練習 - 調查事件

  • 20 分鐘

身為 Contoso 安全性工程師,您必須分析從 Contoso Azure 訂閱中刪除虛擬機器 (VM) 的情況,並在未來發生類似活動時收到警示。 您決定要實作分析規則,以在有人刪除現有的 VM 時建立事件。 接著,您要調查該事件以判斷事件詳細資料,並在完成時關閉事件。

在此練習中,您會建立 Microsoft Sentinel 分析規則,偵測何時刪除 VM。 接著,您會刪除您在本課程模組開頭建立的 VM,調查並解決所建立規則的事件。

若要完成此練習,請確定您已完成模組開頭的設定練習,而 Azure 活動連接器現在會顯示已連線的狀態。

從精靈建立分析規則

建立一項分析規則,讓該規則在 Contoso Azure 訂閱中的 VM 遭到刪除時,建立事件。

  1. 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取您建立的 Microsoft Sentinel 工作區。
  2. 在 Microsoft Sentinel 頁面上,選取左側功能表中 [設定] 下的 [分析]
  3. 在 [分析] 頁面上選取 [建立] >[排程查詢規則]

一般索引標籤

  1. 在精靈的 [一般] 索引標籤上,提供下列資訊。

    • 名稱: 輸入已刪除的 VM
    • 描述:輸入可協助其他人了解規則的描述。
    • 戰略和技術:選取 [初始存取]
    • 嚴重性:選取 [中]
    • 狀態:選取 [已啟用]

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. 選取 [下一步:設定規則邏輯]

設定規則邏輯索引標籤

  1. 在 [設定規則邏輯] 索引標籤上的 [規則查詢] 區段中,輸入下列查詢:

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. 向下捲動即可檢視或設定下列設定選項:

    • 展開 [實體對應] 區段,以定義作為查詢規則一部分傳回的實體,您可以將其用來執行深入分析。 針對此練習,請使用預設值。
    • 在 [查詢] 排程區段中,設定執行查詢的頻率,以及能夠在歷程記錄中觀察的最舊項目。 將 [查詢執行間隔] 設定為 [5 分鐘]
    • 在 [警示閾值] 區段中,您可以指定在產生警示之前,可針對規則傳回的正結果數目。 使用預設值大於 0
    • 在 [事件分組] 區段中,接受預設選項 [將所有事件歸納成單一警示]
    • 在 [歸併] 區段中,針對 [在產生警示後停止執行查詢],保留預設值為 [關閉]
    • 在 [結果模擬] 區段中,選取 [使用目前的資料測試],並觀察結果。

  3. 選取 [下一步: 事件設定]

事件設定索引標籤

  1. 在 [事件設定] 索引標籤上,確定 [從這個分析規則所觸發的警示建立事件] 已設定為 [已啟用]
  2. 在 [警示分組] 區段中,選取 [已啟用] 以將相關警示分組至事件。 確定已選取 [如果所有實體均相符,則將警示分組為單一事件 (建議)]
  3. 請確定將 [重新開啟已關閉的相符事件] 設為 [已停用]
  4. 選取 [下一步: 自動化回應]

檢閱及建立

  1. 選取 [下一步:檢閱]
  2. 在 [檢閱並建立] 索引標籤上,驗證成功時請選取 [建立]

刪除 VM

若要測試規則偵測和事件建立,請刪除您在安裝期間建立的 VM。

  1. 在 Azure 入口網站中,搜尋並選取 [虛擬機器]。
  2. 在 [虛擬機器] 頁面上,選取 simple-vm 旁的核取方塊,然後從工具列中選取 [刪除]
  3. 在 [刪除資源] 窗格內的 [輸入「刪除」以確認刪除] 欄位中輸入 [刪除],然後選取 [刪除]
  4. 再次選取 [刪除]

等候數分鐘的時間讓作業完成,然後再進行下一個步驟。

調查事件

在此步驟中,您會調查刪除 VM 時所建立的 Microsoft Sentinel 事件。 事件最多可能需要 30 分鐘,才會出現在 Microsoft Sentinel 中。

  1. 在 Azure 入口網站中,搜尋並選取 [Microsoft Sentinel],然後選取您的 Microsoft Sentinel 工作區。
  2. 在 Microsoft Sentinel 頁面上,選取左側導覽中 [威脅管理] 下的 [事件]
  3. 在 [事件] 頁面上,選取標題為「已刪除的 VM」的事件。
  4. 在右側的 [刪除 VM] 詳細資料窗格中,觀察事件的詳細資料,包括 [擁有者]、[狀態] 及 [嚴重性]。 套用下列更新:
    • 選取 [擁有者]>[指派給我]>[套用]
    • 選取 [狀態]>[作用中]>[套用]
  5. 選取 [檢視完整詳細資料]
  6. 在 [事件] 頁面的左側窗格中,觀察 [辨識項] 區段內 [事件]、[警示] 和 [書籤] 的總數。
  7. 在窗格下選取 [調查]
  8. 在 [ 調查 ] 頁面上,選取調查圖表中的下列專案:
    • 頁面中央的 [已刪除的 VM] 事件項目顯示事件的詳細資料。
    • 代表使用者帳戶的使用者實體,表示您已刪除 VM。
  9. 在 [調查] 頁面下選取 [狀態]>[已關閉]
  10. 在 [選取分類] 下拉式功能表中,選取 [確判為良性:可疑但已知]
  11. 在 [註解] 欄位中,輸入 Testing incident creation and resolution steps (測試事件建立與解決步驟),然後選取 [套用]
  12. 選取關閉圖示以關閉 [調查] 和 [事件] 頁面。
  13. 在 [事件] 頁面上,觀察 [開啟事件] 與 [作用中事件] 的值現在是否為 0

您已成功建立 Microsoft Sentinel 分析規則、刪除 VM 以建立事件,並調查並關閉規則建立的事件。

清除資源

為避免產生費用,請在完成此練習之後,刪除在此課程模組中建立的 Azure 資源。 若要刪除資源,請完成下列步驟:

  1. 在 Azure 入口網站中,搜尋資源群組
  2. 在 [資源群組] 頁面上,選取 [azure-sentinel-rg]
  3. 在 [azure-sentinel-rg] 頁面上,從頂端功能表列選取 [刪除資源群組]
  4. 在 [刪除資源群組] 頁面上的 [輸入資源群組名稱以確認刪除] 中,輸入 azure-sentinel-rg
  5. 選取 [刪除],然後再次選取 [刪除]