练习 - 使用 Microsoft Sentinel 分析来检测威胁

  • 12 分钟

作为 Contoso 的安全工程师,你最近注意到 Azure 订阅中有大量 VM 被删除。 你想分析这种情况并在以后发生类似活动时收到警报。 你决定实现分析规则,以在某人删除现有 VM 时创建事件。

练习:使用 Microsoft Sentinel 分析进行威胁检测

在本练习中,你将探索 Microsoft Sentinel 分析规则并执行以下任务:

  • 基于现有模板创建事件规则。
  • 调用事件并查看关联操作。
  • 基于规则模板创建分析规则。

备注

若要完成本练习,必须已完成第 2 单元中的“练习设置单元”。 如果尚未这样做,请立即完成此操作,然后继续执行练习步骤。

任务 1:通过分析规则向导创建分析规则

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择之前创建的 Microsoft Sentinel 工作区。

  2. 在“Microsoft Sentinel”菜单上,选择“配置”下的“分析”。

  3. 在“Microsoft Sentinel | 分析”标题栏上,选择“创建”,然后选择“计划的查询规则”。

  4. 在“常规”选项卡上,在下表中输入输入值,然后选择“下一步: 设置规则逻辑”

    名称 Azure VM 删除。
    说明 一个在用户删除 Azure 虚拟机时发出警报的简单检测。
    MITRE ATT&CK 从“MITRE ATT&CK”下拉菜单中,选择“影响”
    Severity 选择“严重性”下拉菜单,然后选择“中等”。
    状态 确保状态为“已启用”。 如果要在规则生成大量误报时禁用规则,则可以选择“已禁用”来禁用规则。

    分析规则向导 - 创建新规则屏幕截图。

  5. 在“设置规则逻辑”选项卡上,将以下代码复制并粘贴到“规则查询”文本框中:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == "Success"

  6. 在“结果模拟”窗格中,选择”使用当前数据进行测试”,然后查看结果。

    “分析规则集逻辑”选项卡的屏幕截图。

  7. 在“实体映射”的“警报增强”部分中,映射作为查询规则一部分返回以及可用于执行深入分析的实体。

  8. 在“查询计划”部分,配置查询应运行的频率以及要搜索的历史记录的时间。 选择要每隔 5 分钟运行的查询,并接受 5 小时的默认历史记录。

  9. 在“警报阈值”部分,指定在生成警报之前可以为规则返回的正向结果的数量。 接受默认值。

  10. 在“事件分组”部分中,接受默认选择“将所有事件分组到一个警报”。

  11. 在“抑制”部分,将“在生成警报后停止运行查询”设置为“打开”。

  12. 接受 5 小时的默认值,然后选择“下一步: 事件设置(预览版)”。

  13. 在“事件设置”选项卡中,确保为“由此分析规则触发的警报创建事件”选择了“已启用”

  14. 在“警报分组”部分选择“启用”,以将相关警报分组到事件中,并确保选中“所有实体都匹配时,将警报分组到一个事件中(建议)”。

  15. 确保“重新打开已关闭的匹配事件”为“禁用”,然后选择“下一步:自动响应

    Analytics 事件设置屏幕截图。

  16. 在“自动化响应”页上,选择在生成警报时要自动运行的 playbook。 仅显示包含逻辑应用 Microsoft Sentinel 连接器的 playbook。

  17. 在完成时选择“下一步: 查看”。

  18. 在“查看和创建”页上,确认验证是否成功,然后选择“保存”

任务 2:调用事件并查看关联操作

  1. 在“Azure 门户”中,选择“主页”,然后在“搜索”地址栏中输入“虚拟机”,然后选择“输入”。
  2. 在“虚拟机”页面上,找到并选择在此练习的资源组中创建的“simple-vm”虚拟机,然后在标题栏上,选择“删除”。 在“删除虚拟机”提示符下选择“是”。
  3. 在“删除虚拟机”提示符下,选择“确定”以删除虚拟机。

备注

此任务基于在任务 1 中创建的分析规则创建事件。 事件创建可能需要 15 分钟。 可以继续执行此单元的其余步骤,稍后观察结果。

任务 3:基于现有模板创建分析规则

  1. 在 Azure 门户中,选择“主页”,选择“Microsoft Sentinel”,然后选择在本模块第 2 单元中创建的 Microsoft Sentinel 工作区。

  2. 打开“Microsoft Sentinel”,在“配置”下的左侧菜单中,选择“分析”。

  3. 在“分析”窗格中,选择“规则模板”选项卡。

  4. 在搜索字段中,输入“基于 Microsoft Defender for Cloud 创建事件”,然后选择该规则模板。

  5. 在详细内容窗格中,选择“创建规则”。

  6. 在“常规”窗格中,观察分析规则的名称,并验证规则“状态”是否为“启用”。

  7. 在“分析规则逻辑”部分中,验证 Microsoft 安全服务是否显示已选中“Microsoft Defender for Cloud”。

  8. 在“按严重性筛选”部分,选择“自定义”,然后在下拉菜单中选择“高”和“中等”。

  9. 如果要对 Microsoft Defender for Cloud 中的警报进行额外筛选,可以在“包含特定警报”和“排除特定警报”中添加文本。

  10. 选择“下一步: 自动化响应”,然后选择“下一步: 评审”。

  11. 在“查看和创建”页上,选择“创建”。

结果

完成本练习后,你将根据现有模板创建一个事件规则,并使用你自己的查询代码创建一个计划的查询规则。

完成练习后,应该删除资源以避免产生成本。

清理资源

  1. 在 Azure 门户中,搜索“资源组”。
  2. 选择“azure-sentinel-rg”。
  3. 在标题栏上,选择“删除资源组”。
  4. 在“键入资源组名称:”字段中,输入资源组“azure-sentinel-rg”的名称,然后选择“删除”。