Упражнение. Создание сборника схем Microsoft Sentinel

  • 15 мин

Упражнение "Создание сборника схем Microsoft Sentinel" в этом модуле является необязательным. Для его выполнения требуется доступ к подписке Azure, в которой можно создавать ресурсы Azure. Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Чтобы развернуть необходимые компоненты для упражнения, выполните следующие задачи.

Примечание.

Если вы решили выполнить упражнение в этом модуле, имейте в виду, что в подписке Azure за это может взиматься плата. Чтобы оценить затраты, ознакомьтесь с ценами на Microsoft Sentinel.

Задача 1. Развертывание Microsoft Sentinel

  1. Выберите следующую ссылку:

    Deploy To Azure.

    Вам будет предложено войти в Azure.

  2. На странице Настраиваемое развертывание укажите следующие сведения.

    Label Description
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите "Создать" и укажите имя новой группы ресурсов, например azure-sentinel-rg.
    Регион В раскрывающемся меню выберите регион для развертывания Microsoft Sentinel.
    имя рабочей области. Укажите уникальное имя для рабочей области Microsoft Sentinel, например <yourName>-Sentinel, где <yourName> — имя рабочей области, выбранное в предыдущей задаче.
    Местонахождение Оставьте значение по умолчанию [resourceGroup().location].
    Имя Simplevm Оставьте значение по умолчанию simple-vm.
    Версия ОС Windows в simplevm Оставьте значение по умолчанию 2016-Datacenter.

    Screenshot of the custom deployment inputs for a Microsoft template.

  3. Нажмите Проверка и создание, а после завершения проверки данных нажмите Создать.

    Примечание.

    Дождитесь завершения развертывания. Развертывание займет менее пяти минут.

    Screenshot of the successful custom deployment.

Задача 2. Проверка созданных ресурсов

  1. На странице обзора развертывания выберите Перейти к группе ресурсов. Появятся ресурсы для вашего пользовательского развертывания.

  2. Выберите Главная, а затем в разделе Службы Azure выберите Группы ресурсов.

  3. Выберите azure-sentinel-rg.

  4. Отсортируйте список ресурсов по типу.

  5. Группа ресурсов должна содержать ресурсы, указанные в следующей таблице.

    Имя. Тип Описание
    <yourName>-Sentinel Рабочая область Log Analytics Рабочая область Log Analytics, используемая Microsoft Sentinel, где <yourName> — имя рабочей области, выбранное в предыдущей задаче.
    simple-vmNetworkInterface Сетевой интерфейс Сетевой интерфейс для виртуальной машины.
    SecurityInsights(<yourName>-Sentinel) Решение Аналитика безопасности для Microsoft Sentinel.
    st1<xxxxx> Storage account Учетная запись хранения, используемая виртуальной машиной.
    simple-vm Виртуальная машина Виртуальная машина, используемая в демонстрации.
    vnet1 Виртуальная сеть Виртуальная сеть для виртуальной машины.

Примечание.

Чтобы перейти к следующему упражнению, нужно выполнить шаги по развертыванию ресурсов и настройке из этого упражнения. Если вы планируете выполнить следующее упражнение, не удаляйте ресурсы, используемые в этом упражнении.

Задача 3. Настройка соединителей Microsoft Sentinel

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите созданную ранее рабочую область Microsoft Sentinel.

  2. В Microsoft Sentinel | Область обзора в меню слева прокрутите вниз до раздела "Управление содержимым" и выберите Центр контента.

  3. На странице "Центр контента" введите действие Azure в форму поиска и выберите решение "Действие Azure".

  4. В области сведений о решении действий Azure выберите "Установить".

  5. В столбце имени центрального содержимого выберите соединитель данных действий Azure.

    Примечание.

    Это решение устанавливает следующие типы контента: 12 аналитических правил, 14 запросов охоты, 1 книги и соединителя данных действий Azure.

  6. Выберите Открыть страницу соединителя.

  7. В области инструкций и конфигурации прокрутите вниз и до 2. Подключение подписки... Выберите мастер запуска Политика Azure назначения.

  8. На вкладке "Основы" мастера выберите многоточие ... в разделе "Область". На панели "Области" выберите подписку и нажмите кнопку "Выбрать".

  9. Выберите вкладку "Параметры" и выберите рабочую область Microsoft Sentinel в раскрывающемся списке основной рабочей области Log Analytics.

  10. Перейдите на вкладку "Исправление" и выберите команду "Создать задачу исправления" проверка box. Это действие применяет назначение политики к уже существующим ресурсам Azure.

  11. Нажмите кнопку "Просмотр и создание ", чтобы просмотреть конфигурацию, а затем нажмите кнопку "Создать".

    Примечание.

    Соединитель для действия Azure использует назначения политик, необходимо иметь разрешения роли, позволяющие создавать назначения политик. И, как правило, требуется 15 минут, чтобы отобразить состояние Подключение. Во время развертывания соединителя можно продолжить выполнение остальных шагов в этом уроке и последующих единицах в этом модуле.

    Screenshot that displays the Microsoft Sentinel Azure Activity Content Hub solution.

Задача 4. Создание правила аналитики

  1. На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите ранее созданную рабочую область Microsoft Sentinel.

  2. На странице Microsoft Sentinel в строке меню в разделе Конфигурация выберите Аналитика.

  3. В Microsoft Sentinel | Страница "Аналитика" выберите "Создать", а затем выберите правило запросов NRT (предварительная версия).>

  4. На странице Общие укажите входные данные в следующей таблице, а затем выберите Далее: Задать логику правила >.

    Label Описание
    Имя. Укажите понятное имя, например Удаление виртуальных машин, чтобы указать, какой тип подозрительных действий выявляет оповещение.
    Description Введите подробное описание, которое помогает другим аналитикам безопасности понять, что делает правило.
    Тактика и методы В раскрывающемся меню "Тактика и методы" выберите категорию начального доступа, чтобы классифицировать правило после тактики MITRE.
    Важность Выберите раскрывающееся меню "Серьезность", чтобы классифицировать уровень важности оповещения как один из четырех вариантов: "Высокий", "Средний", "Низкий" или "Информационный".
    Состояние Укажите состояние правила. По умолчанию состояние включено . Можно выбрать "Отключено" , чтобы отключить правило, если оно создает большое количество ложных срабатываний.

  5. На странице Настройка логики правила в разделе Запрос правила введите следующий запрос:

      AzureActivity
  | where OperationNameValue == 'MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE'
  | where ActivityStatusValue == 'Success'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

  6. Примите значения по умолчанию для всех остальных параметров, а затем нажмите кнопку "Далее: параметр инцидента".

  7. На вкладке "Параметр инцидента" убедитесь, что включена возможность создания инцидентов из оповещений, активированных этим правилом аналитики. Затем нажмите кнопку "Далее" — "Автоматический ответ".

  8. На вкладке Автоматический ответ можно выбрать сборник схем, который будет автоматически запускаться при создании оповещения. Отображаются только сборники схем, содержащие соединитель Microsoft Sentinel Logic App.

  9. Выберите Next: Review (Далее. Проверка).

  10. На странице Проверка и создание убедитесь, что проверка прошла успешно, а затем нажмите кнопку Создать.

Примечание.

Дополнительные сведения о правилах для аналитики Microsoft Sentinel см. в модуле "Обнаружение угроз с помощью Аналитики Microsoft Sentinel".