Exercício – Buscar ameaças usando o Microsoft Sentinel

20 minutos

Como engenheiro de segurança que trabalha para a Contoso, você observou recentemente que um número significativo de VMs (máquinas virtuais) foi excluído da sua assinatura do Azure. Você deseja simular uma VM excluída, analisar essa ocorrência e entender os principais elementos da possível ameaça no Microsoft Sentinel.

Neste exercício, você excluirá uma VM, gerenciará consultas de busca de ameaças e salvará as principais descobertas com marcadores.

Observação

Para concluir este exercício, você precisa ter concluído o exercício de configuração no início do módulo. Caso contrário, faça isso agora.

Excluir uma VM

Nesta tarefa, você excluirá uma VM para testar a detecção de regras e a criação de incidentes.

No portal do Azure, procure e selecione Máquinas virtuais.
Na página Máquinas virtuais, marque a caixa de seleção ao lado da máquina virtual rotulada simple-vm e selecione Excluir na barra de ferramentas.
No painel Excluir Recursos, confirme a exclusão e selecione Excluir.

Gerenciar as consultas de busca por ameaças do Microsoft Sentinel

Nesta tarefa, você criará e gerenciará consultas de busca por ameaças para examinar eventos relacionados à exclusão da VM na tarefa anterior. Poderá levar até 5 minutos para que o evento seja exibido no Microsoft Sentinel depois que você exclui a VM.

No portal do Azure, pesquise e selecione o Microsoft Sentinel e, em seguida, escolha o workspace do Sentinel criado anteriormente.
Na página do Microsoft Sentinel, na barra de menus da seção Gerenciamento de ameaças, selecione Busca.
Na página Busca, selecione a guia Consultas e selecione Nova Consulta.
Na página Criar consulta personalizada, forneça as entradas a seguir e selecione Criar.
- Nome: insira VMs excluídas.
- Descrição: insira uma descrição detalhada que ajude outros analistas de segurança a entender o que a regra faz.
- Consulta personalizada: insira o código a seguir.
```
  AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress
```
- Táticas: selecione Impacto.
Na página Busca, na guia Consultas, insira VMs excluídas no campo Consultas de pesquisa.
Na lista de consultas, selecione o ícone de estrela ao lado de VMs excluídas para marcar a consulta como favorita.
Escolha a consulta VMs excluídas. No painel de detalhes, selecione Exibir Resultados.

Observação

Pode levar até 15 minutos para que o evento da VM excluída seja enviado ao Microsoft Sentinel. Você poderá optar por executar a consulta periodicamente na guia Resultados se o evento de exclusão da VM não aparecer.
Na página Logs, na seção Resultados, selecione o evento listado. Ele deve ter o valor "action": "Microsoft.Compute/virtualMachines/delete" na coluna Authorization. Esse é o evento do log de atividades do Azure que indica que a VM foi excluída.
Permaneça nesta página para a próxima tarefa.

Salvar as principais descobertas com indicadores

Nesta tarefa, você usará indicadores para salvar eventos e fazer mais buscas.

Na página Logs, na seção Resultados, marque a caixa de seleção ao lado do evento listado. Depois, escolha Adicionar indicador.
No painel Adicionar indicador, selecione Criar.
Na parte superior da página, selecione Microsoft Sentinel na trilha de navegação estrutural.
Na página Busca, selecione a guia Indicadores.
Na lista de indicadores, selecione o indicador que começa com VMs excluídas.
Na página de detalhes, selecione Investigar.
Na página Investigação, escolha VMs excluídas e observe os detalhes do incidente.
Na página Investigação, selecione a entidade no grafo que representa um usuário. Essa é sua conta de usuário, que indica que você excluiu a VM.

Resultados

Neste exercício, você excluiu uma VM, gerenciou consultas de busca por ameaças e salvou as principais descobertas com indicadores.

Limpar recursos do Azure

Depois de terminar de usar os recursos do Azure que você criou neste exercício, exclua-os para evitar custos: