Упражнение. Обнаружение угроз с помощью Аналитики Microsoft Sentinel

  • 20 мин

Обнаружение угроз с помощью Аналитики Microsoft Sentinel — необязательное упражнение. Для его выполнения требуется доступ к подписке Azure, в которой можно создавать ресурсы Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Чтобы развернуть необходимые компоненты для упражнения, выполните следующие задачи.

Примечание.

Если вы решили выполнить упражнение в этом модуле, имейте в виду, что в подписке Azure за это может взиматься плата. Чтобы оценить затраты, ознакомьтесь с ценами на Microsoft Sentinel.

Задача 1. Развертывание Microsoft Sentinel с помощью шаблона ARM

  1. Выберите следующую ссылку:

    Развертывание в Azure.

    Вам будет предложено войти в Azure. Откроется панель Настраиваемое развертывание.

  2. На вкладке Основные сведения введите указанные ниже значения для каждого параметра.

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Создать и укажите имя новой группы ресурсов, например azure-sentinel-rg.
    Сведения об экземпляре
    Область/регион В раскрывающемся списке выберите расположение для развертывания Microsoft Sentinel.
    Имя рабочей области Укажите уникальное имя для рабочей области Microsoft Sentinel, например <yourName>-sentinel, где <yourName> — имя рабочей области, выбранное в предыдущей задаче.
    Расположение Оставьте значение по умолчанию [resourceGroup().location].
    Имя Simplevm Оставьте значение по умолчанию simple-vm.
    Версия ОС Windows в simplevm Оставьте значение по умолчанию 2016-Datacenter.

  3. Перейдите на вкладку Просмотр и создание. После завершения проверки нажмите кнопку Создать.

    Снимок экрана: страница пользовательского развертывания.

    Примечание.

    Дождитесь завершения развертывания. Развертывание займет менее пяти минут.

Задача 2. Проверка созданных ресурсов

  1. На портале Azure найдите Группы ресурсов.

  2. Выберите azure-sentinel-rg.

  3. Отсортируйте список ресурсов по типу.

    Группа ресурсов должна содержать ресурсы, указанные в следующей таблице.

    Имя. Тип Описание
    <yourName>-sentinel Рабочая область Log Analytics Рабочая область Log Analytics, используемая Microsoft Sentinel, где <yourName> — имя рабочей области, выбранное в предыдущей задаче.
    simple-vmNetworkInterface Сетевой интерфейс Сетевой интерфейс для виртуальной машины.
    SecurityInsights(<yourName>-sentinel) Решение Аналитика безопасности для Microsoft Sentinel.
    simple-vm Виртуальная машина Виртуальная машина, используемая в демонстрации.
    st1<xxxxx> Storage account Учетная запись хранения, используемая виртуальной машиной, где <xxxxx> — это случайная строка, сгенерированная для создания уникального имени учетной записи хранения.
    vnet1 Виртуальная сеть Виртуальная сеть для виртуальной машины.

Примечание.

Чтобы перейти к следующему упражнению, нужно выполнить шаги по развертыванию ресурсов и настройке из этого упражнения. Если вы планируете выполнить следующее упражнение, не удаляйте ресурсы, используемые в этом упражнении.

Задача 3. Настройка соединителей данных Microsoft Sentinel

В этой задаче вы развернете соединитель данных Microsoft Sentinel для обнаружения действий Azure.

  1. На портале Azure выберите Домашняя страница, а затем найдите и выберите Microsoft Sentinel.

  2. В списке имен рабочих областей Sentinel выберите рабочее пространство Microsoft Sentinel, созданное в задаче 2. Откроется панель Обзор для вашей рабочей области Sentinel.

  3. В области меню в разделе "Управление содержимым" выберите центр контента. Откроется область концентратора содержимого.

  4. В поле поиска найдите и выберите решение для действий Azure. В области сведений о действии Azure выберите "Установить".

  5. Дождитесь завершения установки и нажмите кнопку "Управление".

  6. В поле поиска найдите и выберите соединитель данных действий Azure.

  7. На панели сведений о действиях Azure выберите страницу "Открыть соединитель".

  8. На вкладке "Инструкции" область конфигурации прокрутите вниз и в разделе "2". Подключение подписок..." Выберите мастер >запуска Политика Azure назначения.

  9. На вкладке "Основные сведения" нажмите кнопку с многоточием (...) в области и выберите свою подписку Azure в раскрывающемся списке и нажмите кнопку "Выбрать".

  10. Выберите вкладку "Параметры" , выберите рабочую область "Имя-sentinel " в раскрывающемся списке основной рабочей области Log Analytics.

  11. Выберите вкладку "Исправление " и установите флажок "Создать задачу исправления". Это действие применяет конфигурацию подписки для отправки сведений в рабочую область Log Analytics.

    Примечание.

    Чтобы применить политику к существующим ресурсам, необходимо создать задачу исправления.

  12. Нажмите кнопку "Просмотр и создание", чтобы проверить конфигурацию.

  13. Нажмите кнопку "Создать ", чтобы завершить работу.

  14. После завершения развертывания вы увидите состояние "Подключено " (зеленая панель) для соединителя действий Azure на панели соединителей конфигурации и данных.

Снимок экрана: соединитель Microsoft Sentinel.

Примечание.

Соединитель для действия Azure может занять 15 минут, чтобы отобразить подключение в Microsoft Sentinel. Вы можете выполнять другие шаги, описанные в уроках этого модуля.