Exercício – Criar um guia estratégico do Microsoft Sentinel
O exercício para Criar um guia estratégico do Microsoft Sentinel deste módulo é uma unidade opcional. Contudo, se você quiser fazer esse exercício, acesse uma assinatura do Azure em que você possa criar recursos do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Para implantar os pré-requisitos do exercício, execute as tarefas a seguir.
Observação
Se você optar por executar o exercício deste módulo, lembre-se de que isso pode gerar custos em sua Assinatura do Azure. Para estimar o custo, confira Preços do Microsoft Sentinel.
Tarefa 1: implantar o Microsoft Sentinel
Selecione o seguinte link:
Você precisará entrar no Azure.
Na página implantação personalizada, forneça as seguintes informações:
Rótulo Descrição Subscription Selecione sua assinatura do Azure. Grupo de recursos Selecione Criar e forneça um nome para o grupo de recursos, como azure-sentinel-rg
.Região No menu suspenso, selecione a região na qual deseja implantar o Microsoft Sentinel. Nome do workspace Forneça um nome exclusivo para o workspace do Microsoft Sentinel, como <yourName>-Sentinel
, em que <yourName> representa o nome do workspace escolhido na tarefa anterior.Location Aceite o valor padrão de [resourceGroup().location]. Nome da Simplevm Aceite os valores padrão de simple-vm. Versão do SO Windows da Simplevm Aceite os valores padrão de 2016-Datacenter. Selecione Examinar + criar e, em seguida, quando os dados foram validados, selecione Criar.
Observação
Aguarde até que a implantação seja concluída. A implantação deve levar menos de cinco minutos.
Tarefa 2: verificar os recursos criados
Na página Visão Geral da Implantação, selecione Ir para o grupo de recursos. Os recursos para sua implantação personalizada são exibidos.
Selecione Página Inicial e, em seguida, em Serviços do Azure, procure Grupos de recursos e selecione essa opção.
Selecione azure-sentinel-rg.
Classifique a lista de recursos por Tipo.
O grupo de recursos deve conter os recursos exibidos na tabela a seguir.
Nome Tipo Descrição <yourName>-Sentinel
Espaço de trabalho do Log Analytics Workspace do Log Analytics usado pelo Microsoft Sentinel, em que <yourName> representa o nome do workspace escolhido na tarefa anterior. simple-vmNetworkInterface
Adaptador de rede Adaptador de rede para a VM. SecurityInsights(<yourName>-Sentinel)
Solução Insights de segurança para o Microsoft Sentinel. st1<xxxxx>
Conta de armazenamento Conta de armazenamento usada pela máquina virtual. simple-vm
Máquina virtual VM (máquina virtual) usada na demonstração. vnet1
Rede virtual Rede virtual para a VM.
Observação
Os recursos implantados e as etapas de configuração concluídas neste exercício serão necessários no próximo exercício. Se você pretende concluir o próximo, não exclua os recursos deste exercício.
Tarefa 3: configurar conectores do Microsoft Sentinel
No portal do Azure, pesquise Microsoft Sentinel e selecione o workspace do Microsoft Sentinel criado anteriormente.
No painel Microsoft Sentinel | Visão geral, no menu à esquerda, role para baixo até Gerenciamento de conteúdo e selecione Hub de conteúdo.
Na página Hub de conteúdo, digite Atividade do Azure no formulário Pesquisa e clique na solução Atividade do Azure.
No painel de detalhes da solução Atividade do Azure, clique em Instalar.
Na coluna central Nome do conteúdo, selecione o conector de dados de Atividade do Azure.
Observação
Essa solução instala estes tipos de conteúdo: 12 regras de análise, 14 consultas de busca, uma pasta de trabalho e o conector de dados de atividade do Azure.
Clique em Abrir página do conector.
Na área Instruções/Configuração, role para baixo e, em 2. Conecte suas assinaturas..., selecione Iniciar o assistente de atribuição do Azure Policy.
Na guia Básico do assistente, selecione as reticências ... em Escopo. No painel Escopos, escolha sua assinatura e clique em Selecionar.
Selecione a guia Parâmetros, escolha o workspace do Microsoft Sentinel na lista suspensa Workspace principal do Log Analytics.
Selecione a guia Correção e marque a caixa de seleção Criar uma tarefa de correção. Essa ação aplica a atribuição de política a recursos já existentes do Azure.
Clique no botão Examinar + Criar para examinar a configuração e selecione Criar.
Observação
O conector da Atividade do Azure usa atribuições de política, você precisa ter permissões de uma função que permita criar atribuições de política. Além disso, normalmente, leva 15 minutos para aparecer um status de Conectado. Enquanto o conector é implantado, você pode continuar executando as outras etapas desta unidade e das unidades subsequentes deste módulo.
Tarefa 4: Criar uma regra de análise
No portal do Azure, pesquise e selecione Microsoft Sentinel e, em seguida, escolha o workspace do Microsoft Sentinel criado anteriormente.
Na página do Microsoft Sentinel, na barra de menus da seção Configuração, selecione Análise.
Na página Microsoft Sentinel | Análise, selecione Criar e escolha Regra de Consulta NRT (versão prévia).
Na página Geral, forneça as entradas na seguinte tabela e selecione Avançar: definir lógica de regra >.
Rótulo Descrição Nome Forneça um nome descritivo, como Excluir Máquinas Virtuais, para explicar o tipo de atividade suspeita que o alerta detecta. Descrição Insira uma descrição detalhada que ajude outros analistas de segurança a entender o que a regra faz. Táticas e Técnicas No menu suspenso Táticas e Técnicas, escolha a categoria Acesso Inicial para classificar a regra seguindo as táticas MITRE. Severity Selecione o menu suspenso Gravidade para categorizar o nível de importância do alerta como uma das quatro opções: Alta, Média, Baixa ou Informativa. Status Especifique o status da regra. Por padrão, o status é Habilitada. Selecione Desabilitada para desabilitar a regra se ela gerar um número elevado de falsos positivos. Na página Definir lógica de regra, na seção Consulta da regra, insira a seguinte consulta:
AzureActivity | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE' | where ActivityStatusValue == 'Success' | extend AccountCustomEntity = Caller | extend IPCustomEntity = CallerIpAddress
Aceite os valores padrão para todas as outras configurações e, em seguida, selecione Avançar: Configuração de incidente.
Na guia Configuração de incidente, verifique se a opção Habilitada está selecionada para a criação de incidentes de alertas disparados por essa regra de análise. Em seguida, selecione Avançar: Resposta automatizada.
Na guia Resposta automatizada, você pode selecionar um guia estratégico para ser executado automaticamente quando o alerta for gerado. Somente os guias estratégicos que contêm um conector de Aplicativo Lógico do Microsoft Sentinel são exibidos.
Selecione Avançar: Análise.
Na página Examinar e Criar, verifique se a validação foi aprovada e selecione Criar.
Observação
Saiba mais sobre as regras de análise do Microsoft Sentinel no módulo "Detecção de ameaças com a análise do Microsoft Sentinel".