Exercício – Investigar um incidente

  • 20 minutos

Como engenheiro de segurança da Contoso, você precisa analisar as exclusões de VMs (máquinas virtuais) da assinatura do Azure da Contoso e receber alertas quando uma atividade semelhante ocorrer no futuro. Você decide implementar uma regra de análise para criar um incidente quando alguém excluir uma VM existente. Você poderá investigar o incidente para determinar os detalhes dele e fechá-lo quando terminar.

Neste exercício, você criará uma regra de análise do Microsoft Sentinel para detectar quando uma VM é excluída. Em seguida, você vai excluir a VM criada no início deste módulo, bem como investigar e resolver o incidente que a regra criou.

Para concluir este exercício, verifique se você concluiu o exercício de instalação no início do módulo e se o conector de Atividade do Azure agora mostra o status Conectado.

Criar uma regra analítica por meio do assistente

Crie uma regra de análise que criará um incidente quando uma VM for excluída da assinatura do Azure da Contoso.

  1. No portal do Azure, pesquise e selecione Microsoft Sentinel e escolha o workspace do Microsoft Sentinel criado anteriormente.
  2. Na página do Microsoft Sentinel, selecione Análise em Configuração no menu à esquerda.
  3. Na página Análise, selecione Criar>Regra de consulta agendada.

Guia Geral

  1. Na guia Geral do assistente, insira as informações a seguir.

    • Nome: insira VMs excluídas.
    • Descrição: insira uma descrição para ajudar outras pessoas a entenderem o que a regra faz.
    • Táticas e técnicas: selecione Acesso Inicial.
    • Gravidade: selecione Média.
    • Status: selecione Habilitado.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. Selecione Avançar: Definir lógica da regra.

Guia Definir lógica de regra

  1. Na página Definir lógica da regra, na seção Consulta da regra, insira a seguinte consulta:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. Role para baixo a fim de exibir ou definir as seguintes opções de configuração:

    • Expanda a seção Mapeamento de entidade para definir as entidades que são retornadas como parte da regra de consulta, que você pode usa para análises aprofundadas. Neste exercício, use os valores padrão.
    • Na seção Agendamento de consulta, configure a frequência com que a consulta deve ser executada e o período do histórico a ser observado. Defina Executar consulta a cada como 5 minutos.
    • Na seção Limite de alerta, você pode especificar o número de resultados positivos que poderão ser retornados para a regra até que um alerta seja gerado. Use o valor padrão: é superior a 0.
    • Na seção Agrupamento de eventos, aceite a seleção padrão Agrupar todos os eventos em um alerta único.
    • Na seção Supressão, em Parar de executar a consulta depois que o alerta for gerado, deixe o padrão Desativado.
    • Na seção Simulação de resultados, selecione Testar com os dados atuais e observe os resultados.

  3. Selecione Avançar: Configurações de incidente.

Guia Configurações de incidentes

  1. Na página Configurações de incidente, verifique se a opção Criar incidentes de alertas acionados por esta regra de análise está definida como Habilitada.
  2. Na seção Agrupamento de alertas, selecione a opção Habilitado para agrupar alertas relacionados em incidentes. Verifique se a opção Agrupar alertas em um incidente único caso todas as entidades sejam correspondentes (recomendado) está selecionada.
  3. Verifique se a opção Reabrir incidentes correspondentes fechados está Desabilitada.
  4. Selecione Avançar: Resposta automatizada.

Examinar e criar

  1. Selecione Avançar: Análise.
  2. Na guia Examinar e criar, quando a validação for bem-sucedida, selecione Criar.

Excluir uma VM

Para testar a detecção de regras e a criação de incidentes, exclua a VM que você criou durante a instalação.

  1. No portal do Azure, procure e selecione Máquinas virtuais.
  2. Na página Máquinas virtuais, marque a caixa de seleção ao lado de simple-vm e depois selecione Excluir na barra de ferramentas.
  3. No painel Excluir Recursos, insira excluir no campo Inserir "excluir" para confirmar a exclusão e selecione Excluir.
  4. Selecione Delete novamente.

Aguarde alguns minutos para que a operação seja concluída antes de continuar na próxima etapa.

Investigar o incidente

Nesta etapa, você investiga o incidente que o Microsoft Sentinel criou quando excluiu a VM. Pode demorar até 30 minutos para que o incidente seja exibido no Microsoft Sentinel.

  1. No portal do Azure, pesquise e selecione Microsoft Sentinel e escolha o workspace do Microsoft Sentinel.
  2. Na página do Microsoft Sentinel, selecione Incidentes em Gerenciamento de ameaças na navegação à esquerda.
  3. Na página Incidentes, selecione o incidente intitulado VMs excluídas.
  4. No painel de detalhes VMs excluídas à direita, observe os detalhes do incidente, incluindo Proprietário, Status e Severidade. Aplique as seguintes atualizações:
    • Selecione Proprietário>Atribuir a mim>Aplicar.
    • Selecione Status>Ativo>Aplicar.
  5. Selecione Exibir detalhes completos.
  6. No painel à esquerda da página Incidente, observe os totais de Eventos, Alertas e Indicadores na seção Evidência.
  7. Na parte inferior do painel, clique em Investigar.
  8. Na página Investigação, selecione os seguintes itens no grafo de investigação:
    • O item de incidente VMs excluídas no centro da página mostrando os detalhes do incidente.
    • A entidade de usuário que representa sua conta de usuário, indicando que você excluiu a VM.
  9. Na parte superior da página Investigar , selecione Status>Fechado.
  10. No menu suspenso Selecionar classificação, selecione Positivo Benigno – Suspeito, mas esperado.
  11. No campo Comentário, insira Teste das etapas de criação e resolução de incidentes e selecione Aplicar.
  12. Selecione os ícones de fechamento para fechar as páginas Investigar e Incidente.
  13. Na página Incidentes, observe se as opções Incidentes abertos e Incidentes ativos agora têm valores iguais a 0.

Você criou com êxito uma regra de análise do Microsoft Sentinel, excluiu uma VM para criar um incidente e investigou e fechou o incidente que a regra criou.

Limpar os recursos

Exclua os recursos do Azure criados neste módulo ao terminar de usá-los para evitar a geração de custos. Execute as seguintes etapas para excluir os recursos:

  1. No portal do Azure, pesquise Grupos de recursos.
  2. Na página Grupos de recursos, selecione azure-sentinel-rg.
  3. Na página azure-sentinel-rg, selecione Excluir grupo de recursos na barra de menus superior.
  4. Na página Excluir um grupo de recursos, em Inserir nome do grupo de recursos para confirmar a exclusão, insira azure-sentinel-rg.
  5. Selecione Excluir e, em seguida, Sim.