia.

    Zrzut ekranu przedstawiający uprawnienia podręcznika usługi Microsoft Sentinel.

  5. Na stronie Zarządzanie uprawnieniami na karcie Przeglądaj wybierz grupę zasobów, do którego należy obszar roboczy usługi Microsoft Sentinel. Wybierz Zastosuj.

    Zrzut ekranu przedstawiający stronę Zarządzanie uprawnieniami podręcznika usługi Microsoft Sentinel.

  6. Powinien zostać wyświetlony komunikat Zakończono dodawanie uprawnień .

Zadanie 2. Praca z podręcznikami usługi Microsoft Sentinel

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony wcześniej obszar roboczy usługi Microsoft Sentinel.

  2. Na stronie Microsoft Sentinel na pasku menu w sekcji Konfiguracja wybierz pozycję Automatyzacja.

  3. W górnym menu wybierz pozycję Utwórz i podręcznik z wyzwalaczem zdarzenia.

  4. Na stronie Tworzenie podręczników na karcie Podstawy określ następujące ustawienia:

    Ustawienia Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz grupę zasobów usługi Microsoft Sentinel.
    Nazwa podręcznika ClosingIncident (możesz wybrać dowolną nazwę)
    Region (Region) Wybierz tę samą lokalizację co lokalizacja usługi Microsoft Sentinel.
    Obszar roboczy usługi Log Analytics Nie włączaj dzienników diagnostycznych

  5. Wybierz pozycję Dalej:Połączenia >, a następnie wybierz pozycję Dalej: Przeglądanie i tworzenie >

  6. Wybierz pozycję Utwórz i przejdź do projektanta

    Uwaga

    Zaczekaj na zakończenie wdrażania. Wdrożenie powinno trwać krócej niż 1 minutę. Jeśli nadal działa, może być konieczne odświeżenie strony.

  7. W okienku Projektant aplikacji usługi Logic Apps powinien zostać wyświetlony incydent usługi Microsoft Sentinel (wersja zapoznawcza).

    Zrzut ekranu przedstawiający wyzwalacz usługi Microsoft Sentinel.

  8. Na stronie Incydent usługi Microsoft Sentinel (wersja zapoznawcza) wybierz link Zmień połączenie.

  9. Na stronie Połączenia wybierz pozycję Dodaj nowy.

  10. Na stronie Microsoft Sentinel wybierz pozycję Zaloguj.

    Zrzut ekranu przedstawiający autoryzację połączenia z interfejsem API.

  11. Na stronie Logowanie do konta podaj poświadczenia subskrypcji platformy Azure.

  12. Po powrocie na stronę zdarzenia usługi Microsoft Sentinel (wersja zapoznawcza) powinno zostać wyświetlone połączenie z kontem. Wybierz + Nowy krok.

  13. W oknie Wybierz operację w polu wyszukiwania wpisz Microsoft Sentinel.

  14. Wybierz ikonę usługi Microsoft Sentinel .

  15. Na karcie Akcje znajdź i wybierz pozycję Pobierz zdarzenie (wersja zapoznawcza).

  16. W oknie Pobieranie zdarzenia (wersja zapoznawcza) wybierz pole Identyfikator zdarzenia usługi ARM. Zostanie otwarte okno Dodawanie zawartości dynamicznej.

    Napiwek

    Po wybraniu pola zostanie otwarte nowe okno ułatwiające wypełnienie pól za pomocą zawartości dynamicznej.

  17. Na karcie Zawartość dynamiczna w polu wyszukiwania możesz rozpocząć wprowadzanie zdarzenia usługi ARM, a następnie wybrać wpis z listy, jak pokazano na poniższym zrzucie ekranu.

    Zrzut ekranu przedstawiający akcję Pobierz incydent.

  18. Wybierz + Nowy krok.

  19. W oknie Wybierz operację w polu wyszukiwania wpisz Microsoft Sentinel.

    Napiwek

    Na karcie For you (Ostatnio wybrane opcje) powinny zawierać ikonę usługi Microsoft Sentinel.

  20. Wybierz ikonę usługi Microsoft Sentinel .

  21. Na karcie Akcje znajdź i wybierz pozycję Aktualizuj zdarzenie (wersja zapoznawcza)..

  22. W oknie Aktualizowanie zdarzenia (wersja zapoznawcza) podaj następujące dane wejściowe:

    Ustawienia Wartości
    Określanie identyfikatora zdarzenia usługi ARM Identyfikator zdarzenia usługi ARM
    Określanie identyfikatora obiektu właściciela/nazwy UPN Identyfikator obiektu właściciela zdarzenia
    Określanie przypisywania/copięć właściciela Z menu rozwijanego wybierz pozycję Anuluj przypisanie
    Ważność Możesz pozostawić domyślną ważność zdarzenia
    Określ stan Z menu rozwijanego wybierz pozycję Zamknięte.
    Określ przyczynę klasyfikacji Z menu rozwijanego wybierz wpis, taki jak Undetermined, lub wybierz pozycję Enter custom value (Wprowadź wartość niestandardową), a następnie wybierz pozycję IncidentClassification Dynamic content (Zawartość dynamiczna incidentClassification).
    Tekst przyczyny zamknięcia Wprowadź opis.

    Zrzut ekranu przedstawiający okno Pobierz stan incydentu.

  23. Wybierz pole Identyfikator zdarzenia usługi ARM. Zostanie otwarte okno Dodawanie zawartości dynamicznej w polu wyszukiwania. Możesz rozpocząć wprowadzanie zdarzenia usługi ARM. Wybierz pozycję Identyfikator zdarzenia usługi ARM, a następnie wybierz pole Identyfikator obiektu właściciela /nazwa UPN.

  24. Zostanie otwarte okno Dodawanie zawartości dynamicznej, w polu wyszukiwania możesz rozpocząć wprowadzanie właściciela zdarzenia. Wybierz pozycję Identyfikator obiektu właściciela zdarzenia, a następnie wypełnij pozostałe pola przy użyciu wpisów tabeli.

  25. Po zakończeniu wybierz pozycję Zapisz na pasku menu Projektant aplikacji usługi Logic Apps, a następnie zamknij projektanta aplikacji usługi Logic Apps.

Zadanie 3. Wywoływanie zdarzenia i przeglądanie skojarzonych akcji

  1. W witrynie Azure Portal w polu tekstowym Wyszukaj zasoby, usługi i dokumenty wpisz maszyny wirtualne, a następnie wybierz Enter.

  2. Na stronie Maszyny wirtualne zlokalizuj i wybierz maszynę wirtualną simple-vm, a następnie na pasku nagłówka wybierz pozycję Usuń.

  3. Na stronie Usuwanie prostej maszyny wirtualnej wybierz pozycję Usuń z maszyną wirtualną zarówno dla dysku systemu operacyjnego, jak i interfejsu sieciowego.

  4. Zaznacz pole, aby potwierdzić , że przeczytałem i rozumiem, że ta maszyna wirtualna oraz wszystkie wybrane zasoby zostaną usunięte, a następnie wybierz pozycję Usuń , aby usunąć maszynę wirtualną.

    Zrzut ekranu przedstawiający stronę Usuwanie prostej maszyny wirtualnej.

    Uwaga

    To zadanie powoduje utworzenie incydentu na podstawie reguły analizy utworzonej wcześniej w lekcji zawierającej ćwiczenie dotyczące konfiguracji. Tworzenie zdarzenia może potrwać do 15 minut. Przed przejściem do następnego kroku poczekaj na zakończenie tego procesu.

Zadanie 4. Przypisywanie podręcznika do istniejącego zdarzenia

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel, a następnie wybierz utworzony wcześniej obszar roboczy usługi Microsoft Sentinel.

  2. W usłudze Microsoft Sentinel | Strona Przegląd na pasku menu w sekcji Zarządzanie zagrożeniami wybierz pozycję Incydenty.

    Uwaga

    Jak wspomniano w poprzedniej notatce, tworzenie incydentu może potrwać do 15 minut. Odświeżaj stronę do momentu wyświetlenia incydentu na stronie Incydenty.

  3. W usłudze Microsoft Sentinel | Na stronie Zdarzenia wybierz zdarzenie, które zostało utworzone na podstawie usunięcia maszyny wirtualnej.

  4. W okienku szczegółów wybierz pozycję Akcje i Uruchom element playbook (wersja zapoznawcza).

    Zrzut ekranu przedstawiający akcje okienka Szczegóły zdarzenia do uruchamiania podręcznika.

  5. Na stronie Run playbook on incident (Uruchamianie podręcznika na incydencie) na karcie Podręczniki powinny zostać wyświetlone podręcznik ClosingIncident, a następnie wybierz pozycję Uruchom.

  6. Upewnij się, że został wyświetlony komunikat Pomyślnie wyzwolono podręcznik.

  7. Zamknij stronę Run playbook on incident (Uruchamianie podręcznika na incydencie ), aby powrócić do usługi Microsoft Sentinel | Strona Incydenty .

  8. W usłudze Microsoft Sentinel | Na pasku nagłówka na stronie Zdarzenia wybierz pozycję Odśwież. Zauważysz, że zdarzenie zniknie z okienka. W menu Stan wybierz pozycję Zamknięte, a następnie wybierz przycisk OK.

    Uwaga

    Zanim stan alertów zostanie zmieniony na Zamknięte, może upłynąć do 5 minut

    Zrzut ekranu przedstawiający pasek nagłówka.

  9. Sprawdź, czy zdarzenie jest ponownie wyświetlane i zwróć uwagę na kolumnę Stan, aby sprawdzić, czy jest ona zamknięta.

Oczyszczanie zasobów

  1. W witrynie Azure Portal wyszukaj Grupy zasobów.

  2. Wybierz pozycję azure-sentinel-rg.

  3. Na pasku nagłówka wybierz pozycję Usuń grupę zasobów.

  4. W polu WPISZ NAZWĘ GRUPY ZASOBÓW: wprowadź nazwę grupy zasobów azure-sentinel-rg i wybierz pozycję Usuń.