練習 - 使用 Microsoft Sentinel 分析來偵測威脅

  • 20 分鐘

此課程模組中使用 Microsoft Sentinel Analytics 進行威脅偵測的練習是選擇性的單元。 不過,如果您想要執行此練習,便需要存取能夠建立 Azure 資源的 Azure 訂用帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

若要部署練習的先決條件,請執行下列工作。

注意

請注意,如果您選擇執行此課程模組中的練習,您的 Azure 訂用帳戶可能會產生費用。 若要預估成本,請參考 Microsoft Sentinel 價格

工作 1:使用 ARM 範本部署 Microsoft Sentinel

  1. 選取下列連結:

    Deploy To Azure.

    系統會提示您登入 Azure。 [自訂部署] 窗格隨即出現。

  2. 在 [基本] 索引標籤上,為每個設定輸入下列值。

    設定
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [新建] 並提供資源群組的名稱,例如 azure-sentinel-rg
    [執行個體詳細資料]
    區域 從下拉式清單中,選取您要部署 Microsoft Sentinel 的位置。
    工作區名稱 提供 Microsoft Sentinel 工作區的唯一名稱,例如 <yourName>-sentinel,其中 <yourName> 代表您在上一個工作中選擇的工作區名稱。
    位置 接受 [resourceGroup().location] 的預設值。
    Simplevm 名稱 接受 simple-vm 的預設值。
    Simplevm Windows OS 版本 接受 2016-Datacenter 的預設值。

  3. 選取 [檢閱 + 建立]。 通過驗證後,選取 [建立]

    Screenshot of the Custom Deployment page.

    注意

    等待部署完成。 部署應該不到五分鐘即可完成。

工作 2:檢查建立的資源

  1. 在 Azure 入口網站中,搜尋資源群組

  2. 選取 [azure-sentinel-rg]。

  3. 類型排序資源清單。

    資源群組應該包含下表所列的資源。

    名稱 類型 描述
    <yourName>-sentinel Log Analytics 工作區 Microsoft Sentinel 使用的 Log Analytics 工作區,其中 <yourName> 代表您在先前工作中選擇的工作區名稱。
    simple-vmNetworkInterface 網路介面 用於 VM 的網路介面。
    SecurityInsights(<yourName>-sentinel) 解決方案 適用於 Microsoft Sentinel 的安全性見解。
    simple-vm 虛擬機器 用於示範的虛擬機器 (VM)。
    st1<xxxxx> 儲存體帳戶 VM 所使用的儲存體帳戶,其中 <xxxxx> 代表產生來建立唯一儲存體帳戶名稱的隨機字串。
    vnet1 虛擬網路 用於 VM 的虛擬網路。

注意

在此練習中部署的資源與完成的設定步驟,都是下一個練習中的必要項目。 如果您想要完成下一個練習,請不要刪除此練習中的資源。

工作 3:設定 Microsoft Sentinel 資料連接器

在此工作中,您會部署 Microsoft Sentinel 資料連接器以偵測 Azure 活動。

  1. 在 Azure 入口網站中,選取 [首頁],然後搜尋並選取 [Microsoft Sentinel]

  2. 在 Sentinel 工作區名稱清單中,選取您在工作 2 中建立的 Microsoft Sentinel 工作區。 您 Sentinel 工作區的 [概觀] 窗格隨即出現。

  3. 在功能表窗格的 [內容管理] 底下,選取 [內容中樞]。 [內容中樞] 窗格隨即出現。

  4. 在 [搜尋] 方塊中,搜尋並選取 [Azure 活動] 解決方案。 在 [Azure 活動] 詳細資料窗格中,選取 [安裝]

  5. 等候安裝完成,然後選取 [管理]

  6. 在 [搜尋] 方塊中,搜尋並選取 [Azure 活動] 資料連接器。

  7. 在 [Azure Activity] 詳細資料窗格上,選取 [開啟連接器頁面]

  8. 在 [指示] 索引標籤的 [組態] 區域中,向下捲動到 [2] 底下。 連線您的訂用帳戶...選取 [啟動 Azure 原則指派精靈]>

  9. 在 [基本] 索引標籤中,選取 [範圍] 下的省略符號 (...),然後從下拉式清單選取 [Azure 訂用帳戶] 並選取 [選取]。

  10. 選取 [參數] 索引標籤,然後從 [主要 Log Analytics 工作區] 下拉式清單中選擇您的 yourName-sentinel 工作區。

  11. 選取 [補救] 索引標籤,然後選取 [建立補救工作] 核取方塊。 此動作會套用訂用帳戶設定,以將資訊傳送至 Log Analytics 工作區。

    注意

    若要將原則套用至現有的資源,您需要建立補救工作。

  12. 選取 [檢閱 + 建立] 按鈕以檢閱設定。

  13. 選取 [建立] 以完成。

  14. 部署完成後,您會在 [組態/資料連接器] 窗格中看到 Azure 活動連接器 [已連線] 狀態 (綠色列)。

Screenshot of the Microsoft Sentinel connector.

注意

Azure 活動的連接器可能需要 15 分鐘的時間,才能在 Microsoft Sentinel 中顯示 [已連線]。 您可以先繼續進行剩餘的步驟,以及此課程模組的其他單元。