Exercício – Detectar ameaças com a análise do Microsoft Sentinel

  • 12 minutos

Como engenheiro de segurança que trabalha para a Contoso, você observou recentemente que um número significativo de VMs foi excluído de sua assinatura do Azure. Você deseja analisar essa ocorrência e ser alertado quando uma atividade semelhante ocorrer no futuro. Você decide implementar uma regra de análise para criar um incidente quando alguém excluir uma VM existente.

Exercício: detecção de ameaças com a Análise do Microsoft Sentinel

Neste exercício, você explorará uma regra de análise do Microsoft Sentinel e executará as seguintes tarefas:

  • Criar uma regra de incidente de um modelo existente.
  • Invocar um incidente e examinar as ações associadas.
  • Criar uma regra de análise com base em um modelo de regra.

Observação

Para concluir este exercício, você deve ter concluído a Unidade de configuração do exercício na Unidade 2. Caso ainda não a tenha finalizado, faça isso agora, depois prossiga para as etapas do exercício.

Tarefa 1: Criar uma regra de análise pelo assistente específico

  1. No portal do Azure, pesquise e selecione Microsoft Sentinel e, em seguida, escolha o workspace do Microsoft Sentinel criado anteriormente.

  2. No menu Microsoft Sentinel, em Configuração, selecione Análise.

  3. Na barra de cabeçalho em Microsoft Sentinel | Análise, selecione Criar e, em seguida, Regra de consulta agendada.

  4. Na guia Geral, insira os valores de entrada na tabela a seguir e selecione Avançar: definir a lógica da regra

    Nome Exclusão da VM do Azure.
    Descrição Uma detecção simples para alertar quando alguém excluir a máquina virtual do Azure.
    MITRE ATT&CK No menu suspenso MITRE ATT&CK, selecione Impacto.
    Severidade Selecione o menu suspenso Severidade e selecione Médio.
    Status Verifique se o status está Habilitado. É possível selecionar Desabilitado para desabilitar uma regra se ela gerar um número elevado de falsos positivos.

    Captura de tela do Assistente de Regra de Análise – Criar regra.

  5. Na guia Definir lógica de regra, copie e cole o seguinte código na caixa de texto Consulta de regra:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. No painel Simulação de resultados, selecione Testar com os dados atuais e observe os resultados.

    Captura de tela da guia Lógica do Conjunto de Regras de Análise.

  7. Na seção Aprimoramento de alerta, em Mapeamento de Entidade, mapeie as entidades retornadas como parte da regra de consulta e que você pode usar para fazer uma análise detalhada.

  8. Na seção Agendamento de consulta, configure a frequência com que a consulta deve ser executada e a abrangência no histórico de pesquisa. Selecione a consulta a ser executada em cada 5 minutos e aceite o histórico padrão de 5 horas.

  9. Na seção Limite de alerta, especifique o número de resultados positivos que podem ser retornados para a regra antes que um alerta seja gerado. Aceite os valores padrão.

  10. Na seção Agrupamento de eventos, aceite o padrão Agrupar todos os eventos em um alerta único.

  11. Na seção Supressão, defina Interromper a execução da consulta após a criação do alerta como Ativado.

  12. Aceite os valores padrão de 5 horas e selecione Avançar: configuração de incidente (versão prévia).

  13. Na guia Configuração de incidente, verifique se a opção Habilitada está selecionada para a criação de incidentes de alertas disparados por essa regra de análise.

  14. Na seção Agrupamento de alertas, selecione Habilitado para agrupar alertas relacionados em incidentes e verifique se Agrupar alertas em um único incidente se todas as entidades corresponderem (recomendado) está selecionado.

  15. Verifique se Reabrir incidentes de correspondência fechados está Desabilitado e selecione Avançar: Resposta automatizada.

    Captura de Tela de Configurações de Incidentes de Análise.

  16. No painel Resposta automatizada, selecione um guia estratégico para ser executado automaticamente quando o alerta for gerado. Somente os guias estratégicos que contêm o conector de Aplicativo Lógico do Microsoft Sentinel são exibidos.

  17. Selecione Avançar: Análise.

  18. Na página Examinar e Criar, verifique se a validação foi bem-sucedida e selecione Criar.

Tarefa 2: Invocar um incidente e examinar as ações associadas

  1. No portal do Azure, selecione Página Inicial e, na Omnibox de Pesquisa, insira máquinas virtuais e selecione Inserir.
  2. Na página Máquinas virtuais, localize e selecione a máquina virtual simple-vm que você criou no grupo de recursos para esse exercício, depois, na barra de cabeçalho, selecione Excluir. No prompt Excluir máquina virtual, selecione Sim.
  3. No prompt Excluir máquina virtual, selecione OK para excluir a máquina virtual.

Observação

Essa tarefa cria um incidente com base na regra de análise que você criou na Tarefa 1. A criação de incidentes pode levar até 15 minutos. Você pode prosseguir com o restante das etapas desta unidade e observar os resultados posteriormente.

Tarefa 3: Criar uma tarefa de análise com base em um modelo existente

  1. No portal do Azure, selecione Página Inicial e, em seguida, Microsoft Sentinel e o workspace do Microsoft Sentinel criado na Unidade 2 deste módulo.

  2. Abra o Microsoft Sentinel no menu à esquerda em Configuração e selecione Análise.

  3. No painel Análise, selecione a guia Modelos de regra.

  4. No campo de pesquisa, insira Criar incidentes com base no Microsoft Defender para Nuvem e selecione esse modelo de regra.

  5. No painel de detalhes, selecione Criar regra.

  6. No painel Geral, observe o nome da regra de análise e verifique se o Status da regra está Habilitado.

  7. Na seção Lógica de regra de análise, verifique se o serviço de segurança da Microsoft mostra o Microsoft Defender para Nuvem como selecionado.

  8. Na seção Filtrar por gravidade, selecione Personalizar e, no menu suspenso, selecione Alta e Média.

  9. Caso deseje filtros adicionais para os alertas do Microsoft Defender para Nuvem, você poderá adicionar texto em Incluir alertas específicos e Excluir alertas específicos.

  10. Selecione Avançar: resposta automatizada e depois Avançar: revisão.

  11. Na página Examinar e criar, selecione Criar.

Resultados

Depois de concluir este exercício, você terá criado uma regra de incidente com base em um modelo existente e criado uma regra de consulta agendada usando seu código de consulta.

Depois de concluir o exercício, exclua os recursos para evitar custos.

Limpar os recursos

  1. No portal do Azure, pesquise Grupos de recursos.
  2. Selecione azure-sentinel-rg.
  3. Na barra de cabeçalho, selecione Excluir grupo de recursos.
  4. No campo DIGITE O NOME DE GRUPO DE RECURSOS:, insira o nome do grupo de recursos azure-sentinel-rg e selecione Excluir.