Exercício - Detete ameaças com a análise do Microsoft Sentinel

  • 20 minutos

O exercício de deteção de ameaças com o Microsoft Sentinel Analytics neste módulo é uma unidade opcional. No entanto, se quiser realizar este exercício, precisará de ter acesso a uma subscrição do Azure na qual possa criar recursos do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Para implementar os pré-requisitos do exercício, execute as seguintes tarefas.

Nota

Se optar por realizar o exercício neste módulo, tenha em atenção que pode incorrer em custos na Subscrição do Azure. Para estimar o custo, consulte Preços do Microsoft Sentinel.

Tarefa 1: Implantar o Microsoft Sentinel usando o modelo ARM

  1. Selecione a seguinte ligação:

    Implante no Azure.

    Ser-lhe-á pedido para iniciar sessão no Azure. O painel Implantação personalizada é exibido.

  2. Na guia Noções básicas, insira os seguintes valores para cada configuração.

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a subscrição do Azure.
    Grupo de recursos Selecione Criar novo e forneça um nome para o grupo de recursos, como azure-sentinel-rg.
    Detalhes da instância
    País/Região Na lista suspensa, selecione o local onde deseja implantar o Microsoft Sentinel.
    Nome do espaço de trabalho Forneça um nome exclusivo para o Microsoft Sentinel Workspace, como <yourName>-sentinel, onde <yourName> representa o nome do espaço de trabalho que você escolheu na tarefa anterior.
    Location Aceite o valor predefinido de [resourceGroup().location].
    Nome da Simplevm Aceite o valor predefinido de simple-vm.
    Versão do SO Windows da Simplevm Aceite o valor predefinido de 2016-Datacenter.

  3. Selecione Rever + criar. Quando a validação for aprovada, selecione Criar.

    Captura de ecrã a mostrar a página Implementação Personalizada.

    Nota

    Aguarde pela conclusão da implementação. A implementação deverá demorar menos de cinco minutos.

Tarefa 2: Verificar os recursos criados

  1. No portal do Azure, procure Grupo de recursos.

  2. Selecione azure-sentinel-rg.

  3. Ordene a lista de recursos por Tipo.

    O grupo de recursos deve incluir os recursos listados na seguinte tabela.

    Nome Tipo Description
    <yourName>-sentinel Área de trabalho do Log Analytics Espaço de trabalho do Log Analytics usado pelo Microsoft Sentinel, onde <yourName> representa o nome do espaço de trabalho que você escolheu na tarefa anterior.
    simple-vmNetworkInterface Interface de Rede A interface de rede da VM.
    SecurityInsights(<yourName>-sentinel) Solução Informações de segurança para o Microsoft Sentinel.
    simple-vm Máquina virtual A máquina virtual (VM) utilizada na demonstração.
    st1<xxxxx> Conta de armazenamento Conta de armazenamento usada pela VM, onde <xxxxx> representa uma cadeia de caracteres aleatória gerada para criar um nome de conta de armazenamento exclusivo.
    vnet1 Rede virtual Rede virtual da VM.

Nota

Os recursos implementados e os passos de configuração concluídos neste exercício serão necessários no próximo exercício. Se você pretendia concluir o próximo exercício, não exclua os recursos deste exercício.

Tarefa 3: Configurar conectores de dados do Microsoft Sentinel

Nesta tarefa, você implanta um conector de Dados do Microsoft Sentinel para detetar a Atividade do Azure.

  1. No portal do Azure, selecione Página Inicial e, em seguida, procure e selecione Microsoft Sentinel.

  2. Na lista de nomes de espaços de trabalho do Sentinel, selecione o espaço de trabalho do Microsoft Sentinel criado na Tarefa 2. O painel Visão geral do espaço de trabalho do Sentinel é exibido.

  3. No painel de menus, em Gerenciamento de conteúdo, selecione Hub de conteúdo. O painel Hub de conteúdo é exibido.

  4. Na caixa Pesquisar, procure e selecione a Solução de Atividade do Azure. No painel de detalhes da Atividade do Azure, selecione Instalar.

  5. Aguarde a conclusão da instalação e selecione Gerenciar.

  6. Na caixa Pesquisar, procure e selecione o conector de Dados de Atividade do Azure.

  7. No painel de detalhes da Atividade do Azure, selecione Abrir página do conector.

  8. No separador Instruções, área Configuração, desloque-se para baixo e em "2. Ligue as suas subscrições..." selecione Iniciar o Assistente de Atribuição de Políticas do> Azure.

  9. Na guia Noções básicas, selecione o botão de reticências (...) em Escopo, selecione sua "assinatura do Azure" na lista suspensa e selecione Selecionar.

  10. Selecione a guia Parâmetros , escolha seu espaço de trabalho seunome-sentinela na lista suspensa do espaço de trabalho do Primary Log Analytics.

  11. Selecione a guia Correção e marque a caixa de seleção Criar uma tarefa de correção. Esta ação aplica a configuração de assinatura para enviar as informações para o espaço de trabalho do Log Analytics.

    Nota

    Para aplicar a política aos recursos existentes, você precisa criar uma tarefa de correção.

  12. Selecione o botão Rever + Criar para rever a configuração.

  13. Selecione Criar para concluir.

  14. Quando a implantação estiver concluída, você verá o status Conectado (barra verde) para o conector de Atividade do Azure no painel Conectores de Configuração/Dados.

Captura de ecrã do conector Microsoft Sentinel.

Nota

O conector para a Atividade do Azure pode levar 15 minutos para mostrar Conectado no Microsoft Sentinel. Pode prosseguir com os restantes passos e com as outras unidades deste módulo.