練習 - 使用 Microsoft Sentinel 搜捕威脅

已完成

身為 Contoso 的資訊安全工程師，您最近發現您的 Azure 訂用帳戶中，有大量的虛擬機器 (VM) 遭到刪除。 您想要模擬已刪除的 VM、分析此情況，並了解在 Microsoft Sentinel 中造成潛在威脅的重要元素。

在此練習中，您會刪除 VM、管理威脅搜捕查詢，以及使用書籤儲存重要結果。

注意

您必須完成本課程模組稍早的練習設定，才能完成本練習。 若尚未完成這個項目，請立即執行。

刪除 VM

在這項工作中，您會刪除 VM 以測試規則偵測和事件建立。

1. 在 Azure 入口網站中，搜尋並選取 [虛擬機器]。
2. 在 [虛擬機器] 頁面上，選取標示為 simple-vm 虛擬機器旁的核取方塊，然後從工具列中選取 [刪除]。
3. 在 [ 刪除資源] 窗格中，確認刪除，然後選取 [ 刪除]。

管理 Microsoft Sentinel 威脅搜捕查詢

在這項工作中，您會建立和管理威脅搜捕查詢，以檢閱與在上一個工作中刪除 VM 相關的事件。 刪除 VM 之後，事件最多可能需要 5 分鐘才會出現在 Microsoft Sentinel 中。

1. 在 Azure 入口網站中，搜尋並選取 [Microsoft Sentinel]，然後選取先前建立的 Sentinel 工作區。

2. 在 [Microsoft Sentinel] 頁面，[威脅管理] 區段中的功能表列上，選取 [搜捕]。

3. 在 [ 搜捕 ] 頁面上，選取 [ 查詢] 索引標籤。然後選擇 [ 新增查詢]。

4. 在 [建立自訂查詢] 頁面上，提供下列輸入，然後選取 [建立]。

   • 名稱: 輸入已刪除的 VM。

   • 描述：輸入可協助其他安全性分析師了解規則用途的詳細描述。

   • 自訂查詢：輸入下列程序代碼。

       AzureActivity
       | where OperationName == 'Delete Virtual Machine'
       | where ActivityStatus == 'Accepted'
       | extend AccountCustomEntity = Caller
       | extend IPCustomEntity = CallerIpAddress
     

   • 策略：選取 [影響]。

5. 在 [搜捕] 頁面的 [查詢] 索引標籤上，在 [搜尋查詢] 欄位中輸入已刪除的 VM。

6. 在查詢清單中，選取 [已刪除的 VM] 旁的星形圖示，將查詢標示為我的最愛。

7. 選取 [已刪除的 VM] 查詢。 在詳細數據窗格中，選取 [ 檢視結果]。

   注意

   已刪除的 VM 事件最多可能需要 15 分鐘才會傳送至 Microsoft Sentinel。 如果 VM 刪除事件未出現，您可以定期選擇在 [結果] 索引卷標上執行查詢。

8. 在記錄頁面的結果區段中，選取列出的事件。 它應該在 [授權] 資料列中具有 "action": "Microsoft.Compute/virtualMachines/delete" 。 這是來自 Azure 活動記錄的事件，其表示已刪除 VM。

9. 停留在此頁面以進行下一項工作。

使用書籤儲存重要的結果

在此工作中，您會使用書籤來儲存事件並執行更多搜捕。

1. 在記錄頁面的結果區段中，選取列出的事件旁的核取方塊。 然後選取 [加入書籤]。
2. 在新增書籤 窗格中，選取 [建立]。
3. 在頁面頂端，選取階層連結軌跡上的 [Microsoft Sentinel]。
4. 在 [ 搜捕 ] 頁面上，選取 [ 書籤] 索引卷標 。
5. 在書籤清單中，選取以已刪除的 VM 開頭的書籤。
6. 在 [詳細資料] 頁面上，選取 [調查]。
7. 在 [調查] 頁面上，選取 [已刪除的 VM]，並觀察事件的詳細資料。
8. 在 [調查] 頁面上，選取圖表上代表使用者的實體。 這是您的使用者帳戶，表示您已刪除 VM。

結果

在本練習中，您完成了刪除 VM、管理威脅搜捕查詢，並使用書籤儲存重要的結果。

清除 Azure 資源

使用您在此練習中建立的 Azure 資源之後，請將其刪除，以避免產生成本：

1. 在 Azure 入口網站中，搜尋資源群組。
2. 選取您的資源群組。
3. 在標題列中，選取 [刪除資源群組]。
4. 在 [ 輸入資源組名] 字段中，輸入資源組名，然後選取 [ 刪除]。