Exercício - Procurar ameaças usando o Microsoft Sentinel

20 minutos

Como engenheiro de segurança que trabalha para a Contoso, você notou recentemente que um número significativo de máquinas virtuais (VMs) foi excluído de sua assinatura do Azure. Você deseja simular uma VM excluída, analisar essa ocorrência e entender os principais elementos da ameaça potencial no Microsoft Sentinel.

Neste exercício, você exclui uma VM, gerencia consultas de caça a ameaças e salva descobertas importantes com marcadores.

Nota

Para concluir este exercício, precisa de ter concluído o exercício de configuração anterior no módulo. Se ainda não o concluiu, faça-o agora.

Eliminar uma VM

Nesta tarefa, você exclui uma VM para testar a deteção de regras e a criação de incidentes.

No portal do Azure, procure e selecione Máquinas virtuais.
Na página Máquinas virtuais, selecione a caixa de verificação junto à máquina virtual com a etiqueta simple-vm e, em seguida, selecione Eliminar na barra de ferramentas.
No painel Excluir Recursos, confirme a exclusão e selecione Excluir.

Gerenciar consultas de caça a ameaças do Microsoft Sentinel

Nesta tarefa, você cria e gerencia consultas de caça a ameaças para revisar eventos relacionados à exclusão da VM na tarefa anterior. Pode levar até 5 minutos para que o evento apareça no Microsoft Sentinel depois de excluir a VM.

No portal do Azure, procure e selecione Microsoft Sentinel e, em seguida, selecione o espaço de trabalho do Sentinel criado anteriormente.
Na página Microsoft Sentinel, na barra de menus, na seção Gerenciamento de ameaças, selecione Caça.
Na página Caça, selecione a guia Consultas. Em seguida, escolha Nova consulta.
Na página Criar consulta personalizada, forneça as seguintes entradas e selecione Criar.
- Nome: insira VMs excluídas.
- Descrição: insira uma descrição detalhada que ajude outros analistas de segurança a entender o que a regra faz.
- Consulta personalizada: insira o código a seguir.
```
  AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress
```
- Tática: Selecione Impacto.
Na página Investigação, no separador Consultas, introduza VMs Eliminadas no Campo de pesquisa de consultas.
Na lista de consultas, selecione o ícone de estrela junto a VMs Eliminadas para marcar a consulta como favorita.
Selecione a consulta VMs excluídas . No painel de detalhes, selecione Exibir resultados.

Nota

Pode levar até 15 minutos para que o evento VM excluído seja enviado para o Microsoft Sentinel. Você pode optar periodicamente por executar a consulta na guia Resultados se o evento de exclusão de VM não aparecer.
Na página Logs, na seção Resultados, selecione o evento listado. Deve ter "action": "Microsoft.Compute/virtualMachines/delete" na coluna Autorização . Este é o evento do log de atividades do Azure que indica que a VM foi excluída.
Permaneça nesta página para a tarefa seguinte.

Guardar as descobertas principais com marcadores

Nesta tarefa, você usa marcadores para salvar eventos e fazer mais caçadas.

Na página Logs, na seção Resultados, marque a caixa de seleção ao lado do evento listado. Em seguida, selecione Adicionar marcador.
No painel Adicionar marcador, selecione Criar.
Na parte superior da página, selecione Microsoft Sentinel na trilha de navegação.
Na página Caça, selecione a guia Favoritos.
Na lista de marcadores, selecione o marcador que começa com VMs Eliminadas.
Na página de detalhes, selecione Investigar.
Na página Investigação, selecione VMs excluídas e observe os detalhes do incidente.
Na página Investigação, selecione a entidade no gráfico que representa um utilizador. Esta é a sua conta de utilizador, o que indica que eliminou a VM.

Resultados

Neste exercício, você excluiu uma VM, gerenciou consultas de caça a ameaças e salvou descobertas importantes com marcadores.

Limpar recursos do Azure

Depois de terminar de usar os recursos do Azure que você criou neste exercício, exclua-os para evitar incorrer em custos: