Övning – Jaga efter hot med hjälp av Microsoft Sentinel

  • 20 minuter

Som säkerhetstekniker som arbetar för Contoso märkte du nyligen att ett stort antal virtuella datorer har tagits bort från din Azure-prenumeration. Du vill simulera en borttagen virtuell dator, analysera den här förekomsten och förstå de viktigaste elementen i det potentiella hotet i Microsoft Sentinel.

I den här övningen tar du bort en virtuell dator, hanterar hotjaktsfrågor och sparar viktiga resultat med bokmärken.

Kommentar

För att kunna slutföra den här övningen måste du ha slutfört konfigurationsövningen tidigare i modulen. Om du inte har gjort det kan du göra det nu.

Ta bort en virtuell dator

I den här uppgiften tar du bort en virtuell dator för att testa regelidentifiering och incidentskapande.

  1. I Azure-portalen söker du efter och väljer Virtuella datorer.
  2. På sidan Virtuella datorer markerar du kryssrutan bredvid den virtuella datorn märkt simple-vm och väljer sedan Ta bort i verktygsfältet.
  3. Bekräfta borttagningen i fönstret Ta bort resurser och välj sedan Ta bort.

Hantera hotjaktsfrågor i Microsoft Sentinel

I den här uppgiften skapar och hanterar du hotjaktsfrågor för att granska händelser som rör borttagning av den virtuella datorn i föregående uppgift. Det kan ta upp till 5 minuter innan händelsen visas i Microsoft Sentinel när du har tagit bort den virtuella datorn.

  1. I Azure-portalen söker du efter och väljer Microsoft Sentinel och väljer sedan den tidigare skapade Sentinel-arbetsytan.

  2. På sidan Microsoft Sentinel går du till menyraden i avsnittet Hothantering och väljer Jakt.

  3. På sidan Jakt väljer du fliken Frågor . Välj sedan Ny fråga.

  4. På sidan Skapa anpassad fråga anger du följande indata och väljer sedan Skapa.

    • Namn: Ange borttagna virtuella datorer.

    • Beskrivning: Ange en detaljerad beskrivning som hjälper andra säkerhetsanalytiker att förstå vad regeln gör.

    • Anpassad fråga: Ange följande kod.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • Taktik: Välj Effekt.

  5. Skriv Deleted VMs (Borttagna virtuella datorer) i fältet Sökfrågor på fliken Frågor på sidan Jakt.

  6. Välj stjärnikonen bredvid Deleted VMs (Borttagna virtuella datorer) i listan över frågor för att markera frågan som en favorit.

  7. Välj frågan Borttagna virtuella datorer . I informationsfönstret väljer du Visa resultat.

    Kommentar

    Det kan ta upp till 15 minuter innan händelsen för den borttagna virtuella datorn skickas till Microsoft Sentinel. Du kan med jämna mellanrum välja att köra frågan på fliken Resultat om händelsen för borttagning av virtuella datorer inte visas.

  8. På sidan Loggar går du till avsnittet Resultat och väljer händelsen i listan. Den bör ha "action": "Microsoft.Compute/virtualMachines/delete" i kolumnen Auktorisering . Det här är händelsen från Azure-aktivitetsloggen som anger att den virtuella datorn har tagits bort.

  9. Stanna kvar på den här sidan för att utföra nästa uppgift.

Spara viktiga upptäckter med bokmärken

I den här uppgiften använder du bokmärken för att spara händelser och göra mer jakt.

  1. På sidan Loggar i avsnittet Resultat markerar du kryssrutan bredvid den angivna händelsen. Välj sedan Lägg till bokmärke.
  2. I fönstret Lägg till bokmärke väljer du Skapa.
  3. Längst upp på sidan väljer du Microsoft Sentinel på sökvägen.
  4. På sidan Jakt väljer du fliken Bokmärken .
  5. I listan med bokmärken väljer du bokmärket som börjar med Deleted VMs (Borttagna virtuella datorer).
  6. På informationssidan väljer du Undersök.
  7. På sidan Undersökning väljer du Borttagna virtuella datorer och ser information om incidenten.
  8. undersökningssidan väljer du den entitet på grafen som representerar en användare. Det här är ditt användarkonto, vilket anger att du har tagit bort den virtuella datorn.

Resultat

I den här övningen har du tagit bort en virtuell dator, hanterat hotjaktsfrågor och sparat viktiga resultat med bokmärken.

Rensa Azure-resurser

När du har använt De Azure-resurser som du skapade i den här övningen tar du bort dem för att undvika kostnader:

  1. Sök efter Resursgrupper i Azure-portalen.
  2. Välj din resursgrupp.
  3. Välj Ta bort resursgrupp i sidhuvudfältet.
  4. I fältet TYP RESURSGRUPPNAMN anger du namnet på resursgruppen och väljer Ta bort.