Упражнение. Охота на угрозы с помощью Microsoft Sentinel

  • 20 мин

Как специалист по безопасности, работающий в компании Contoso, вы недавно заметили, что из подписки Azure было удалено значительное количество виртуальных машин. Вам нужно имитировать удаленную виртуальную машину, проанализировать это событие и изучить ключевые элементы потенциальной угрозы в Microsoft Sentinel.

В этом упражнении вы удаляете виртуальную машину, управляете запросами на поиск угроз и сохраняете ключевые выводы с закладками.

Примечание.

Для выполнения этого упражнения необходимо выполнить упражнение по настройке, описанное ранее в этом модуле. Если вы еще не выполнили это упражнение, сделайте это сейчас.

Удаление виртуальной машины

В этой задаче вы удалите виртуальную машину для тестирования обнаружения правил и создания инцидентов.

  1. На портале Azure найдите и выберите Виртуальные машины.
  2. На странице Виртуальные машины установите флажок рядом с виртуальной машиной simple-vm, а затем на панели инструментов выберите Удалить.
  3. В области "Удалить ресурсы" подтвердите удаление и нажмите кнопку "Удалить".

Управление запросами для охоты на угрозы в Microsoft Sentinel

В этой задаче создаются запросы на поиск угроз и управление ими для просмотра событий, связанных с удалением виртуальной машины в предыдущей задаче. После удаления виртуальной машины событие может появиться в Microsoft Sentinel через 5 минут.

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите созданную ранее рабочую область Sentinel.

  2. На странице Microsoft Sentinel в строке меню, в разделе Управление угрозами выберите Охота.

  3. На странице "Охота" выберите вкладку "Запросы". Затем нажмите кнопку "Создать запрос".

  4. На странице Создание пользовательского запроса укажите приведенные ниже входные данные, а затем нажмите кнопку Создать.

    • Имя. Введите удаленные виртуальные машины.

    • Описание. Введите подробное описание, которое помогает другим аналитикам безопасности понять, что такое правило.

    • Пользовательский запрос: введите следующий код.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • Тактика: выбор влияния.

  5. На странице Охота на вкладке Запросы введите Удаленные виртуальные машины в поле поиска запросов.

  6. В списке запросов щелкните значок звездочки рядом с Удаленные виртуальные машины, чтобы добавить запрос в избранное.

  7. Выберите запрос Удаленные виртуальные машины. В области сведений выберите "Просмотреть результаты".

    Примечание.

    Отправка события об удалении виртуальной машины в Microsoft Sentinel может занять до 15 минут. Вы можете периодически запускать запрос на вкладке "Результаты ", если событие удаления виртуальной машины не отображается.

  8. На странице Журналы в разделе Результаты выберите событие в списке. Он должен быть в "action": "Microsoft.Compute/virtualMachines/delete" столбце авторизации . Это событие из журнала действий Azure, которое указывает на то, что виртуальная машина была удалена.

  9. Оставайтесь на этой странице для выполнения следующей задачи.

Сохранение основных результатов в закладках

В этой задаче вы используете закладки для сохранения событий и выполнения дополнительной охоты.

  1. На странице Журналы в разделе Результаты установите флажок рядом с событием в списке. Нажмите Добавить закладку.
  2. В области Добавить закладку нажмите Создать.
  3. В верхней части страницы выберите в цепочке навигации Microsoft Sentinel.
  4. На странице "Охота" выберите вкладку "Закладки".
  5. В списке закладок выберите закладку, которая начинается с Удаленные виртуальные машины.
  6. На странице сведений выберите Исследовать.
  7. На странице Исследование выберите Удаленные виртуальные машины и просмотрите сведения об инциденте.
  8. На странице Исследование выберите сущность на графе, которая представляет пользователя. Это ваша учетная запись пользователя, которая указывает, что виртуальная машина удалена вами.

Результаты

В этом упражнении вы удалили виртуальную машину, настроили запросы для поиска угроз и сохранили основные результаты в закладках.

Очистка ресурсов Azure

После завершения использования ресурсов Azure, созданных в этом упражнении, удалите их, чтобы избежать затрат:

  1. На портале Azure найдите Группы ресурсов.
  2. Выберите группу ресурсов.
  3. В строке заголовка выберите Удалить группу ресурсов.
  4. В поле "ТИП ИМЯ ГРУППЫ РЕСУРСОВ" введите имя группы ресурсов и нажмите кнопку "Удалить".