练习 - 调查事件

  • 20 分钟

作为 Contoso 的安全工程师,你需要分析从 Contoso Azure 订阅删除的虚拟机 (VM),并在以后发生类似活动时收到警报。 你决定实现分析规则,以在某人删除现有 VM 时创建事件。 然后可以调查事件以确定事件详细信息,并在完成后关闭事件。

在本练习中,你将创建 Microsoft Sentinel 分析规则来检测何时删除 VM。 然后删除在本模块开头创建的 VM,调查并解决规则创建的事件。

若要完成本练习,请确保已在模块开头完成设置练习,并且 Azure 活动连接器现在显示“已连接”状态。

从向导创建分析规则

创建一个分析规则,当 Contoso Azure 订阅中有 VM 被删除时,该规则会创建事件。

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择创建的 Microsoft Sentinel 工作区。
  2. 在 Microsoft Sentinel 页面上,在左侧菜单的“配置”下选择“分析”。
  3. 在“分析”页上,选择“创建”>“计划的查询规则”。

“常规”选项卡

  1. 在向导的“常规”选项卡上,提供以下信息。

    • 名称:输入“已删除的 VM”。
    • 说明:输入说明以帮助其他人了解规则的作用。
    • 策略和技术:选择“初始访问”。
    • 严重性:选择“中等”。
    • 状态:选择“已启用”。

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. 选择“下一步:设置规则逻辑”。

设置规则逻辑选项卡

  1. 在”设置规则逻辑”选项卡上的”规则查询”部分,输入以下查询:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. 向下滚动以查看或设置以下配置选项:

    • 扩展“实体映射”部分,以定义作为查询规则一部分返回并可用于执行深入分析的实体。 对于此练习,使用默认值。
    • 在“查询计划”部分中,配置查询应运行的频率以及要查看多久前的历史记录。 将“查询运行频率”设置为“5 分钟”。
    • 在“警报阈值”部分,可以指定在生成警报之前可为规则返回的正向结果的数量。 使用“大于 0”的默认值。
    • 在“事件分组”部分中,接受默认选择“将所有事件分组到一个警报”。
    • 在“抑制”部分中,对于“在生成警报后停止运行查询”,保留默认值“关闭”。
    • 在“结果模拟”部分中,选择”使用当前数据进行测试”,然后查看结果。

  3. 选择“下一步: 事件设置”。

“事件设置”选项卡

  1. 在“事件设置”选项卡中,确保将“根据此分析规则触发的警报创建事件”设置为“已启用”。
  2. 在“警报分组”部分中,选择“启用”以将相关警报分组到事件中。 确保选中“如果所有实体都匹配,则将警报分组到单个事件中(建议)”。
  3. 确保“重新打开已关闭的匹配事件”为“禁用”。
  4. 选择“下一步: 自动响应”。

查看 + 创建

  1. 在完成时选择“下一步: 查看”。
  2. 在“查看并创建”选项卡上,验证成功后,选择“创建”。

删除 VM

若要测试规则检测和事件创建,请删除在安装过程中创建的 VM。

  1. 在 Azure 门户中,搜索并选择“虚拟机”。
  2. 在“虚拟机”页面上,选中“simple-vm”旁边的复选框,然后从工具栏中选择“删除”。
  3. 在“删除资源”窗格中,在“输入‘删除’以确认删除”字段中输入“删除”,然后选择“删除”。
  4. 再次选择“删除”。

在继续执行下一步之前,先完成几分钟的操作。

调查事件

在此步骤中,调查 Microsoft Sentinel 在你删除 VM 时创建的事件。 事件最多可能需要 30 分钟才能显示在 Microsoft Sentinel 中。

  1. 在 Azure 门户中,搜索并选择“Microsoft Sentinel”,然后选择 Microsoft Sentinel 工作区。
  2. 在 Microsoft Sentinel 页面上,选择左侧导航栏中“威胁管理”下的“事件”。
  3. 在“事件”页面上,选择标题为“删除的虚拟机”的事件。
  4. 在右侧的“删除的 VM”详细信息窗格上,查看事件的详细信息,包括“所有者”、“状态”和“严重性”。 应用以下更新:
    • 选择“所有者”>“分配给我”>“应用”。
    • 选择“状态”>“活动”>“应用”。
  5. 选择“查看完整的详细信息”。
  6. 在“事件”页面的左侧窗格上,在“证据”部分下,查看“事件”、“警报”和“书签”的总数。
  7. 在窗格底部,选择“调查”。
  8. 在“调查”页上,选择调查图中的以下项:
    • 页面中央的“删除的 VM”事件项显示了事件的详细信息。
    • 表示用户帐户的用户实体,用于指示你已删除 VM。
  9. 在“调查”页顶部,选择“状态”>“已关闭”。
  10. 在“选择分类”下拉菜单中,选择“良性 - 可疑但符合预期”。
  11. 在“注释”字段中,输入“测试事件的创建和解决步骤”,然后选择“应用”。
  12. 选择关闭图标以关闭“调查”和“事件”页。
  13. 在“事件”页面上,查看“未结事件数”和“活动事件数”,现在的值为 0。

你已成功创建 Microsoft Sentinel 分析规则,删除了 VM 来创建事件,调查并关闭了该规则创建的事件。

清理资源

为避免产生费用,在本模块中创建完 Azure 资源后,需要删除这些资源。 若要删除资源,请完成以下步骤:

  1. 在 Azure 门户中,搜索“资源组”。
  2. 在“资源组”页上,选择“azure-sentinel-rg”。
  3. 在“azure-sentinel-rg”页上,从顶部菜单栏中选择“删除资源组”。
  4. 在“删除资源组”页上,在“输入资源组名称以确认删除”下,输入“azure-sentinel-rg”。
  5. 选择“删除”,然后再次选择“删除”。