Упражнение. Создание сборника схем Microsoft Sentinel
В качестве аналитика по операциям безопасности, работающего в Компании Contoso, вы недавно заметили, что при удалении виртуальной машины создается значительное количество оповещений. Вы хотите проанализировать подобные события в будущем и уменьшить количество предупреждений, созданных для вхождений ложноположительных результатов.
Упражнение. Реагирование на угрозы с помощью сборников схем Microsoft Sentinel
Вы решили реализовать сборник схем Microsoft Sentinel для автоматизации ответов на инцидент.
В этом упражнении вы изучите сборники схем Microsoft Sentinel, выполнив следующие задачи:
Настройте разрешения сборника схем Microsoft Sentinel.
Создание сборника схем для автоматизации действия реагирования на инциденты.
Протестируйте сборник схем, вызвав инцидент.
Примечание.
Чтобы выполнить это упражнение, необходимо выполнить упражнение. При необходимости сделайте это, а затем продолжайте работу с упражнением.
Задача 1. Настройка разрешений сборника схем Microsoft Sentinel
На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите созданную ранее рабочую область Microsoft Sentinel.
На странице Microsoft Sentinel в строке меню в разделе "Конфигурация" выберите "Параметры".
На странице "Параметры" выберите вкладку "Параметры" и прокрутите вниз и разверните разрешения сборника схем
В разделе "Разрешения сборника схем" нажмите кнопку "Настройка разрешений".
На странице "Управление разрешениями" на вкладке "Обзор" выберите группу ресурсов, к которой принадлежит рабочая область Microsoft Sentinel. Выберите Применить.
Появится сообщение "Готовое добавление разрешений ".
Задача 2. Работа с сборниками схем Microsoft Sentinel
На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите созданную ранее рабочую область Microsoft Sentinel.
На странице Microsoft Sentinel в строке меню в разделе "Конфигурация" выберите "Автоматизация".
В верхнем меню выберите "Создать и сборник схем" с триггером инцидента.
На странице "Создание сборников схем" на вкладке "Основы" укажите следующие параметры:
Параметры Value Отток подписок Выберите свою подписку Azure. Группа ресурсов Выберите группу ресурсов службы Microsoft Sentinel. Имя сборника схем ClosingIncident (можно выбрать любое имя) Область/регион Выберите расположение, в котором находится Microsoft Sentinel. Рабочая область Log Analytics Не включать журналы диагностики Нажмите кнопку "Далее:Подключения" >, а затем нажмите кнопку "Далее: проверка и создание" >
Выберите " Создать" и перейдите к конструктору
Примечание.
Дождитесь завершения развертывания. Развертывание займет менее 1 минуты. Если он продолжает работать, может потребоваться обновить страницу.
В области конструктора Logic Apps отобразится инцидент Microsoft Sentinel (предварительная версия).
На странице инцидента Microsoft Sentinel (предварительная версия) выберите ссылку "Изменить подключение".
На странице "Подключения" выберите "Добавить новое".
На странице Microsoft Sentinel выберите вход.
На странице входа на страницу учетной записи укажите учетные данные для подписки Azure.
На странице инцидента Microsoft Sentinel (предварительная версия) вы увидите, что вы подключены к вашей учетной записи. Выберите + Новый шаг.
В окне "Выбор операции" в поле поиска введите Microsoft Sentinel.
Выберите значок Microsoft Sentinel.
На вкладке "Действия" найдите и выберите " Получить инцидент " (предварительная версия)".
В окне Get Incident (Preview) (Получение инцидента (предварительная версия) выберите поле идентификатора ARM инцидента. Откроется окно "Добавить динамическое содержимое".
Совет
При выборе поля открывается новое окно, чтобы помочь заполнить эти поля динамическим содержимым.
На вкладке динамического содержимого в поле поиска можно начать ввод Arm инцидента, а затем выбрать запись из списка, как показано на следующем снимке экрана.
Выберите + Новый шаг.
В окне "Выбор операции" в поле поиска введите Microsoft Sentinel.
Совет
На вкладке "Для вас" последние выборы должны отображать значок Microsoft Sentinel.
Выберите значок Microsoft Sentinel.
На вкладке "Действия" найдите и выберите "Обновить инцидент ( предварительная версия)".
В окне "Обновление инцидента (предварительная версия) укажите следующие входные данные:
Настройки Значения Указание идентификатора ARM инцидента Идентификатор ARM инцидента Указание идентификатора объекта владельца / имени участника-пользователя Идентификатор объекта владельца инцидента Указание владельца assign/Unassign В раскрывающемся меню выберите "Отменить назначение" Важность Уровень серьезности инцидентов по умолчанию можно оставить Указание состояния В раскрывающемся меню выберите Закрыто. Указание причины классификации В раскрывающемся меню выберите запись, например "Неопределенная", или выберите "Ввести пользовательское значение" и выберите динамический контент IncidentClassification. Текст причины закрытия Напишите описательный текст. 
Выберите поле идентификатора ARM инцидента. Откроется окно "Добавление динамического содержимого " в поле поиска, вы можете начать вводить Arm инцидента. Выберите идентификатор ARM инцидента и выберите поле "Идентификатор объекта владельца" или "Имя участника-пользователя ".
Откроется окно "Добавить динамическое содержимое ", в поле поиска можно начать ввод владельца инцидента. Выберите идентификатор объекта владельца инцидента, а затем заполните оставшиеся поля с помощью записей таблицы.
По завершении нажмите кнопку "Сохранить " в строке меню конструктора Logic Apps, а затем закройте конструктор Logic Apps.
Задача 3. Вызов инцидента и проверка связанных действий
В портал Azure в текстовом поле "Поиск ресурсов, служб и документов" введите виртуальные машины и нажмите клавишу ВВОД.
На странице Виртуальные машины найдите и выберите виртуальную машину simple-vm, а затем на панели заголовка выберите Удалить.
На странице "Удалить простую виртуальную машину" выберите "Удалить" с виртуальной машиной для диска ОС и сетевого интерфейса.
Выберите поле, чтобы подтвердить , что я прочитал и понял, что эта виртуальная машина, а также все выбранные ресурсы будут удалены, а затем выберите "Удалить ", чтобы удалить виртуальную машину.
Примечание.
Эта задача создает инцидент на основе правила аналитики, созданного ранее на уроке настройки упражнения. Создание инцидента может занять до 15 минут. Дождитесь ее завершения, прежде чем перейти к следующему шагу.
Задача 4. Назначение сборника схем существующему инциденту
На портале Azure найдите и выберите Microsoft Sentinel, а затем выберите ранее созданную рабочую область Microsoft Sentinel.
На странице Microsoft Sentinel | Обзор в строке меню, в разделе Управление угрозами выберите Инциденты.
Примечание.
Как упоминалось в предыдущем примечание, создание инцидента может занять до 15 минут. Обновите страницу, пока инцидент не появится на странице Инциденты.
В Microsoft Sentinel | Страница "Инциденты" выберите инцидент, созданный на основе удаления виртуальной машины.
В области сведений выберите "Действия " и "Запустить сборник схем " (предварительная версия)".
На странице "Запуск схем" на странице "Сборники схем" на вкладке "Сборники схем" вы увидите сборник схем "ЗакрытьIncident", выберите "Выполнить".
Убедитесь, что получено сообщение Сборник схем запущен.
Закройте сборник схем run на странице инцидента, чтобы вернуться в Microsoft Sentinel | Страница инцидентов.
На странице Microsoft Sentinel | Инциденты в строке заголовка выберите Обновить. Вы заметите, что инцидент исчезает из области. В меню Состояние выберите Закрытые, а затем выберите ОК.
Примечание.
Отображение предупреждений как закрытых может занять до 5 минут.
Убедитесь, что инцидент снова отображается и обратите внимание на столбец состояния , чтобы убедиться, что он закрыт.
Очистка ресурсов
На портале Azure найдите Группы ресурсов.
Выберите azure-sentinel-rg.
На панели заголовка щелкните Удалить группу ресурсов.
В поле Введите имя группы ресурсов: введите имя группы ресурсов azure-sentinel-rg и выберите Удалить.